La solución para expertos en gestión de personas
Si no encuentras lo que buscas o prefieres contactar con un agente, llámanos
91 210 80 00 - 902 44 33 55 Fax: 91 578 16 17 / 91 210 80 01 Lunes a viernes de 8:30 a 20 hSi lo prefieres, escríbenos un correo electrónico a:
clientes@lefebvre.es Enviar mailSolicita asistencia online de uno de nuestros agentes para ayudarte a lo largo de tu sesión
Lunes a Jueves: 10:00-14:00 y 16:00-18:00 / Viernes: 9:00-14:00
En el ámbito laboral, el consentimiento específico, informado e inequívoco cobra especial relevancia por la diferente posición que ocupan el empleador y el empleado. Por este motivo, es fundamental para la empresa seguir un protocolo correctamente estandarizado y tener un formulario de consentimiento que cumpla todos los requisitos legalmente exigidos. La utilización de datos personales de los trabajadores solo puede realizarse cuando ha sido consentida previamente.
El procedimiento se inicia por una reclamación de la trabajadora que denuncia el uso indebido sus datos personales sin su consentimiento. En concreto, expone que la empresa facilitó sus datos personales, teléfono móvil personal incluido, a 18 personas, sin haber solicitado previamente su consentimiento, provocando el colapso de su móvil. En la única llamada que puede responder, la persona que le indica que la empresa le ha facilitado sus datos. Contactada por correo electrónico, la empresa, reconoce haber facilitado sus datos, argumentando que entienden que es el teléfono que va a utilizar para sus tareas laborales de la empresa, pues no ha dado otro para ello. Además, la empresa habría creado una cuenta de correo electrónico utilizando su número de teléfono y correo personal como datos de recuperación, sin su consentimiento. La trabajadora aportó como prueba un correo de Google informándole de esta acción.
La empresa reconoce los hechos, incumpliendo sus propios protocolos, y alega que la trabajadora no había completado un formulario de consentimiento. Expone que, cuando contrata a una persona le envía un documento estandarizado en relación con el tratamiento de sus datos como trabajadora, que incluye unas casillas para indicar si consiente que sus datos personales sean cedidos a terceros. En caso de que la persona contratada no exprese su consentimiento, la empresa le facilita correo electrónico, teléfono o los medios que el proyecto que coordina requiera para las comunicaciones que tenga que realizar como parte de su relación laboral. Sin embargo, en este caso, se habría utilizado por error su teléfono sin haber consentido expresamente la trabajadora, al no constar cumplimentado por la misma el formulario mencionado. Indica, además, que a raíz de este incidente ha revisado su política de seguridad e introduciendo una doble comprobación en relación con su consentimiento.
La AEPD recuerda que debido a la diferente posición que ocupan el empleador y el empleado, el consentimiento, libremente expresado cobra una especial relevancia, siendo necesario que se acredite que la no prestación del consentimiento por el trabajador no implicará ninguna consecuencia negativa para el mismo, de tal forma que quede garantizada su libre prestación. Sin estas condiciones, la prestación del consentimiento no ofrecería al interesado un verdadero control sobre sus datos personales y el destino de los mismos, y ello haría ilegal la actividad del tratamiento.
En el supuesto denunciado, el formulario de consentimiento utilizado por la empresa no cumple con los requisitos del RGPD art.13, ya que no informa adecuadamente sobre el tratamiento de datos, su finalidad y base jurídica o el derecho a retirar el consentimiento. Tampoco ha establecido ningún mecanismo para que los interesados puedan prestar un consentimiento explícito. Por tanto, se ha producido dicho tratamiento sin haber consentimiento ni otra base jurídica que lo ampare), lo que supone una infracción del RGPD art. 6.1.
Por el contrario, en relación con la utilización del correo electrónico particular de la trabajadora como dirección de recuperación para la cuenta, considera que no queda acreditado que la creación de dicha cuenta se realizara por parte de la empresa, ni hay indicios de que así sea, en la medida en que se trata de una cuenta de Gmail, que puede ser abierta por cualquier particular, y la empresa, por su parte, tiene un dominio propio para sus cuentas de correo.
A efectos de imponer la sanción correspondiente, la AEPD tiene en cuenta la gravedad de la infracción (RGPD art. 83.2 a), en la medida en que la cesión del número de teléfono sin consentimiento hace perder a la trabajadora el poder de disposición sobre dicho dato personal. Del mismo modo, considera la existencia de negligencia (RGPD art. artículo 83.2 b) en la infracción, en la medida en que la empresa ha incumplido su propio protocolo en relación con la utilización de datos personales de sus trabajadores solo cuando ésta ha sido consentida previamente.
Considerando todo ello, la propuesta inicial es de una multa de 6.000,00 euros, por la infracción del RGPD art.6.1. Se aplican las reducciones previstas por reconocimiento de la responsabilidad (20%) y pago voluntario y renuncia a cualquier recurso administrativo. (reducción adicional del 20%), por lo que la sanción final es de 3.600 euros. Además, como medidas correctivas, se impone a la empresa el deber de revisar sus procedimientos para garantizar que los datos personales de los trabajadores solo se utilicen con consentimiento válido, debiendo acreditar este hecho ante la AEPD en el plazo de 3 meses
