Vulnera la LOPD entregar a la esposa de un trabajador un certificado de los servicios prestados en la compañía, independientemente de que fuera a utilizarse en un proceso judicial
La Agencia Española de Protección de Datos (AEPD) ha emitido una resolución en la que declara que vulnera la normativa de protección de datos el hecho de entregar a la esposa de un trabajador un certificado de prestación de servicios en la empresa. En su resolución, la AEPD recuerda que una empresa no puede revelar ni dar a conocer los datos personales contenidos en sus ficheros a
terceros, salvo con consentimiento del denunciante o en los casos expresamente autorizados por la Ley (Resolución R/01513/2018 de la AEPD, Procedimiento Nº: A/00243/2018)
El caso concreto
Con fecha 2 de abril de 2018 un trabajador interpuso una denuncia ante la AEPD, en la que exponía que en la contestación a la demanda del procedimiento de Modificación de Medidas, seguido en el Juzgado de primera instancia nº 7 de Toledo, la parte contraria aportó una certificación del representante de la empresa, de fecha 10 de enero de 2017, en la que certificaba: “que el denunciante estuvo trabajando desde el 8 de septiembre de 2014 hasta el 17 de mayo de 2015 en la citada empresa, extinguiendo su relación laboral de forma voluntaria, alegando su no adaptación al puesto de trabajo, aun habiendo recibido formación”.
El denunciante manifestaba que el citado certificado, cuya copia aporta, se elaboró por la empresa denunciada previa petición de su esposa (o de su abogado) para ser aportado en el procedimiento judicial con el fin de desprestigiarle.
En concreto, mediante certificado de fecha 10 de enero de 2017, la entidad denunciada facilitó a la esposa del afectado, a través del representante legal de ésta, información relativa al periodo en que el denunciante prestó servicios en la compañía (fechas de alta y baja) así como los motivos y forma en que se extinguió dicha relación contractual. Dicha conducta se produjo sin contar con el consentimiento del trabajador, ya que la AEPD entiende que el hecho de que dicha información fuera requerida a los efectos de ser utilizada en un procedimiento judicial no habilitaba la comunicación de datos del denunciante que se llevó a cabo por la empresa denunciada.
Cuestión distinta, razona la resolución, hubiera sido que tal información hubiera sido requerida por el Juzgado de 1ª Instancia nº 7 de los de Toledo desde el que se seguía el procedimiento judicial de modificación de medidas en cuestión. Así, el artículo 11.2.d) de la LOPD exime del consentimiento previo del interesado “Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. (…)”.
Pero en este caso, entiende la AEPD, no es el juzgado quien formula la petición y la empresa difundió a terceros datos de carácter personal del denunciante sin consentimiento o autorización del mismo, no concurriendo tampoco habilitación legal que amparase tal revelación de datos, circunstancias que no se producen en este supuesto, lo que establece la base de facto para fundamentar la imputación de la infracción del artículo 10 de la LOPD.
En ese sentido, y en relación con ese artículo 10, el artículo 44.3.d) de la LOPD califica como infracción grave: “la vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley”.
Resolución aplicable al caso concreto
En este caso, a pesar de que se ha cometido una infracción grave, la AEPD recuerda que no obstante, el apartado 6 del artículo 45 de la LOPD dispone que: “excepcionalmente el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, no acordar la apertura del procedimiento sancionador, y en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran una serie de requisitos».
Y en este caso, razona la AEDP, aunque la infracción cometida por la empresa es grave, éste no ha sido sancionada o apercibida por la Agencia Española de Protección de Datos en ninguna ocasión anterior; y concurren de manera significativa varias de las circunstancias descritas en el artículo 45.4 de la LOPD: concretamente, el hecho de que la entidad denunciada no tenga como actividad principal el tratamiento de datos y la ausencia de beneficios obtenidos como consecuencia de la comisión de la infracción.
Además, la entidad denunciada ha indicado que tras recibir el requerimiento de información de la AEPD, procedió a adoptar una serie de medidas correctoras para evitar situaciones como la analizada, como son la revisión de los protocolos y políticas de protección de datos personales existentes, entre ellas, recordar al personal que sólo pueden ser entregados datos personales a los interesados, salvo que exista consentimiento de los mismos para su comunicación a terceros o concurra alguno de los supuestos legalmente previstos para dicha revelación de datos a terceros. Por todo ello, en este caso, la AEPD acuerda proceder al archivo de las actuaciones practicadas sin practicar apercibimiento o requerimiento alguno a la compañía.
