portal experto RRHH

La solución para expertos en gestión de personas

La AEPD resuelve que la empresa es responsable de la brecha de seguridad producida por la actuación negligente de un empleado del departamento de RRHH, que envía por error a otro trabajador un email con un archivo adjunto, sin cifrar, que contiene las nóminas de todos los empleados.

Con motivo de la terminación del contrato laboral, un trabajador solicita por email su nómina de julio al departamento de RRHH. Como respuesta, unos días después recibe un correo electrónico remitido por una persona de dicho departamento, que contiene un archivo PDF con las nóminas del mes de julio de toda la plantilla. En concreto, el archivo contiene la información 446 trabajadores con los siguientes datos personales: nombre, apellido, número de DNI/NIE, número de la Seguridad Social, número de cuenta bancaria y retribución percibida. Al ver el contenido del archivo, el extrabajador se lo comunica al remitente y asegura que lo elimina de su correo inmediatamente. El empleado de RRHH que remitió el archivo no informó de ello a sus responsables, por lo que la empresa no tuvo conocimiento de la brecha de seguridad hasta que recibió la notificación del traslado de la reclamación ante la AEPD interpuesta por el trabajador que solicitó su nómina. En sus alegaciones, la empresa afirma que no comunicó la brecha de seguridad a su debido tiempo porque desconocía lo ocurrido y lo atribuye a un error humano, reconociendo que el trabajador incumplió la política interna de la empresa.

Para la AEPD resulta especialmente relevante analizar la situación y formación de los empleados en materia de protección de datos y ciberseguridad, por lo que requiere de la empresa la acreditación de la difusión y traslado de las políticas de seguridad y protocolos al personal, con anterioridad a la brecha. La empresa manifiesta que envía regularmente circulares a todos los empleados recordándoles las cuestiones relevantes desde el punto de vista de seguridad de la información y protección de datos y que, además, el empleado que cometió el error contaba con la formación necesaria para el desempeño de sus funciones. La empresa dispone de una plataforma digital, un portal, en el que se pone a disposición de los empleados los materiales y documentación relativos a seguridad de la información. Sin embargo, reconoce que no se ha realizado una evaluación de impacto específica, ya que interpreta que no es considerado un tratamiento que requiera esta evaluación. En consecuencia, tampoco se ha documentado un análisis de riesgo específico para este tratamiento.

La AEPD indica que supone un tratamiento de datos personales la recogida, consulta, comunicación por transmisión y conservación de, entre otros, el nombre, dirección, número de DNI/NIE, número de la Seguridad Social, número de la cuenta bancaria, salario y su desglose, de los trabajadores. La empresa realiza esta actividad en su condición de responsable del tratamiento, dado que es quien determina los fines y medios de tal actividad (RGPD art.4.1, 4.2 y 4.7).

Considera que la empresa no garantizó debidamente la confidencialidad e integridad de datos de carácter personal de sus trabajadores, habiéndose puesto en conocimiento de un tercero no autorizado. Este deber de confidencialidad e integridad, debe entenderse que tiene como finalidad evitar que se realicen filtraciones de datos no consentidas por los titulares de los mismos (RGPD art.5.1.f y 32).

La responsabilidad de la empresa viene determinada por la brecha de datos personales, ya que es responsable de tomar decisiones destinadas a implementar de manera efectiva las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo para asegurar la confidencialidad de los datos, restaurando su disponibilidad e impedir el acceso a los mismos en caso de incidente físico o técnico. En este caso, se considera que las medidas no eran apropiadas, independientemente de la brecha producida. Además, la actuación negligente del empleado en la gestión de los datos personales obrantes en las nóminas de los trabajadores no exime de responsabilidad a la empresa.

A la hora de establecer la sanción, tiene en cuenta las circunstancias siguientes:

1. La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido (RGPD art. 83.2.a). Al haberse enviado la información por correo electrónico, sin estar cifrados los datos, supone un mayor riesgo de filtración de mismos, no sólo por el destinatario del correo, sino por cualquier atacante que podría acceder a los datos en tránsito. Además, la brecha afecta a 447 trabajadores.
2. Intencionalidad/negligencia en la infracción (RGPD art. 83.2.b). Aunque la empresa no actuó con dolo, se observa falta de diligencia en el cumplimiento de sus obligaciones legales en materia de, como es el cumplimiento y puesta en práctica de las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo en los tratamientos que lleva a cabo, concretamente, en la gestión de las nóminas de sus trabajadores.
3. Las categorías de los datos de carácter personal afectados por la infracción (RGPD art. 83.2.g). Además de datos personales identificativos de los trabajadores, se filtraron datos de carácter financiero como el número de cuenta bancaria y los ingresos que perciben mensualmente.
4. Aplica como agravante que el desarrollo de las actividades de gestión empresarial requiere un tratamiento continuo de datos personales de sus trabajadores, y como atenuante que el mensaje de correo electrónico tenía un único destinatario, y es el trabajador reclamante.

Por todo ello, la cuantía de la sanción administrativa asciende a:

• 300.000,00 euros por la infracción del deber de confidencialidad e integridad (RGPD 5.1.f) y 83.5.a)
• 150.000,00 euros por la falta de medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado (RGPD art.32 y 83.4.a).

NOTA: La empresa abona la sanción en pago voluntario, lo que reduce la cuantía a 270.000 euros haciendo uso de las reducciones previstas. Esto implica el reconocimiento de la responsabilidad y la obligación de adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos personales de sus trabajadores, en el plazo de 3 meses.

Resol AEPD PS/00238/2024