Zabía-Abogados

La Agencia Española de Protección de Datos impone una sanción de 200.000 euros a BBVA por bloquear el acceso de un ex empleado a un móvil de empresa que había sido adquirido por él, siendo, posteriormente, de su propiedad

La autoridad de control ha impuesto a la entidad financiera una sanción de 200.000 euros, reducida a 120.000 euros por haberse hecho uso de las dos reducciones previstas, por la infracción del artículo 6.1 del RGPD (licitud del tratamiento).

En el presente caso, al resolverse la relación contractual entre el empleado y la compañía, de acuerdo con sus procedimientos internos, esta le ofreció la posibilidad de adquirir a título personal el móvil de empresa que había estado usando profesionalmente. El empleado tomó la decisión de adquirido, por lo que el teléfono pasó a ser de su propiedad, pudiendo ser usado sólo para fines personales.

Posteriormente, el móvil dejó de estar activo mostrando un mensaje en el que se informaba de que se estaba administrando remotamente por la compañía, debiendo introducir el usuario y contraseña de empleado para poder continuar. Al contactar con la entidad, esta le envió un documento en el que se informaba de los pasos que debía seguir para poder restaurar el móvil a valores de fábrica, perdiendo toda la información contenida en el mismo (incluso la privada que se había guardado durante su uso particular).

Asimismo, la compañía le indicó que, “si bien habitualmente, antes de la adquisición por el empleado, se procede al borrado completo del dispositivo, no se llevó a cabo en su debido momento”. Así, “tras haberse encontrado su terminal personal enrolado por más de 9 meses en la plataforma de gestión de dispositivos corporativos” se procedió a la eliminación de toda la información por parte de la compañía.

En la reclamación se pone de manifiesto que ha existido una pérdida absoluta del control de los datos personales, habiéndose eliminado toda su información, sin que se pueda utilizar el dispositivo, salvo que se formatee. 

En las condiciones de uso del dispositivo, se indicaba que la compañía se reservaba el derecho de eliminar la información que se encontrase en aplicaciones corporativas durante la relación con el empleado o con posterioridad, sin necesidad de previo aviso. No obstante, como afirma la AEPD, dicha facultad sólo era aplicable a la información que se contenía en aplicaciones corporativas, pero no a la información personal, y debiendo “ser excepcional su uso en casos en los que la relación laboral lleva tiempo concluida”. Lo que no concedía este derecho era la eliminación de “los datos no incluidos en dichas aplicaciones corporativas y que afectaban a datos e información de carácter personal de la parte reclamante contenidas en el dispositivo adquirido”.

Por ello, si bien se podía entender que una vez resuelta la relación laboral se debía eliminar toda la información de las aplicaciones corporativas, ello no afectaba a la supresión de toda la información del móvil, como así se hizo. El hecho de no eliminar la información adecuadamente en el momento oportuno, provocó que la información personal también fuera eliminada por un error de la compañía. Así, se declara por la AEPD que “es evidente que los datos de carácter personal de la reclamante fueron suprimidos o eliminados del dispositivo adquirido sin estar autorizado para llevar a cabo el citado tratamiento”.

Se ha tenido en consideración, a efectos de graduar la sanción, que los hechos indicados afectan a un principio básico del tratamiento de datos (legitimidad en el tratamiento), sancionado con mayor gravedad, así como que existe una clara negligencia en la actuación, por cuanto no se ha dado cumplimiento a los propios procedimientos desarrollados en la compañía.

Puede acceder a la resolución sancionadora de la AEPD aquí.

Share the Post:

Related Posts

Política de Cookies

En esta web utilizamos cookies de terceros para mejorar nuestros servicios y su experiencia de navegación, para permitirle una navegación más rápida y sencilla.

Si está de acuerdo, pulse ACEPTAR. Si no está de acuerdo, pulse RECHAZAR.

Ir al contenido