Una empresa ha sido sancionada por la Agencia Española de Protección de Datos (AEPD) con una multa de 35.000 euros por exponer públicamente los datos personales de más de 10.800 candidatos a procesos de selección, vulnerando varios principios fundamentales del Reglamento General de Protección de Datos (RGPD).
El incidente: acceso público a datos personales
Todo comenzó cuando a un candidato la empresa le dijo que para acceder al empleo debía completar un formulario de Google. Sin embargo, encontró al acceder un enlace donde descubrió un acceso libre a un documento Excel que contenía los nombres, apellidos y números de DNI de miles de aspirantes recopilados desde 2020.
La empresa alegó que se trató de un error puntual, achacado a un empleado recién incorporado que habría compartido por equivocación un enlace sin restricciones. No obstante, el hecho evidenció una ausencia de medidas preventivas básicas para garantizar la confidencialidad y seguridad de los datos personales.
El plazo de conservación: otra infracción relevante
Uno de los aspectos que más agravó la infracción fue la existencia de datos que se remontaban a hace más de cuatro años, pese a que la propia empresa había informado a los interesados de que serían eliminados en un plazo máximo de 18 meses. Este incumplimiento del principio de limitación del plazo de conservación (art. 5.1.e RGPD) pone de manifiesto la importancia de definir y cumplir estrictamente los plazos para la supresión de currículums y otros datos recabados en procesos de selección.
Medidas correctivas exigidas por la AEPD
Además de la sanción económica, la AEPD exigió a la empresa una serie de medidas correctoras inmediatas:
- Bloqueo de los datos y limitación del acceso a los mismos.
- Revisión y actualización de los procedimientos internos del departamento de recursos humanos.
- Notificación de la brecha de seguridad a todos los afectados por correo electrónico, conforme a lo dispuesto en el artículo 34 del RGPD.
- Designación formal de un Delegado de Protección de Datos (DPD), en línea con el artículo 37 del RGPD y el artículo 34 de la LOPDGDD.
Calificación jurídica y reducción de la sanción
La AEPD calificó los hechos como muy graves, especialmente por el volumen de afectados, la sensibilidad de los datos involucrados y la ausencia de controles adecuados, vulnerando los principios recogidos en el artículo 5.1 del RGPD: licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; integridad y confidencialidad.
No obstante, la cuantía de la sanción fue reducida finalmente a 21.000 euros al aplicar los criterios atenuantes previstos en el artículo 83.2 del RGPD, ya que la empresa reconoció su responsabilidad y efectuó el pago voluntario en el plazo estipulado.
No te pierdas la entrevista completa con Javier Nogueroles, que podrás escuchar cada semana en el programa TIC TAC DATOS de ONDA NARANJA COPE.