Protecció de dades. Sanció a una empresa per enviar a un treballador la nòmina de 447 empleats
L'AEPD ha resolt que l'empresa és responsable de la bretxa de seguretat produïda per l'actuació negligent d'un empleat del departament de RRHH, que envia per error a un altre treballador un correu electrònic amb un fitxer adjunt, sense encriptar, que conté les nòmines de tots els empleats.
Resolució de l'AEPD
Amb motiu de la finalització del contracte laboral, un treballador sol·licita per correu electrònic la seva nòmina de juliol al departament de RRHH. Com a resposta, uns dies després rep un correu electrònic enviat per una persona d’aquest departament, que conté un fitxer PDF amb les nòmines del mes de juliol de tota la plantilla. Concretament, el fitxer conté la informació de 447 treballadors amb les següents dades personals: nom, cognom, número de DNI/NIE, número de la Seguretat Social, número de compte bancari i retribució percebuda. En veure el contingut del fitxer, l’ex-treballador ho comunica a l’emissor i assegura que l’elimina del seu correu immediatament. L’empleat de RRHH que va enviar el fitxer no va informar els seus responsables, de manera que l’empresa no va tenir coneixement de la bretxa de seguretat fins que va rebre la notificació de la reclamació davant l’AEPD interposada pel treballador que havia sol·licitat la seva nòmina. En les seves al·legacions, l’empresa afirma que no va comunicar la bretxa de seguretat al seu moment perquè desconeixia el que havia passat i ho atribueix a un error humà, reconeixent que l’empleat va incomplir la política interna de l’empresa.
Per a l’AEPD resulta especialment rellevant analitzar la situació i formació dels empleats en matèria de protecció de dades i ciberseguretat, per la qual cosa requereix a l’empresa l’acreditació de la difusió i transmissió de les polítiques de seguretat i protocols al personal, amb anterioritat a la bretxa. L’empresa manifesta que envia regularment circulars a tots els empleats recordant-los les qüestions rellevants des del punt de vista de seguretat de la informació i protecció de dades i que, a més, l’empleat que va cometre l’error comptava amb la formació necessària per a l’acompliment de les seves funcions.
L’empresa disposa d’una plataforma digital, un portal, on es posa a disposició dels empleats els materials i documentació relatius a la seguretat de la informació. No obstant això, reconeix que no s’ha fet una avaluació d’impacte específica, ja que interpreta que no és considerat un tractament que requereixi aquesta avaluació. En conseqüència, tampoc s’ha documentat una anàlisi de risc específica per a aquest tractament.
L’AEPD indica que suposa un tractament de dades personals la recollida, consulta, comunicació per transmissió i conservació de, entre altres, el nom, adreça, número de DNI/NIE, número de la Seguretat Social, número de compte bancari, salari i el seu desglossament, dels treballadors. L’empresa realitza aquesta activitat en la seva condició de responsable del tractament, ja que és qui determina els fins i mitjans d’aquesta activitat (RGPD art.4.1, 4.2 i 4.7).
Considera que l’empresa no va garantir degudament la confidencialitat i integritat de les dades de caràcter personal dels seus treballadors, ja que es van posar en coneixement d’un tercer no autoritzat. Aquest deure de confidencialitat i integritat té com a finalitat evitar que es realitzin filtracions de dades no consentides pels titulars (RGPD art.5.1.f i 32).
La responsabilitat de l’empresa ve determinada per la bretxa de dades personals, ja que és responsable de prendre decisions destinades a implementar de manera efectiva les mesures tècniques i organitzatives adequades per garantir un nivell de seguretat adequat al risc per assegurar la confidencialitat de les dades, restaurar-ne la disponibilitat i impedir-ne l’accés en cas d’incident físic o tècnic. En aquest cas, es considera que les mesures no eren adequades, independentment de la bretxa produïda. A més, l’actuació negligent de l’empleat en la gestió de les dades personals contingudes en les nòmines dels treballadors no eximeix de responsabilitat l’empresa.
A l’hora d’establir la sanció, es tenen en compte les següents circumstàncies:
- La naturalesa, gravetat i durada de la infracció, tenint en compte la naturalesa, abast o propòsit de l’operació de tractament de què es tracti, així com el nombre d’interessats afectats i el nivell dels danys i perjudicis que hagin sofert (RGPD art. 83.2.a). En enviar la informació per correu electrònic, sense que les dades estiguessin encriptades, suposa un risc més alt de filtració, no només pel destinatari del correu, sinó per qualsevol atacant que podria accedir a les dades en trànsit. A més, la bretxa afecta 447 treballadors.
- Intencionalitat/negligència en la infracció (RGPD art. 83.2.b). Tot i que l’empresa no va actuar amb dol, s’observa falta de diligència en el compliment de les seves obligacions legals, com és l’aplicació i execució de les mesures tècniques i organitzatives apropiades per garantir un nivell de seguretat adequat al risc en els tractaments que duu a terme, concretament, en la gestió de les nòmines dels seus treballadors.
- Les categories de les dades personals afectades per la infracció (RGPD art. 83.2.g). A més de dades personals identificatives dels treballadors, es van filtrar dades de caràcter financer com el número de compte bancari i els ingressos que perceben mensualment.
- S’aplica com a agreujant que el desenvolupament de les activitats de gestió empresarial requereix un tractament continu de dades personals dels seus treballadors i com a atenuant que el missatge de correu electrònic tenia un únic destinatari, i aquest era el treballador reclamant.
Per tot això, la quantia de la sanció administrativa ascendeix a:
- 300.000,00 euros per la infracció del deure de confidencialitat i integritat (RGPD 5.1.f) i 83.5.a)
- 150.000,00 euros per la falta de mesures tècniques i organitzatives adequades per garantir un nivell de seguretat adequat (RGPD art.32 i 83.4.a).
NOTA: L’empresa abona la sanció en pagament voluntari, la qual cosa redueix la quantia a 270.000 euros fent ús de les reduccions previstes. Això implica el reconeixement de la responsabilitat i l’obligació d’adoptar les mesures tècniques i organitzatives necessàries per garantir la seguretat de les dades personals dels seus treballadors, en el termini de 3 mesos.
Llegeix la Resolució aquí