La autoridad de control ha impuesto a una compañía una sanción de 200.000 euros por la infracción del artículo 5.1.f) (principio de integridad y confidencialidad) del RGPD. No obstante, dicha sanción se ha reducido a 120.000 euros por cuanto la entidad ha hecho uso de las dos reducciones previstas, reconociendo, en consecuencia, los hechos.
En el mes de abril de 2024 el Comité de Empresa solicitó a la compañía el inicio de un procedimiento interno por posible acoso laboral. La comisión instructora realizó diversas entrevistas con los denunciantes (existían 5 denunciantes y 10 denunciados) y requirió a estos información adicional, que fue aportada sin mayor problema.
El 31 de julio la compañía remitió al Comité de Empresa un correo en el que informaba de que se había finalizado la instrucción, por cuanto no cabía calificar la denuncia como propia de un acoso laboral, y se adjuntaba la resolución. El Comité de Empresa reenvío el correo con la resolución a cada una de las personas denunciantes, facilitando el acceso a la información obrante en el documento que contenía los nombres, apellidos y puestos de trabajo de denunciantes y denunciados. Adicionalmente, la empresa envió esta resolución también a todos los denunciados, por lo que los quince afectados tuvieron pleno conocimiento de los hechos y de las personas intervinientes.
En relación con esta cuestión, la reclamante puso de manifiesto que, debido a la actuación de la compañía, toda la empresa tuvo conocimiento de que era una de las denunciantes. Así, uno de los denunciados, en un grupo de WhatsApp del trabajo, cuando se conoció la resolución, escribió “Gracias por la denuncia” junto a un emoji de un beso. Con ocasión de lo anterior, sufrió un ataque de ansiedad que devino en una baja médica.
Admitida a trámite la reclamación, la entidad reclamada alegó, entre otras cuestiones, que todos los afectados eran conocedores de las identidades del resto desde un principio, por lo que no hay infracción alguna de la normativa de protección de datos; que se reconoce en sus procedimientos internos la protección de la confidencialidad invocada por cualquier persona que presente una reclamación, teniendo la compañía interés en que se resuelvan estos conflictos a la mayor brevedad; así como que se han implementado las medidas necesarias para que este problema no tenga lugar de nuevo en el futuro (programas de información o seminarios, redactándose un texto de disculpa para los afectados). No obstante, en relación con la denuncia, se alegó que la misma fue planteada “sin invocar el derecho al anonimato de los denunciantes, ni tampoco estos lo solicitaron”.
La autoridad de control ha declarado que existen indicios evidentes de la infracción del artículo 5 del RGPD, por cuanto, con ocasión de la resolución del archivo del procedimiento interno, se ha permitido el acceso a datos personales de terceros (su identidad) vulnerando su confidencialidad. Así, se remitió la resolución de tal modo que todos los denunciantes y denunciados “han tenido acceso a la identidad de cada uno de ellos, desprotegiendo su identidad”.
En este caso, adicionalmente y como agravante, se tiene en consideración que, atendiendo a la naturaleza de los datos revelados y “las especiales exigencias de confidencialidad que deben de respetarse en procesos de acoso laboral”, el grado de negligencia de la empresa es alto.
Puede acceder a la resolución sancionadora de la AEPD aquí.