Resolución AEPD por difusión de datos sin legitimación
Manuel Castilleja Toscano 04/01/2023 SANCIÓN A UN ORGANISMO PÚBLICO POR ENVIAR UN CORREO ELECTRÓNICO CON UN ADJUNTO CON DATOS PERSONALES SIN LEGITIMACIÓN
La AEPD sanciona a una Administración Pública por enviar un email con un adjunto (Excel) en el que se mostraban datos personales de más de 200 personas trabajadoras, a terceros sin legitimación para hacerlo. Concretamente, esos datos personales eran:
- Nombre y apellidos.
- N.º DNI.
- Puesto de trabajo.
- Voluntad o no de ser sometido/a al reconocimiento médico para la vigilancia de la salud.
Este incidente supone para la AEPD:
- Una vulneración de uno de los principios del tratamiento, el de confidencialidad regulado en el artículo 5.1.f) del RGPD, al haberse producido una comunicación no autorizada de esos datos personales.
- La ausencia de medidas técnicas y organizativas adecuadas a los riesgos de ese tipo de tratamiento, en los términos exigidos por el artículo 32.1 RGPD, que hubiesen evitado esa comunicación no autorizada.
Y por ello sanciona, en este caso con apercibimiento, al tratarse de un responsable de los contemplados en el artículo 77 de la LOPDGDD (Administración pública):
- Por una infracción del artículo 5.1.f) del RGPD, tipificada en el artículo 83.5 del RGPD, de haber sido una entidad privada podría haber supuesto la imposición de multas administrativas de 20 000 000 EUR como máximo o de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior.
- Por una infracción del artículo 32 del RGPD, tipificada en el artículo 83.4 del RGPD, de haber sido una entidad privada podría haber supuesto la imposición de multas administrativas de 10 000 000 EUR como máximo o de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior.
Enlace al PDF de la resolución.