Resolució AEPD per difusió de dades sense legitimació
Manuel Castilleja Toscano 04/01/2023
SANCIÓ A UN ORGANISME PÚBLIC PER ENVIAR UN CORREU ELECTRÒNIC AMB UN ADJUNT AMB DADES PERSONALS SENSE LEGITIMACIÓ
L'AEPD sanciona una Administració Pública per enviar un correu electrònic amb un adjunt (Excel) en què es mostraven dades personals de més de 200 persones treballadores, a tercers sense legitimació per fer-ho. Concretament, aquestes dades personals eren:
- Nom i cognoms.
- Núm. DNI.
- Lloc de feina.
- Voluntat o no de ser sotmès/da al reconeixement mèdic per a la vigilància de la salut.
Aquest incident suposa per a l'AEPD:
- Una vulneració d'un dels principis del tractament, el de confidencialitat regulat a l'article 5.1.f) del RGPD, en haver produït una comunicació no autoritzada d'aquestes dades personals.
- L'absència de mesures tècniques i organitzatives adequades als riscos d'aquest tipus de tractament, en els termes exigits per l'article 32.1 RGPD, que haurien evitat aquesta comunicació no autoritzada.
I per això sanciona, en aquest cas amb advertència, en tractar-se d'un responsable dels contemplats a l'article 77 de la LOPDGDD (Administració pública):
- Per una infracció de l'article 5.1.f) del RGPD, tipificada a l'article 83.5 del RGPD, si hagués estat una entitat privada podria haver suposat la imposició de multes administratives de 20.000.000 EUR com a màxim o d'una quantia equivalent al 4% com a màxim del volum de negoci total anual global de l'exercici financer anterior.
- Per una infracció de l'article 32 del RGPD, tipificada a l'article 83.4 del RGPD, si hagués estat una entitat privada podria haver suposat la imposició de multes administratives de 10.000.000 EUR com a màxim o d'una quantia equivalent al 2% com a màxim del volum de negoci total anual global de l'exercici financer anterior.