El reclamante manifiesta que la entidad reclamada ha revelado datos de salud (en concreto fechas de bajas médicas, motivos, y permisos) a otra empresa, así como su dirección de correo personal, y todo ello sin su consentimiento. La entidad reclamada facilitó no solo las ausencias, sino también las fechas de las bajas y permisos con sus respectivas causas, entre ellas COVID.

Alega la constructora reclamada que, de conformidad con el art. 9.2 f) RGPD los datos personales del reclamante fueron cedidos para su defensa ante una reclamación.

LA AEPD rechaza tal alegación, pues el uso de datos de salud, aun cuando se cuente con esta excepción del art. 9.2 f) , no queda amparado si violenta el art. 5.1.c) RGPD y, entiende la Agencia, que los datos cedidos son excesivos en relación con la finalidad, pues no se ha justificado la necesidad de explicitar todas las vacaciones, permisos y, especialmente por ser datos de salud, las bajas con sus causas para procurar su defensa.

Así, aunque a la parte reclamada se le reconoce legitimación para remitir los datos necesarios para defenderse de un procedimiento sancionador o de las penalidades que se le pudieran imponer derivadas del incumplimiento de un contrato administrativo, no debe olvidarse que el RGPD recoge la salud como una categoría de los datos personales especialmente protegidos.

Por lo tanto, la entidad reclamada se ha extralimitando en el tratamiento de los datos personales del reclamado ya que, aunque tiene legitimidad para su uso interno en sus relaciones con el trabajador o reclamante, no la tiene para utilizarlos más allá de su relación laboral con el reclamante, sin su consentimiento expreso.

Por lo tanto, al cederse datos de salud del reclamante, y el correo electrónico personal del reclamante, esta Agencia considera por un lado que se están tratando datos especialmente protegidos y, por otro, se están tratando datos de carácter personal (correo electrónico personal) para una finalidad distinta a la mera comunicación entre el trabajador y la empresa, de conformidad con el art. 5.1 b) RGPD.

Todo ello redunda en una utilización excesiva de datos personales por parte de la entidad reclamada, ya que pese a que la normativa de protección de datos exige que el tratamiento de los datos personales sea adecuado, pertinente y limitado a lo estrictamente necesario en relación con los fines para los que son tratados, como consecuencia de la denuncia presentada por el reclamante contra la entidad reclamada ante la Entidad Pública Empresarial de Vivienda-Donostiako Etxegintza por falta de adscripción de medios humanos y materiales

Queda acreditado un exceso de datos personales aportados por parte de la entidad reclamada para justificar su actuación, en perjuicio del reclamante, al tratar datos especialmente sensibles, y por ello especialmente protegidos, como son los datos de salud, de conformidad con lo establecido en el artículo 9 del RGPD, con lo que se sanciona a la reclamada.

Resolución AEPD PS/00324/2021 de 14 de diciembre de 2021.