Por parte del Departamento de Educación se envió un correo electrónico en el que se adjuntaba una hoja Excel en la que se pueden visualizar los datos de más de 200 empleados dando a conocer a terceros, sus nombres y apellidos, DNI, puesto de trabajo y una celda adicional para indicar si deseaban realizar un reconocimiento médico.

La reclamada ha alegado que la remisión se realizó a las cuentas de correo corporativas de cada organismo, las cuales son atendidas únicamente por los secretarios/as de altos cargos que hay en cada una de ellas.

Sin embargo, lo que ocurre en este caso no se ajusta a dicho esquema, por cuanto la información relativa al reclamante no se remite únicamente a su unidad, sino que el listado completo de todos los departamentos con el nombre, apellidos, DNI, puesto de trabajo de más de 200 empleados públicos, estaba al alcance de todos los departamentos destinatarios de dicho correo.

Entiende la Agencia que, de haberse establecido unas mínimas medidas de seguridad en el envío del listado, habría podido remitirse a cada unidad únicamente los datos de personal adscrito a cada una de ellas. Sin embargo, se remitió el listado completo a todas.

Con ello, aun admitiendo la posibilidad de que el acceso al buzón corporativo de cada dirección general estuviera restringido, lo cierto es que se revelaban a todas las unidades los datos personales del personal no adscrito a ellas.

Asimismo, el correo electrónico en cuestión, a su vez, arrastra debajo, el que la DG Personal recibió para que se realizara la recolección de información.

Pues bien, ni uno ni otro contienen indicaciones de precauciones dirigidas a los destinatarios para que la recogida de datos se recogiera con la máxima confidencialidad, lo que apunta a falta de medidas de seguridad.

En este sentido, si bien el correo electrónico es una herramienta de comunicación corporativa que facilita y agiliza el funcionamiento en una empresa, a pesar de sus grandes beneficios como la accesibilidad, rapidez y la posibilidad de adjuntar archivos, se hace necesario definir un uso correcto y seguro, toda vez que, en algunas ocasiones, los empleados/as pueden enviar documentos confidenciales a quien no debían por error, o bien desvelar datos personales.

En este sentido es muy importante concienciar al personal, a los usuarios/as del correo corporativo de las amenazas y dotarles de las herramientas adecuadas para que hagan un uso seguro del mismo.

En el caso concreto que se examina, en relación con la categoría de datos a la que terceros han tenido acceso, sobre la posibilidad de combinación de informaciones referidas a un titular de datos personales, se puede traer a colación el Dictamen 4/2007 del Grupo de Trabajo del Articulo 29, “Sobre el concepto de datos personales” que analiza las posibilidades de identificar a alguien a través de combinaciones con otras informaciones, partiendo únicamente de los datos básicos y combinándola con otra.

En concreto indica lo siguiente: (…) cuando hablamos de «indirectamente» identificadas o identificables, nos estamos refiriendo en general al fenómeno de las «combinaciones únicas», sean estas pequeñas o grandes. En los casos en que, a primera vista, los identificadores disponibles no permiten singularizar a una persona determinada, ésta aún puede ser «identificable», porque esa información combinada con otros datos (tanto si responsable de su tratamiento tiene conocimiento de ellos como si no) permitirá distinguir a esa persona de otras.

Aquí es donde la Directiva se refiere a «uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social». Algunas de esas características son tan únicas que permiten identificar a una persona sin esfuerzo (el «actual presidente del Gobierno de España»), pero una combinación de detalles pertenecientes a distintas categorías (edad, origen regional, etc.) también puede ser lo bastante concluyente en algunas circunstancias, en especial si se tiene acceso a información adicional de determinado tipo.

Esta posibilidad supone un riesgo añadido que se ha de valorar y que aumenta la exigencia del grado de protección en relación con la seguridad y salvaguarda de la integridad y confidencialidad de estos datos. Este riesgo debe ser tenido en cuenta por el responsable del tratamiento que, en función de este, debe establecer las medidas técnicas y organizativas necesarias que impida la pérdida de control de los datos por parte del responsable del tratamiento y, por tanto, por parte de los titulares de los datos que se los proporcionaron.

De todo lo anterior, la Agencia considera adecuado sancionar con apercibimiento a la parte reclamada, por infracción del artículo 5.1.f) del RGPD y por la infracción del artículo 32 del RGPD, por la falta de diligencia a la hora de implementar las medidas apropiadas de seguridad con la consecuencia del quebranto del principio de confidencialidad.

Así mismo, le requiere que implante, en el plazo de un mes, las medidas correctoras necesarias para adecuar su actuación a la normativa de protección de datos personales, que impidan que en el futuro se repitan hechos similares, así como que informe a esta Agencia en el mismo plazo sobre las medidas adoptadas.

Resolución AEPD 30 diciembre 2022 PS-00128-2022