Entrada: Sanción por infracción del Deber de Confidencialidad

ÍNDICE

Deber de Secreto y Deber de Confidencialidad

Antecedentes del procedimiento sancionador

La Agencia Española de Protección de Datos como consecuencia de la instrucción del presente procedimiento sancionador, ha decidido multar con 1.500€ a la mercantil Caffe Vecchio, S.L. por infringir el Deber de Confidencialidad consagrado en la LOPDGDD 3/2018 y en el RGPD UE 2016/679.

La reclamante denuncia en cuestión la publicación de una serie de datos personales referidos a su persona en Internet.

En concreto manifiesta que el reclamado responde a las reseñas negativas que los clientes ponen en Google al establecimiento en el que trabaja, diciendo que el motivo de la reseña es que son amigos de la reclamante a la cual identifica con nombre y apellidos, revelando asimismo los motivos de su sanción en el orden laboral.

A la reclamación anexa cuatro capturas de pantalla en las que, se visualiza la contestación a diferentes reseñas con el mismo texto, que incluye el siguiente texto litera:

«El hecho de que seas amiga de AAA (la reclamante), que además de ser cesada, fue sancionada de empleo y sueldo por la comisión de faltas graves y muy graves por motivos deshonrosos, no te da derecho a dañar la reputación …»

Como consecuencia de estos hechos, la Inspección de Datos procedió a la realización de actuaciones previas de investigación para la aclaración de los hechos en cuestión.

Teniendo conocimiento de los siguientes extremos:

  1. Los datos estaban publicados en el momento de presentar la reclamación.
  2. La existencia de respuestas a reseñas similares a las mencionadas se desprende del resultado de la consulta realizada en una página web (***URL-1).
  3. En este resultado se observa una reseña con una «Respuesta del Propietario» de hace 9 meses con el contenido detallado más arriba.

En septiembre de 2021, la Directora de la AEPD acuerda iniciar procedimiento sancionador, por la presunta infracción del artículo 5.1.f) y 6.1.a) del RGPD.

Hechos probados

En septiembre de 2020, la reclamante interpuso reclamación ante la AEPD, denunciando la publicación de sus datos personales en Internet por parte de la reclamada.

La cual, al responder a las reseñas negativas que los clientes dejaban al establecimiento en el que trabajaba a través de Google, la identificaba con nombre y apellidos, revelando los motivos de su sanción laboral.

Razonamientos jurídicos

Primero

a) El RGPD señala que los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de dichos datos.

Esto se podrá hacer mediante la aplicación de medidas técnicas u organizativas apropiadas.

Por su parte la LOPDGDD señala que los responsables del tratamiento, estarán sujetos al deber de confidencialidad.

Esta obligación será complementaria del deber de secreto profesional.

Estas obligaciones anteriores se mantendrán aun cuando hubiese finalizado la relación del obligado con el responsable del tratamiento.

La documentación obrante en el expediente acredita que la parte reclamada vulneró el Deber de Confidencialidad, al revelar información y datos personales a terceros.

El deber de confidencialidad, tiene como finalidad evitar filtraciones de datos no consentidas por los titulares de éstos.

Segundo

b) Por su parte el Considerando 40 del RGPD, indica que «Para que el tratamiento sea lícito, los datos deben ser tratados con el consentimientos del afectado o sobre otra base legítima».

En consecuencia, se desprende que la parte reclamada vulneró el RGPD, puesto que el tratamiento de los datos se efectuó sin causa legitimadora.

Puesto que no constaba el consentimiento del afectado para el tratamiento de los datos.

De tal manera, se considera que los hechos conocidos son constitutivos de infracción.

Al vulnerarse los artículos 5.1.f) y 6.1.a) del RGPD, al no existir consentimiento ni ninguna otra causa legitimadora.

Tercero

c) La LOPDGDD establece que se consideran muy graves las infracciones siguientes:

  • El tratamiento de datos vulnerando los principios y garantías recogidos en el artículo 5 RGPD.
  • El tratamiento de datos sin que concurra alguna de las condiciones de licitud del artículo 6 RGPD.
  • La vulneración del deber de confidencialidad recogido en el artículo 5 LOPDGDD.

Cuarto

d) Las sanciones previstas en los apartados 4, 5 y 6 del art. 83 RGPD se aplicarán teniendo en cuenta los criterios de graduación del apartado 2 de dicho artículo.

De acuerdo con lo contemplado en el artículo 83.2.k) RGPD también podrá tenerse en cuenta:

  • El carácter continuado de la infracción
  • La vinculación de la actividad del infractor con la realización de tratatamientos de datos
  • Los beneficios obtenidos como consecuencia de la comisión de la infracción
  • La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.
  • La afectación a los derechos de los menores.
  • Disponer, cuando no sea obligatorio, de un DPO.
  • El sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos, en los caso, en los que existan controversias entre aquellos y cualquier interesado.

A efectos de fijar el importe de la sanción por las infracciones del art. 5.1.f) y 6.1 a) RGPD al reclamado, procede graduar la multa teniendo en cuenta la siguiente agravante:

«La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate.

También tendremos en cuenta el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido». Ya que la información está publicada en Internet desde hace once meses.

Considerando todos los factores expuestos, la cuantía de la multa es de 1.500€ por infracción del artículo 5.1.f) y 6.1.a) del RGPD.

Puede ser de interés la entrada que sugiero en este enlace » Sanción por incumplimiento de medida de seguridad»

Otras posibles consecuencias jurídicas de la infracción por incumplimiento del deber de secreto y confidencialidad

Aprovechar la ocasión para comentar de manera sucinta, otras posibles consecuencias derivadas de la infracción del deber de confidencialidad.

Si la información confidencial contiene datos de carácter personal y está sujeta al secreto profesional, podríamos estar incurriendo en un delito tipificado en el artículo 199.2 del Código Penal.

En el ámbito jurídico laboral la infracción de este deber podría acarrear incluso un despido disciplinario, por quebrantamiento de la buena fe contractual.

Y por último en el orden jurídico civil, la persona afectada por la infracción del deber de confidencialidad, podría reclamar o solicitar una indemnización por daños y perjuicios, en el supuesto caso de que éstos se demostrasen convenientemente en vía judicial civil.

Fuente: Procedimiento sancionador AEPD

Picture of Alberto Giménez Rodríguez
Alberto Giménez Rodríguez
Asesor/Auditor/Consultor de Protección de Datos desde 2007 en Admindatos Diplomado en Relaciones Laborales y Especialista Universitario en Empresas de Economía Social Experto en Evaluaciones de Impacto en Protección de Datos Técnico Medio en Prevención de Riesgos Laborales. Especialista en E-Privacy
279a6fa9-c94a-42cd-8843-711aab5d6c4f.jpg

Try Us for a Week
Absolutely Free

downtown, few minutes walk from subway station.

SUSCRÍBETE

Si formas parte de nuestra comunidad recibirás más contenido y documentos como este.

En base al el Artículo 11 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPD) y al artículo 13 del Reglamento General de Protección de Datos de la UE (RGPD)2016/679 del Parlamento Europeo y del Consejo de 27 de Abril de 2016, Admindatos le informa de la existencia de un tratamiento de datos de carácter personal cuyo responsable es Admindatos con CIF: C. I. F. B54242862 con dirección Calle Médico Temístocles Almagro nº 18, 1ª Planta, C.P. 03300, Orihuela (Alicante), teléfono 965 30 63 09 email: info@admindatos.com

Objeto de tratamiento: datos de contacto… más info

Finalidades: Envío de publicidad… más info

Conservación: durante el periodo de vigencia del consentimiento …más info

Legitimación: consentimiento de usuario de la web … más info

Destinatarios: Proveedores de Cookies … más info

Encargados de tratamiento: Proveedor de alojamiento web o hosting y hosting correo electrónico… más info

Transferencias internaciones. Proveedores de Cookies… más info

Ejercicio derechos: acceso, rectificación, supresión, oposición al tratamiento, limitación del tratamiento, portabilidad de sus datos, a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, a retirar el consentimiento en cualquier momento en la dirección Calle Médico Temístocles Almagro nº 18 lc 2, C.P. 03300, Orihuela (Alicante) o mediante vía electrónica, acreditando su personalidad, en la siguiente dirección de correo electrónico a info@admindatos.com más información usted puede consultar nuestra política de privacidad.

Si solo quieres descargar el documento haz clic en el siguiente botón