La (AEPD) ha multado con 5.000 euros a la empresa Servicios Integrales del Hogar Tenerife S.L por difundir una notificación de embargo de nómina de una empleada a terceros sin su consentimiento a través de WhatsApp. Esto vulnera el artículo 6 del Reglamento General de Protección de Datos (RGPD).
De acuerdo a la resolución la reclamante fue trabajadora de la entidad que tras desvincularse de la misma, recibió una notificación a la sede de la empresa sobre un embargo de nómina. A la empresa se le ocurrió la brillante idea de comunicarlo, a través de WhatsApp, por lo que se le envió a un familiar una fotografía del comunicado.
La inspección de la agencia española de protección de datos comunicó a la empresa la reclamación para que, la atendiese y realizase alegaciones.
En el escrito de respuesta, la empresa argumentó que la persona que envió el mensaje por la aplicación de mensajería instantánea lo hizo a través de su teléfono personal y no del de empresa y que, además, ésta no tenía un contrato laboral porque era autónoma colaboradora.
También argumentó que la trabajadora que cometió la infracción fue avisada por escrito de que dichos actos podrían traer consecuencias y medidas disciplinarias.
Asimismo, explicaron a la AEPD que, para evitar que esto volviese a ocurrir, se iban a impartir cursos de formación relativa a la protección de datos de la empresa incluyendo instrucción específica a la persona que envió el mensaje. Por último, la empresa destacó que la documentación sensible se encontraba bajo llave, que sólo podía acceder a ella el personal autorizado y que ésta ya no tenía acceso a tal información.
No obstante, la AEPD ha detallado que, al reconocer la empresa que entre las funciones de la trabajadora que enviaba el WhatsApp se encontraba la gestión de personal, la responsable es la organización con independencia de que sea autónoma o no y, por tanto, la que tiene que hacerse cargo de la infracción y la correspondiente sanción.
Una vez atendidos los argumentos de la empresa, la AEPD consideró que estaban ante un tratamiento ilícito de datos personales, lo que supone una infracción del artículo 6 del Reglamento General de Protección de Datos (RGPD). Pues los datos han sido tratados sin haberse acreditado ningún tipo de legitimación y, por tanto, le ha impuesto una sanción de 5.000 euros.