Sanción de la AEPD por suprimir de datos de carácter privado y personal en el dispositivo de un exempleado

La Agencia Española de Protección de Datos (AEPD) ha sancionado a una entidad bancaria por borrar datos personales de un terminal corporativo que fue adquirido por una exempleada para uso personal. Tras la reclamación de la empleada, la AEPD concluyó que el borrado de los datos por parte de la entidad supuso el tratamiento de los datos sin base jurídica de legitimación. Lo que necesitas saber:

• La Agencia Española de Protección de Datos (AEPD) ha sancionado a una entidad bancaria por borrar datos personales de un dispositivo corporativo que había sido adquirido por una ex-empleada tras finalizar su relación laboral.
• Si bien la entidad contaba con políticas internas que preveían la posibilidad de eliminar de los dispositivos la información contenida en las aplicaciones corporativas, la AEPD concluye que la entidad no conta con base jurídica de legitimación para proceder al borrado de la información personal de la ex-empleada que excedía de los datos contenidos en aplicaciones corporativas.
• La sanción analizada pone de manifiesto la importancia de definir de forma clara el alcance de las políticas internas y analizar su adecuación a los principios y obligaciones de la normativa de protección de datos.

La Agencia Española de Protección de Datos (AEPD) ha sancionado a una entidad bancaria por proceder al borrado de datos de carácter personal e información privada de un terminal corporativo adquirido posteriormente por la exempleada para uso personal. La AEPD, a raíz de la reclamación interpuesta por la empleada, concluyó que el borrado de los datos por parte de la entidad supuso el tratamiento de los datos sin base jurídica de legitimación. (I) Motivos de la reclamación  La entidad sancionada contaba con un programa que ofrece a sus empleados la posibilidad de adquirir los dispositivos corporativos para su uso personal. Haciendo uso de la posibilidad ofrecida por la entidad, la interesada, tras finalizar su relación laboral con la entidad, accedió a adquirir el terminal corporativo con el que trabajaba. La reclamante indica ante la AEPD que meses después de cesar su relación laboral con la entidad, el terminal dejo de estar activo por lo que, tras contactar con la entidad esta le indicó que debía restaurarlo a valores de fábrica, implicando la pérdida de toda la información contenida en el terminal. La reclamante denuncia que esta práctica ha supuesto la eliminación de su información personal sin autorización ni previo aviso y la pérdida de control sobre sus datos. Ante estos hechos, la entidad sancionada alegó que se encontraba facultada para eliminar los datos del dispositivo en cualquier momento durante la relación laboral entre las partes o a la finalización de dicha relación laboral. A estos efectos, la entidad alega que la política interna para la adquisición de los dispositivos prevé expresamente que la entidad pueda eliminar, de forma física o remota y en cualquier momento durante la relación laboral o posteriormente, todos los datos de las aplicaciones corporativas contenidas en el dispositivo sin necesidad de aviso previo. (II) Obligaciones incumplidas Considera la AEPD que, si bien las condiciones de uso del dispositivo corporativo otorgaban a la Entidad el derecho a eliminar todos los datos que se encontraban en las aplicaciones corporativas contenidas en el dispositivo ello no implicaba la posibilidad de eliminar los datos no incluidos en dichas aplicaciones corporativas y que afectaban a datos e información de carácter personal de la parte reclamante contenidas en el dispositivo adquirido. Concluye, por tanto, que la posibilidad de suprimir los datos recogida en la política interna de la Entidad debía ser aplicable solamente a la información contenida en las aplicaciones corporativas, pero no abarcaba el borrado de los datos que no formaran parte de esas aplicaciones, es decir, de los datos e información de carácter personal de la parte reclamante almacenados en el propio dispositivo adquirido por la misma. Asimismo, estima la Agencia que el borrado de los datos tras haber transcurrido tiempo desde el cese de la relación laboral debería ser excepcional. Por ello, la Agencia aprecia que, conforme a lo establecido en el RGPD, no se ha acreditado que la Entidad contase con base legitimación alguna para el tratamiento de datos llevado a cabo (en este caso, para proceder al borrado de la información). Para la imposición de la cuantía de la sanción impuesta, la AEPD tiene en cuenta:

• la naturaleza y gravedad de la infracción, en tanto considera que la actuación de la Entidad afecta a la legitimidad como principio básico del tratamiento de los datos, considerado de mayor gravedad por la normativa;
• la intencionalidad o negligencia de la Entidad, por incumplimiento de los propios procedimientos internos implantados y falta de diligencia por parte del responsable del tratamiento. Se apoya para ello, en la jurisprudencia del Tribunal Supremo, considerando que existe imprudencia siempre que se desatiende un deber legal de cuidado, es decir, cuando el infractor no se comporta con la diligencia exigible; diligencia que ha de ponderarse el atendiendo a la profesionalidad del sujeto infractor.

Asimismo, se tienen en cuenta el volumen de ventas de la Entidad sancionada, como factor agravante. (III) Conclusiones Esta resolución es relevante porque pone de manifiesto la importancia de definir de forma clara el alcance de las políticas internas y analizar su adecuación a los principios y obligaciones de la normativa de protección de datos. Por ello, el desarrollo e implementación de cualquier proceso o procedimiento interno, especialmente aquellos con un mayor impacto en la manejo de información y datos personales, deben diseñarse teniendo en cuenta los principios y obligaciones contemplados en la normativa de protección de datos y el impacto para los derechos y libertades de los interesados, integrando en su desarrollo e implementación un enfoque de riesgo que refuerce la diligencia del responsable y permita prevenir conflictos y posibles infracciones de la normativa de protección de datos.