BOLETÍN DE ACTUALIDAD DE DERECHO CIVIL

sanción de 21.000€ por exponer datos de más de 10.000 candidatos

,

La Agencia Española de Protección de Datos (AEPD) ha resuelto un caso que ilustra perfectamente cómo un simple error administrativo puede derivar en una sanción económica significativa y, más importante, en una grave vulneración de los derechos de protección de datos de miles de personas.

El caso: un enlace que no debía enviarse

ALVEA Soluciones Tecnológicas, empresa dedicada a la selección de personal, se enfrentó a un procedimiento sancionador tras un error cometido por un técnico de selección recién incorporado. Durante un proceso de reclutamiento, el empleado envió por correo electrónico a un candidato dos enlaces: uno correcto para rellenar un formulario de solicitud y otro interno que nunca debía haber salido de la empresa.

El problema: ese segundo enlace daba acceso directo y sin restricciones a una hoja de cálculo de Google que contenía datos personales de 10.837 candidatos, incluyendo nombres, apellidos y DNI.

La dimensión del problema

Datos afectados

La documentación revelaba que cualquier persona con acceso a la URL podía consultar:

  • Información personal de más de 10.000 candidatos
  • Datos que se remontaban a 2020, contradiciendo la política de conservación de 18 meses declarada
  • DNI de personas que no habían consentido la cesión de sus datos

La vulneración normativa

La AEPD consideró que se había infringido el artículo 5.1.f) del RGPD, que establece el principio de confidencialidad e integridad de los datos personales. Este artículo exige que los datos sean “tratados de tal manera que se garantice una seguridad adecuada”.

La respuesta de la empresa

Ante la reclamación, ALVEA reconoció el error y adoptó diversas medidas correctivas:

Medidas inmediatas

  • Limitación del acceso al enlace problemático el día siguiente a conocer la incidencia
  • Verificación de que solo personal autorizado podía acceder a los datos
  • Comunicación al candidato afectado explicando el error

Medidas organizativas

  • Designación de un Delegado de Protección de Datos (DPD)
  • Actualización de procedimientos de gestión de candidatos
  • Restricción del acceso a datos solo de candidatos de los últimos 18 meses
  • Implementación de controles para prevenir errores similares

La sanción y su graduación

Criterios considerados por la AEPD

Para determinar la sanción, la agencia valoró varios factores agravantes:

Gravedad del impacto: El acceso afectó a 10.837 personas, con exposición de datos especialmente sensibles como el DNI.

Negligencia: La AEPD destacó la “falta grave de diligencia” en el cumplimiento de las obligaciones de protección de datos, especialmente grave en una empresa cuya actividad implica el tratamiento continuo de datos personales.

Actividad vinculada al tratamiento: Al ser una empresa de selección, el manejo de datos personales es inherente a su negocio, lo que exige mayor diligencia.

El resultado económico

  • Sanción inicial propuesta: 35.000€
  • Sanción final: 21.000€ (tras aplicar reducciones del 40% por reconocimiento de responsabilidad y pago voluntario)

Medidas correctivas impuestas

Además de la sanción económica, la AEPD ordenó a la empresa implementar mejoras específicas en un plazo de 6 meses:

  1. Prevención de errores: Sistemas que eviten incluir enlaces internos en comunicaciones externas
  2. Supervisión del DPD: Evaluación de los controles implementados
  3. Adecuación normativa: Ajuste general de los tratamientos al RGPD

Aspectos procedimentales relevantes

Reducciones aplicables

La resolución muestra cómo el sistema sancionador permite reducciones significativas:

  • 20% por reconocimiento de responsabilidad
  • 20% por pago voluntario
  • Ambas reducciones son acumulables

Criterios de graduación

La AEPD aplicó los criterios del artículo 83.2 del RGPD para determinar la sanción, considerando especialmente:

  • La naturaleza y gravedad de la infracción
  • El número de afectados
  • El grado de negligencia
  • La actividad de la empresa (tratamiento habitual de datos)

El marco normativo aplicado

Infracción tipificada

La conducta se tipificó como infracción muy grave según:

  • Artículo 83.5.a) del RGPD
  • Artículo 72.1.a) de la LOPDGDD
  • Prescripción: tres años

Competencia y procedimiento

El caso siguió el procedimiento estándar establecido en la LOPDGDD, con traslado inicial a la empresa, admisión a trámite de la reclamación, y apertura del procedimiento sancionador con propuesta de medidas correctivas adicionales.

https://www.aepd.es/documento/ps-00517-2024.pdf

Post Views: 55
Back to top arrow