Multada con 35.000 euros una empresa cuya actividad se encuentra vinculada al tratamiento de datos por vulnerar los de sus candidatos

La Agencia Española de Protección de Datos (AEPD) ha sancionado con 35.000 euros a una empresa, cuya actividad se encuentra vinculada con el tratamiento de datos de carácter personal, por haber facilitado a terceros un listado interno de candidatos que contenía datos personales de los mismos: podían acceder a un documento Excel con nombres, apellidos y DNI de 10.837 personas.

La resolución dictada por la AEPD (disponible en el botón ‘descargar resolución’) llega a raíz de que el organismo público acordara iniciar un procedimiento sancionador contra la citada empresa dedicada a soluciones tecnológicas después de que uno de esos candidatos interpusiera una reclamación informando de los hechos.

La parte reclamante manifestó a la Agencia que la empresa llamaba por teléfono ofreciendo puestos de trabajo y, posteriormente, enviaba un correo electrónico a esos candidatos para que cedieran sus datos personales. En el citado correo venía incluido un formulario de Google que indicaba que se cederían los datos a otras entidades que trabajan con la empresa. El problema era que esa información que se proporcionaba en el formulario terminaba en una hoja de cálculo (un Excel) a la que podía acceder cualquier persona que dispusiera de la URL a dicho documento, el cual contenía también el nombre y DNI de personas que no habían permitido que se cedieran sus datos.

El reclamante también informaba que otro apartado del formulario que se debía rellenar indicaba que los datos se mantendrían durante un periodo máximo de 18 meses, sin embargo, en la hoja de cálculo había datos cedidos desde el año 2020, es decir, que la empresa conservaba esos datos desde hacía, al menos, 48 meses, ya que la reclamación interpuesta ante la AEPD se realizó en octubre de 2024.

Junto a la reclamación se aportó el documento Excel con 10.837 personas y la cláusula de consentimiento del formulario enviado por la empresa reclamada, apareciendo nombre, apellidos y DNI de los usuarios que habían rellenado el formulario. Asimismo, se adjuntaron los dos enlaces que venían en el citado correo electrónico: uno que redirigía al formulario, y otro que redirigía al documento Excel.

(Imagen: E&J)

La empresa reconoció el error y adoptó las medidas necesarias

La Agencia Española de Protección de Datos dio traslado de dicha reclamación a la mercantil reclamada. Ésta, por su parte, contestó reconociendo que se había producido “un error administrativo” que calificaba de “puntual” al haberse incluido un enlace de uso interno junto al enlace del registro que se enviaba a los candidatos para solicitar su consentimiento y cesión del tratamiento de la candidatura.

La empresa aseguraba a la AEPD que tras recibir la notificación de este organismo se reunió “sin dilación” con la empresa de consultoría externa en materia de protección de datos, instándole a recabar una información relativa al incidente expuesto por la Agencia para reflejarla en la incidencia de seguridad oportuna. Del análisis realizado, se compró que el error administrativo provenía de un técnico de selección incorporado recientemente que, a pesar de haber recibido la formación de incorporación en la empresa adecuada, envió el email al candidato para que se registrase, incorporando dos enlaces, tanto el enlace interno como el externo, en vez únicamente este último.

Asimismo, la mercantil reclamada informaba a la Agencia que ya había adoptado las medidas necesarias para corregir la incidencia. Esas medidas consistían en limitar el acceso a dicho enlace interno, de manera que el enlace quedó deshabilitado y, por tanto, los datos ya no estaban accesibles desde el citado enlace; y la otra medida implantada consistía en que fuera el personal técnico de la empresa el único que tuviera acceso a los datos de los candidatos que habían otorgado su consentimiento en los últimos 18 meses, mientras que el resto de los datos cuyo plazo legal de conservación ya había expirado permanecerían bloqueados hasta su eliminación total.

(Imagen: E&J)

Se vulneró la normativa en materia de protección de datos de carácter personal

El Reglamento General de Protección de Datos (RGPD) dispone en su artículo 5.1, letra f) —principios relativos al tratamiento— que “los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad» (…)”.

Conforme a lo dispuesto en el precepto legal citado, la empresa reclamada vulneró el artículo 5.1.f) del RGPD por cuanto permitió el acceso a los datos de carácter personal pertenecientes a terceros al haber remitido el enlace de la hoja de cálculo que contenía esos datos, dando así “acceso sin ninguna limitación y control a un listado interno de candidatos elaborado por la parte reclamada”, señala al Agencia Española de Protección de Datos en la resolución.

Y si bien es cierto que la mercantil ha reconocido el error administrativo —calificando el mismo de “puntual”— y ha tomado medidas para poner fin a esa incidencia, también es una realidad que “no se aprecian medidas anteriores que pudieran haber evitado la incidencia producida”, señala la AEPD.

Agencia Española de Protección de Datos. (Imagen: AEPD)

35.000 euros de multa por no garantizar la confidencialidad de los datos

En consecuencia, dado que la empresa reclamada no garantizó debidamente la confidencialidad de los datos de carácter personal de los candidatos, la Agencia ha procedido a sancionarla administrativamente a la mercantil con 35.000 euros.

A efectos de decidir sobre la multa y su cuantía se ha tenido en cuenta la gravedad de la infracción. En el presente caso aparecían los datos de 10.837 personas, incluyendo nombre, apellidos y DNI de los usuarios que habían rellenado el formulario. En este sentido, la AEPD señala que, “por lo que si bien el presente procedimiento sancionador nace de una reclamación, el alcance de los posibles afectados por esta misma circunstancia afectaría a todos aquellos cuyos datos se han revelado”.

Asimismo, también se ha tenido en cuenta la intencionalidad o negligencia en la infracción. “Se observa falta grave de diligencia en el cumplimiento de las obligaciones que le impone la normativa de protección de datos, al posibilitar el acceso a los datos de carácter personal vulnerando su confidencialidad”, ha razonado la AEPD.

Por último, también se ha tenido en cuenta que la actividad de la empresa se encuentra vinculada con el tratamiento de datos de carácter personal tanto de clientes como de terceros. “En la actividad de la entidad reclamada en la que se han producido los hechos es imprescindible el tratamiento de datos de carácter personal por lo que, dado su objeto y volumen de negocio la transcendencia de la conducta objeto de la presente reclamación es innegable”, ha afirmado la Agencia Española de Protección de Datos en la resolución.