Sanción de 50.000€ a una empresa de construcción por comunicar datos de salud de un trabajador

La agencia española de protección de datos sanciona con 50.000€ por comunicar el correo electrónico privado y datos de salud de un trabajador sin consentimiento.

El reclamante manifiesta que la entidad sancionada ha revelado sus datos de salud (en concreto fechas de bajas médicas, motivos, y permisos) a otra entidad, así como su dirección de correo personal, y todo ello, sin su consentimiento.

La entidad sancionada fue requerida por la Entidad Pública Empresarial de Vivienda-Donostiako Etxegintza, para que les facilitase información relativa a las denuncias interpuestas por el reclamante el 14 de julio y 9 de septiembre de 2020 por falta de adscripción de medios humanos y materiales. La entidad sancionada dio respuesta a tal requerimiento aportando información personal (correo electrónico personal del reclamante, así como fechas de bajas médicas, las causas de estas, y permisos) lo cual llegó a conocimiento del trabajador, que presentó la reclamación ante la AEPD.

La entidad sancionada alegó que tiene legitimación para remitir los datos necesarios para defenderse de un procedimiento sancionador o de las penalidades que se le pudieran imponer derivadas del incumplimiento de un contrato administrativo, pero no debe olvidarse que RGPD recoge el dato de salud como una categoría de los datos personales especialmente protegidos, de conformidad con el artículo 9.1 del RGPD, donde se indica lo siguiente:

Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexuales de una persona física”.

Si bien el artículo 9.2f) RGPD establece:

El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:

f) el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;

Ha de tenerse en cuenta que el uso de datos de salud, aun cuando se cuente con la excepción del Art. 9.2f), no queda amparado si violenta el artículo 5.1.c) del RGPD y los datos cedidos son excesivos en relación con la finalidad, pues no se ha justificado la necesidad de explicitar todas las vacaciones, permisos y, especialmente por ser datos de salud, las bajas con sus causas para procurar su defensa.

VULNERACIÓN DEL PRINCIPIO DE MINIMIZACIÓN DE LOS DATOS.

Cómo ya se ha comentado, aunque exista la excepción del Art. 9.2 f), para el caso que se nos plantea, no era necesaria la comunicación de los datos de salud del trabajador para la correcta defensa.

El artículo 5.1c) RGPD, establece, los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);

La AEPD considera que ha existido una utilización excesiva de datos personales por parte de la entidad sancionada, ya que pese a que la normativa de protección de datos exige que el tratamiento de los datos personales sea adecuado, pertinente y limitado a lo estrictamente necesario en relación con los fines para los que son tratados, la entidad sancionada ha vulnerado el principio de minimización de datos, al facilitar a dicha entidad pública datos de salud y el correo electrónico personal del reclamante.

Vulneración de la limitación de la finalidad

El artículo 5.1b) RGPD, establece que los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; («limitación de la finalidad»);

En este caso, la empresa sancionada indica que dispone del correo electrónico privado del trabajador como vía de comunicación con el mismo por cuestiones laborales, pero éste es comunicado a la Entidad Pública Empresarial de Vivienda-Donostiako Etxegintza con una finalidad totalmente diferente a la que inicialmente se ha facilitado, y todo ello sin el consentimiento expreso del reclamante.

¿cómo debe proceder una empresa en estos casos?

Cualquier entidad que se encuentre en una situación similar a la expuesta y deba comunicar datos de su personal tendrá que analizar, entre otros, los siguientes puntos:

  • ¿Cuál es la base de legitimación que le permite comunicar estos datos?
  • ¿Cumple con todos los principios establecidos en el artículo 5 RGPD?
    • Principio de licitud, lealtad y transparencia
    • Limitación de finalidad
    • Minimización de datos
    • Exactitud
    • Limitación del plazo de conservación
    • Integridad y confidencialidad
    • Responsabilidad proactiva
  • Realizar un análisis de proporcionalidad, valorando si la comunicación de los datos supera el juicio de idoneidad, Juicio de necesidad y Juicio de proporcionalidad en sentido estricto.

Esta resolución pone de manifiesto los riesgos en protección de datos que pueden entablar las relaciones laborales, por lo que cualquier entidad que disponga de personal contratado debe extremar el cumplimiento de la normativa de protección de datos.

Si eres una empresa o entidad y tienes personal contratado, no dudes en contactar con Legitec y te asesoraremos con la seguridad jurídica que otorgan 20 años de experiencia en el sector.

Autora: María Santa

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

LEGITEC moderará sus comentarios y podrá o no dar respuesta a los mismos. Puede ejercer sus derechos de acceso, rectificación, supresión y portabilidad de sus datos, de limitación y oposición a su tratamiento, en la dirección de correo electrónico info@legitec.com. Lea la política de privacidad antes de proporcionarnos sus datos personales.