Deber de Secreto y Deber de Confidencialidad
Antecedentes del procedimiento sancionador
La Agencia Española de Protección de Datos como consecuencia de la instrucción del presente procedimiento sancionador, ha decidido multar con 1.500€ a la mercantil Caffe Vecchio, S.L. por infringir el Deber de Confidencialidad consagrado en la LOPDGDD 3/2018 y en el RGPD UE 2016/679.
La reclamante denuncia en cuestión la publicación de una serie de datos personales referidos a su persona en Internet.
En concreto manifiesta que el reclamado responde a las reseñas negativas que los clientes ponen en Google al establecimiento en el que trabaja, diciendo que el motivo de la reseña es que son amigos de la reclamante a la cual identifica con nombre y apellidos, revelando asimismo los motivos de su sanción en el orden laboral.
A la reclamación anexa cuatro capturas de pantalla en las que, se visualiza la contestación a diferentes reseñas con el mismo texto, que incluye el siguiente texto litera:
«El hecho de que seas amiga de AAA (la reclamante), que además de ser cesada, fue sancionada de empleo y sueldo por la comisión de faltas graves y muy graves por motivos deshonrosos, no te da derecho a dañar la reputación …»
Como consecuencia de estos hechos, la Inspección de Datos procedió a la realización de actuaciones previas de investigación para la aclaración de los hechos en cuestión.
Teniendo conocimiento de los siguientes extremos:
- Los datos estaban publicados en el momento de presentar la reclamación.
- La existencia de respuestas a reseñas similares a las mencionadas se desprende del resultado de la consulta realizada en una página web (***URL-1).
- En este resultado se observa una reseña con una «Respuesta del Propietario» de hace 9 meses con el contenido detallado más arriba.
En septiembre de 2021, la Directora de la AEPD acuerda iniciar procedimiento sancionador, por la presunta infracción del artículo 5.1.f) y 6.1.a) del RGPD.
Hechos probados
En septiembre de 2020, la reclamante interpuso reclamación ante la AEPD, denunciando la publicación de sus datos personales en Internet por parte de la reclamada.
La cual, al responder a las reseñas negativas que los clientes dejaban al establecimiento en el que trabajaba a través de Google, la identificaba con nombre y apellidos, revelando los motivos de su sanción laboral.
Razonamientos jurídicos
Primero
a) El RGPD señala que los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de dichos datos.
Esto se podrá hacer mediante la aplicación de medidas técnicas u organizativas apropiadas.
Por su parte la LOPDGDD señala que los responsables del tratamiento, estarán sujetos al deber de confidencialidad.
Esta obligación será complementaria del deber de secreto profesional.
Estas obligaciones anteriores se mantendrán aun cuando hubiese finalizado la relación del obligado con el responsable del tratamiento.
La documentación obrante en el expediente acredita que la parte reclamada vulneró el Deber de Confidencialidad, al revelar información y datos personales a terceros.
El deber de confidencialidad, tiene como finalidad evitar filtraciones de datos no consentidas por los titulares de éstos.
Segundo
b) Por su parte el Considerando 40 del RGPD, indica que «Para que el tratamiento sea lícito, los datos deben ser tratados con el consentimientos del afectado o sobre otra base legítima».
En consecuencia, se desprende que la parte reclamada vulneró el RGPD, puesto que el tratamiento de los datos se efectuó sin causa legitimadora.
Puesto que no constaba el consentimiento del afectado para el tratamiento de los datos.
De tal manera, se considera que los hechos conocidos son constitutivos de infracción.
Al vulnerarse los artículos 5.1.f) y 6.1.a) del RGPD, al no existir consentimiento ni ninguna otra causa legitimadora.
Tercero
c) La LOPDGDD establece que se consideran muy graves las infracciones siguientes:
- El tratamiento de datos vulnerando los principios y garantías recogidos en el artículo 5 RGPD.
- El tratamiento de datos sin que concurra alguna de las condiciones de licitud del artículo 6 RGPD.
- La vulneración del deber de confidencialidad recogido en el artículo 5 LOPDGDD.
Cuarto
d) Las sanciones previstas en los apartados 4, 5 y 6 del art. 83 RGPD se aplicarán teniendo en cuenta los criterios de graduación del apartado 2 de dicho artículo.
De acuerdo con lo contemplado en el artículo 83.2.k) RGPD también podrá tenerse en cuenta:
- El carácter continuado de la infracción
- La vinculación de la actividad del infractor con la realización de tratatamientos de datos
- Los beneficios obtenidos como consecuencia de la comisión de la infracción
- La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.
- La afectación a los derechos de los menores.
- Disponer, cuando no sea obligatorio, de un DPO.
- El sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos, en los caso, en los que existan controversias entre aquellos y cualquier interesado.
A efectos de fijar el importe de la sanción por las infracciones del art. 5.1.f) y 6.1 a) RGPD al reclamado, procede graduar la multa teniendo en cuenta la siguiente agravante:
«La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate.
También tendremos en cuenta el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido». Ya que la información está publicada en Internet desde hace once meses.
Considerando todos los factores expuestos, la cuantía de la multa es de 1.500€ por infracción del artículo 5.1.f) y 6.1.a) del RGPD.
Otras posibles consecuencias jurídicas de la infracción por incumplimiento del deber de secreto y confidencialidad
Aprovechar la ocasión para comentar de manera sucinta, otras posibles consecuencias derivadas de la infracción del deber de confidencialidad.
Si la información confidencial contiene datos de carácter personal y está sujeta al secreto profesional, podríamos estar incurriendo en un delito tipificado en el artículo 199.2 del Código Penal.
En el ámbito jurídico laboral la infracción de este deber podría acarrear incluso un despido disciplinario, por quebrantamiento de la buena fe contractual.
Y por último en el orden jurídico civil, la persona afectada por la infracción del deber de confidencialidad, podría reclamar o solicitar una indemnización por daños y perjuicios, en el supuesto caso de que éstos se demostrasen convenientemente en vía judicial civil.
Fuente: Procedimiento sancionador AEPD