exceso dtos

La autoridad española ha impuesto una sanción de 50.000 euros a una empresa de construcción por facilitar a la Entidad Pública Empresarial de Vivienda, Donostiako Etxegintza, datos de contacto y relativos a la salud de uno de sus empleados. El reclamante manifiesta que la entidad sancionada ha facilitado sus datos de salud a otra entidad, así como su dirección de correo personal sin su consentimiento.

La Entidad Pública Empresarial de Vivienda, Donostiako Etxegintza, solicitó a la compañía sancionada que le facilitara información sobre las denuncias presentadas por los reclamantes el 14 de julio y el 9 de septiembre de 2020, por falta de dotación de medios humanos y materiales. De esta forma, la entidad sancionada respondió a dicha solicitud facilitando datos personales de trabajadores. Entre ellos, la empresa compartió el correo electrónico personal e información sobre fechas, motivos, y permisos relacionados con las bajas médicas del reclamante, entre ellas a causa del COVID.

La compañía sancionada manifestó la necesidad del envío de la información para acreditar la falta de medios humanos y materiales en el ámbito de la gestión del contrato de obras de construcción que la Entidad Pública le había adjudicado. Además, alegó que contaba con la legitimación para remitir los datos necesarios para defenderse de las penalidades que se le pudieran imponer derivadas del incumplimiento.

Sin embargo, es preciso señalar que el artículo 9.1 del RGPD define los datos relativos a la salud como una categoría de los datos personales especialmente protegidos, donde se establece que: “Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexuales de una persona física”.

No obstante, la AEPD señaló que la cesión de estos datos se considera excesivo y que supondría una vulneración del art 5.1.c del RGPD “Principio de minimización de datos”, ya que se trataron datos de salud (bajas y permisos por COVID) y datos de carácter personal (como el correo electrónico personal del trabajador) para una finalidad distinta. Según dicho artículo, los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.

Ha de tenerse en cuenta que el uso de datos de salud, no queda amparado si infringe el artículo 5.1.c) del RGPD. Por lo tanto, consideran excesivos los datos cedidos en relación con la finalidad, pues no se ha justificado la necesidad de explicitar los permisos o, en lo relativo a los datos de salud, las bajas con sus causas para procurar su defensa.

La AEPD estimó como agravante el tratamiento de los datos de salud, al tratarse de una categoría especial de datos, imponiendo una multa de 50.000€ a la empresa de construcción.

Pero, ¿Cómo debe actuar una empresa en estos casos?

 

Cualquier compañía que se encuentre en una situación donde deba comunicar datos de su plantilla deberá analizar, entre otros, las siguientes apartados:

  • La base de legitimación para comunicar estos datos.
  • El cumplimiento de los principios establecidos en el artículo 5 RGPD.
  • Juicio de idoneidad, necesidad y proporcionalidad.

 

La presente resolución desvela los riesgos que pueden suponer las relaciones laborales en cuanto al derecho de protección de datos por lo que es necesario que toda entidad extreme el cumplimiento de la normativa de protección de datos para evitar la imposición de sanciones como esta.

 

 

Quiero saber más  sobre esta sanción.

 

 

Post escrito por Iratxe Mendizábal