La Agencia Española de Protección de Datos (AEPD) ha sancionado a la empresa SARARTE, S.L., con una multa administrativa de 3.600 euros debido a la cesión no consentida de datos personales. Y es que, el número de teléfono móvil de la trabajadora fue compartido con 18 personas sin la autorización previa, lo que claramente vulnera lo estipulado en la normativa de protección de datos.
El procedimiento sancionador se inició a raíz de una reclamación presentada el 21 de marzo de 2024, tras un incidente ocurrido días antes. Según la denunciante, el 12 de marzo de 2024, su teléfono móvil personal experimentó un bombardeo de llamadas y mensajes que saturaron su móvil. Entre todas ellas, la única que logró contestar procedía de una persona que le informó que su número había sido facilitado por SARARTE.
El motivo por el que la empresa compartió su número de teléfono
Durante el proceso de comunicación con SARARTE para solicitar explicaciones sobre el incidente, la empresa reconoció haber proporcionado los datos, alegando que asumieron que dicho número sería utilizado por la trabajadora en sus funciones laborales, ya que la empleada no había proporcionado un número adicional. En un intercambio de correos electrónicos, la empresa argumentó que se vieron en la “obligación” de compartir los datos ante la falta de respuesta de la empleada y la urgencia de coordinar tareas relacionadas con el proyecto en el que estaba asignada.
Además de la cesión del número de teléfono, la reclamación también incluía denuncias sobre la creación de una dirección de correo electrónico que vinculaba el correo personal de la trabajadora como información de recuperación, acción que ella aseguró no haber autorizado. SARARTE, sin embargo, negó haber creado dicha cuenta y afirmó que las direcciones utilizadas para este tipo de servicios laborales siempre están asociadas a un dominio corporativo.
Base jurídica y evaluación
En cuanto la afectada interpuso una denuncia a la empresa por vulnerar sus derechos de protección de datos, la AEPD estudió el caso y determinó que SARARTE incumplió el artículo 6.1 del Reglamento General de Protección de Datos (RGPD), el cual establece que el tratamiento de datos personales solo es lícito si cuenta con una base jurídica que lo ampare, como el consentimiento explícito, que en este caso no existía. Aunque SARARTE dispone de un protocolo interno para la gestión de datos personales, que incluye el consentimiento firmado por los empleados, en este caso no se había completado dicho trámite, y la empresa admitió su error.
El organismo regulador analizó los hechos argumentando que el consentimiento debe ser libre, informado, específico e inequívoco. En el ámbito laboral, el consentimiento tiene especial relevancia, ya que existe una relación asimétrica de poder entre empleado y empleador que podría afectar la libertad de decisión del trabajador. La AEPD también destacó que no existen evidencias que permitan validar el uso de estos datos sin autorización expresa y que el formulario de SARARTE no incluye cláusulas que permitieran amparar el uso del teléfono personal de la reclamante.
Por este motivo, la resolución de la agencia dictó que la imposición de una sanción inicial de 6.000 euros, que fue reducida a 3.600 euros debido al reconocimiento de responsabilidad por parte de SARARTE y el pago voluntario de la multa en los plazos establecidos. Asimismo, la empresa recibió una reducción del 40% sobre la cantidad original al renunciar a su derecho de recurrir en vía administrativa la resolución sancionadora.
No obstante, además de la multa económica, la AEPD ordenó a SARARTE implementar medidas específicas para garantizar el cumplimiento de la normativa en futuras operaciones de tratamiento de datos. Entre estas medidas destacaron la revisión de los procedimientos internos relacionados con el uso de correos electrónicos y teléfonos personales de los empleados. De este modo, la empresa deberá remitir a la AEPD, en un plazo máximo de tres meses, pruebas del cumplimiento de estas acciones.
