La autoridad de control ha impuesto una sanción de 5.000 euros a una compañía por la infracción del artículo 5.1.c) del RGPD (principio de minimización de datos), reducida a 3.000 euros al hacer uso la compañía de las dos reducciones previstas, reconociendo su responsabilidad.
La reclamación se interpuso debido a que, con ocasión del despido del empleado, la entidad envió un correo electrónico a los clientes que mantenían una relación profesional con este a efectos de comunicarles su despido “por mala praxis profesional”. Habida cuenta de ello, el reclamante ejerció su derecho de acceso ante la entidad, solicitando información sobre los destinatarios a los que se habían comunicado sus datos, qué medios se habían empleado, así como qué términos usó la empresa para comunicar dicha información.
La compañía dio respuesta a esta solicitud, informándole de que la resolución de su relación contractual se comunicó a “los clientes con los que mantenía relación profesional”. A pesar de ello, el reclamante indicó que esta respuesta no era adecuada, por cuanto no se había recogido expresamente con qué clientes o proveedores se compartieron sus datos.
Una vez notificada esta reclamación, la entidad presentó escrito en el que hacía constar que únicamente se había comunicado el nombre y apellido del reclamante, así como su correo electrónico corporativo a los clientes a los que había prestado su asesoramiento fiscal, efectuándose dicha comunicación con base en el interés legítimo no sólo de la entidad, sino también de los propios clientes. Asimismo, en relación con la respuesta al ejercicio del derecho de acceso, se expone que el RGPD establece que el responsable debe informar de la categoría de destinatarios, lo que efectuó al indicar que sus datos se habían cedido a “clientes”.
Declara la autoridad de control que el problema analizado en el presente supuesto no es la falta de legitimación para la cesión de los datos (ni la respuesta al ejercicio del derecho de acceso, lo que se efectuó adecuadamente), sino el hecho de que se han comunicado “más datos de los precisos para cumplir con la finalidad pretendida”, puesto que no se aprecia justificación alguna para informar a dichos clientes de la causa por la que el empleado ya no presta sus servicios en la entidad, puesto que los motivos del “cese de la relación laboral entre empleado y empleador es un asunto privado que sólo concierne a ambas partes y no a terceros”. Por ello, considera la AEPD que se ha infringido el principio de minimización de datos.
Puede acceder a la resolución sancionadora de la AEPD aquí.