La AEPD aclara las directrices sobre el uso del correo electrónico personal en el entorno laboral
.png)
La AEPD impone una multa de 15.000 euros a una empresa por uso indebido del correo electrónico personal de una empleada
Recientemente, la Agencia Española de Protección de Datos ha emitido una resolución en el expediente nº EXP202208793, relacionado con la seguridad en el uso del correo electrónico personal en el entorno laboral. En este caso, la empleada denunciante alegó que proporcionó su dirección de correo electrónico personal a la empresa donde trabajaba, inicialmente con su consentimiento, ya que se trataba de una nueva empleada y no disponía de correo corporativo. Sin embargo, a pesar de haber solicitado hace más de un año la eliminación de sus datos personales (correo electrónico y teléfono) y que la empresa se comunicara con ella solo a través del teléfono o correo de la empresa, esta continuó contactándola a través de su correo electrónico personal. Además, la empresa envió correos electrónicos sin utilizar la opción de copia oculta, lo que resultó en la exposición de su dirección de correo electrónico a otros destinatarios del correo.
Violación del RGPD
De acuerdo con el artículo 5.1.f) del Reglamento General de Protección de Datos, los datos personales deben ser tratados de manera que se garantice su seguridad, incluida la protección contra el tratamiento no autorizado o ilícito. En este caso, los datos de la empleada fueron expuestos de manera indebida al ser enviados a 129 empleados sin copia oculta, lo que constituye una infracción del reglamento. La AEPD considera que la infracción es grave, ya que implica la pérdida de la confidencialidad de la información de los trabajadores. Además, la empresa en cuestión está acostumbrada a manejar datos personales en el curso de su actividad, que incluye la prestación de servicios sociales, sanitarios, educativos y de ocio. Como resultado, se impuso una sanción de 12.000 euros.
Además, la actuación de la empresa también vulneró el artículo 32 del RGPD, sobre la seguridad del tratamiento de datos. Se permitió un incidente de seguridad que permitió el acceso ilícito a los datos personales de los trabajadores entre sí. Teniendo en cuenta la naturaleza de la actividad de la empresa, la AEPD impuso una sanción adicional de 3.000 euros.
Resolución de la AEPD
En conclusión, la AEPD resolvió el procedimiento sancionador contra la empresa, que deberá pagar una multa total de 15.000 euros, a menos que opte por el pago voluntario, que se ha establecido en 9.000 euros.