Empresa recibe multa de 15.000 euros por la AEPD debido a mal uso del correo electrónico personal de una trabajadora
La Agencia Española de Protección de Datos ha resuelto recientemente el expediente número EXP202208793, que se refiere a la seguridad en la utilización del correo electrónico personal en el ámbito laboral.
En este incidente, la trabajadora que presentó la queja afirmó que entregó su dirección de correo electrónico personal a la empresa para la que trabaja. Esto se hizo inicialmente con su consentimiento, al no contar con un correo corporativo por haber entrado recientemente en la empresa. No obstante, a pesar de haber pedido hace más de un año que se borraran sus datos personales y que la empresa se pusiera en contacto con ella únicamente a través del teléfono o correo de la empresa, esta siguió enviándole mensajes a su correo personal. Además, la empresa envió correos electrónicos sin usar la opción de copia oculta, lo que resultó en la divulgación de su dirección de correo electrónico a otros receptores del correo.
¿Qué implica la utilización del correo personal?
La AEPD considera que la actuación de la empresa no resulta conforme a lo dispuesto por el Reglamento General de Protección de Datos. Según lo dispuesto por el artículo 5.1.f) del Reglamento General de Protección de Datos, los datos personales deben ser procesados de tal manera que se asegure su protección adecuada. En este incidente, los datos de la trabajadora fueron expuestos inapropiadamente al ser enviados a 129 empleados sin copia oculta, por lo que no es posible considerar que los datos se han protegido adecuadamente. La AEPD considera que la infracción es grave, ya que implica la pérdida de la confidencialidad de la información de los empleados.Además, la situación se agrava al tener en cuenta que la empresa en cuestión está acostumbrada a manejar datos personales (salud, socioeconómicos, familiares, etc.) en el transcurso de su actividad, que incluye la prestación de servicios sociales, sanitarios, educativos y de ocio. Como resultado, se impuso una multa de 12.000 euros.
Además de dicha sanción, la AEPD considera que la empresa también cometió una infracción del artículo 32 del RGPD, que se refiere a la seguridad en el procesamiento de datos. Se permitió un incidente de seguridad que permitió el acceso ilícito a los datos personales de los trabajadores entre sí. Teniendo en cuenta la naturaleza de la actividad de la empresa, la AEPD impuso una multa adicional de 3.000 euros.
Sanción a la empresa
Finalmente, la AEPD resolvió el procedimiento sancionador contra la empresa, que deberá pagar una multa total de 15.000 euros, a menos que opte por el pago voluntario, que se ha fijado en 9.000 euros.