Tras la finalización de su relación laboral, un empleado solicitó a través de un correo electrónico su nómina de julio al departamento de Recursos Humanos. Posteriormente, recibió un email de un miembro del departamento que contenía un archivo PDF con las nóminas de julio de la totalidad del personal de la empresa, incluyendo datos personales de 447 empleados como nombres, apellidos, números de DNI/NIE, números de Seguridad Social, cuentas bancarias y salarios. Al percatarse del contenido, el extrabajador notificó al remitente y afirmó haber eliminado el archivo de su correo de inmediato.

El empleado de RRHH que envió el archivo no informó a sus superiores del incidente, y la empresa no fue consciente de la brecha de seguridad hasta que la Agencia Española de Protección de Datos (AEPD) recibió una reclamación de un trabajador afectado.

La empresa alegó desconocimiento del suceso, atribuyéndolo a un error humano y admitiendo que el empleado había incumplido la política interna de la compañía. La AEPD puso especial énfasis en la formación y concienciación en protección de datos y ciberseguridad de los empleados, solicitando a la empresa pruebas de la difusión de políticas y protocolos de seguridad. La empresa indicó que enviaba circulares periódicas y que el empleado en cuestión había recibido la formación adecuada, disponiendo de una plataforma digital con materiales sobre seguridad de la información. No obstante, admitió no haber realizado una evaluación de impacto específica para este tipo de tratamiento de datos.

La AEPD señaló que la recopilación, consulta, transmisión y conservación de datos personales como nombre, dirección, número de DNI/NIE, número de Seguridad Social, cuenta bancaria y salario constituyen un tratamiento de datos personales, siendo la empresa responsable de determinar los fines y medios de dicho tratamiento (RGPD art.4.1, 4.2 y 4.7). La entidad no aseguró adecuadamente la confidencialidad e integridad de los datos personales, resultando en una filtración a un tercero no autorizado (RGPD art.5.1.f y 32).

La responsabilidad de la empresa se deriva de la brecha de datos personales y de su obligación de implementar medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos. La negligencia del empleado no exime a la empresa de su responsabilidad.

Al determinar la sanción, la AEPD consideró varios factores:

1. La naturaleza, gravedad y duración de la infracción, incluyendo el número de afectados y el daño sufrido (RGPD art. 83.2.a). El envío de datos no cifrados por correo electrónico aumenta el riesgo de filtración, afectando a 447 empleados.
2. La intencionalidad o negligencia de la infracción (RGPD art. 83.2.b). A pesar de no haber dolo, se aprecia falta de diligencia en la empresa para cumplir con sus obligaciones legales.
3. Las categorías de datos personales afectados (RGPD art. 83.2.g). Se filtraron datos identificativos y financieros, incluyendo números de cuenta bancaria y salarios.
4. Como agravante, la gestión empresarial implica un tratamiento continuo de datos personales, y como atenuante, el correo tenía un único destinatario, el trabajador reclamante.

En consecuencia, la AEPD impuso las siguientes sanciones:

• 300.000 euros por la infracción del deber de confidencialidad e integridad (RGPD 5.1.f y 83.5.a)
• 150.000 euros por la falta de medidas técnicas y organizativas para garantizar un nivel de seguridad adecuado (RGPD art.32 y 83.4.a).