La autoridad española ha impuesto una sanción de 50.000 euros a una empresa de construcción por facilitar a la Entidad Pública Empresarial de Vivienda, Donostiako Etxegintza, datos de contacto y relativos a la salud de uno de sus empleados. El reclamante manifiesta que la entidad sancionada ha facilitado sus datos de salud a otra entidad.
La Entidad Pública Empresarial de Vivienda, solicitó a la compañía sancionada que le facilitara información sobre las denuncias presentadas por los reclamantes el 14 de julio y el 9 de septiembre de 2020. De esta forma, la entidad sancionada respondió a dicha solicitud facilitando datos personales de trabajadores. Entre ellos, la empresa compartió el correo electrónico personal e información sobre fechas, motivos, y permisos relacionados con las bajas médicas del reclamante.
La compañía sancionada manifestó la necesidad del envío de la información para acreditar la falta de medios humanos y materiales. Además, alegó que contaba con la legitimación para remitir los datos necesarios para defenderse de las penalidades que se le pudieran imponer derivadas del incumplimiento.Sanción datos desalad
Definición
El artículo 9.1 del RGPD define los datos relativos a la salud como una categoría de los datos personales especialmente protegidos:
“Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexuales de una persona física”.
No obstante, la AEPD señaló que la cesión de estos datos se considera excesivo y que supondría una vulneración del art 5.1.c del RGPD “Principio de minimización de datos”, ya que se trataron datos de salud (bajas y permisos por COVID) y datos de carácter personal (como el correo electrónico personal del trabajador) para una finalidad distinta. Según dicho artículo, los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
Ha de tenerse en cuenta que el uso de datos de salud, no queda amparado si infringe el artículo 5.1.c) del RGPD. Por lo tanto, consideran excesivos los datos cedidos en relación con la finalidad, pues no se ha justificado la necesidad de explicitar los permisos o, en lo relativo a los datos de salud, las bajas con sus causas para procurar su defensa.Sanción datos de salud
La AEPD estimó como agravante el tratamiento de los datos de salud, al tratarse de una categoría especial de datos, imponiendo una multa de 50.000€ a la empresa de construcción.
Pero, ¿Cómo debe actuar una empresa en estos casos?
Cualquier compañía que se encuentre en una situación donde deba comunicar datos de su plantilla deberá analizar, entre otros, las siguientes apartados:
- La base de legitimación para comunicar estos datos.
- El cumplimiento de los principios establecidos en el artículo 5 RGPD.
- Juicio de idoneidad, necesidad y proporcionalidad.
La presente resolución desvela los riesgos que pueden suponer las relaciones laborales en cuanto al derecho de protección de datos por lo que es necesario que toda entidad extreme el cumplimiento de la normativa de protección de datos para evitar la imposición de sanciones como esta.
Quiero saber más sobre esta sanción.
Post escrito por Iratxe Mendizábal
Dejar un comentario
¿Quieres unirte a la conversación?Siéntete libre de contribuir!