En algunas profesiones, como por ejemplo los asesores, consultores, gestores… es habitual que los clientes de estas entidades sean atendidos por un consultor, persona física, que gestione una determinada cartera y con el que estén acostumbrados a hablar. Sin embargo, estos profesionales pueden cambiar de empresa o bien ser despedidos de la actual, lo que conlleva el cambio de persona de contacto a los clientes. Pero ¿es licito informar a los clientes del motivo de cambio de contacto habitual?
Sobre esta cuestión, la Agencia Española de Protección de Datos (en adelante AEPD) ha publicado hace unos dias una resolución, con número de expediente EXP202318259.
Comencemos enumerando los motivos en los que se basa la reclamación previa que origina el mencionado procedimiento:
1.- El reclamante expone que fue despedido disciplinariamente de la entidad reclamada.
2.- En segundo lugar, la entidad remitió un correo electrónico a los clientes que eran atendidos por el reclamante y les comunicó que había dejado de prestar servicio al ser despedido disciplinariamente por mala praxis profesional.
3.- Tras conocer la comunicación que la entidad llevó a cabo a sus antiguos clientes, el reclamante ejerció el derecho de acceso ante la empresa reclamada, solicitando información sobre los destinatarios a los que se le comunicaron sus datos, por qué medios y los términos utilizados para informar de las cuestiones relativas a su despido.
4.- La entidad reclamada atiende el derecho y le informa de que la extinción de la relación laboral se ha comunicado por correo electrónico a los clientes con los que mantenía relación profesional el reclamante.
5.- Por último, el reclamante considera que dicha contestación no satisface su derecho en la medida en la que no le han indicado los clientes y proveedores a los que se les remitió el correo electrónico en el que se indicaba que había sido despedido, ni los términos utilizados para describir la citada situación, por lo que procede a realizar una reclamación ante nuestra autoridad de control.
Así las cosas, y una vez la Agencia da traslado de la reclamación a la entidad reclamada, recibe escrito de respuesta por parte de la entidad manifestando que únicamente comunicó el nombre, primer apellido y correo electrónico corporativo del reclamante a los clientes a los que él venía prestando sus servicios como empleado de la entidad reclamada. Pero no indica a qué clientes en particular, sino que se limita a señalar el número total.
La entidad reclamada manifiesta que dicha comunicación del nombre, primer apellido y correo electrónico corporativo del reclamante se hizo en interés legítimo, tanto de la entidad como de los clientes de dicha entidad, a los que el reclamante prestaba asesoramiento fiscal.
El reclamante manifiesta que no se ha atendido su ejercicio de derecho de acceso de forma correcta porque no se le ha informado de los clientes a los que se ha comunicado los datos.
El artículo 15.1. c) del Reglamento (UE) 2016/679, en adelante RGPD, establece que el responsable tiene que informar de los destinatarios o categoría de destinatarios a los que se han comunicado datos personales. Aunque la entidad reclamada manifiesta que, en cumplimiento de este artículo, informó de la categoría de destinatarios (CLIENTES) a los que se habían comunicado su nombre, primer apellido y correo electrónico corporativo.
Con todo lo expuesto, y de conformidad con el artículo 65 de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, en adelante LOPDGDD, se admite a trámite la reclamación, la cual derivo posteriormente en sanción debido a la remisión de la entidad reclamada a los clientes atendidos por el reclamante un correo electrónico comunicándoles que éste había sido despedido disciplinariamente por mala praxis profesionales.
En los fundamentos de derecho de la resolución que estamos analizando en el presente articulo encontramos las claves que terminan con sanción a la empresa reclamada:
- En el fundamento de derecho numero II, se hace mención al artículo 5 RGPD, es decir, a todos los principios que rigen el tratamiento de datos personales:
“1. Los datos personales serán:
a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);
b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);
d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»).
e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»);
f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).”
Asimismo, también hace referencia al artículo 15 RGPD, en relación con el ejercicio del derecho de acceso:
“1. El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:
(…)
c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales;
(…)”
- Ya en el fundamento de derecho III nuestra autoridad de control deja claro cual es su decisión y cual ha sido la vulneración para sancionar a la entidad reclamada. A estos efectos, debemos dividir la reclamación en dos partes:
1.- Respecto de la comunicación a los clientes atendidos por el reclamante sobre el motivo por el que había dejado de prestar sus servicios:
Se presenta reclamación debido a que la entidad reclamada remitió un correo electrónico a los clientes que eran atendidos por el reclamante, comunicándoles que éste había dejado de prestar servicios para la entidad reclamada al ser despedido disciplinariamente por mala praxis profesional.
La Agencia señala que no es que no haya falta de legitimación, sino que considera que se han cedido más datos de los precisos para cumplir con la finalidad pretendida, no resultando justificable que se comunique la causa por la que el reclamante ya no presta servicios con la entidad reclamada, al considerar que las causas del cese de la relación laboral entre empleado y empleador es un asunto privado que sólo concierne a ambas partes y no a terceros.
Así, la parte reclamada reconoce que se ha comunicado la causa de cese a los clientes, sin embargo no se indica la voluntad de adoptar medidas para que no vuelva a suceder.
Por tanto, de conformidad con las evidencias de las que se dispone, se considera que los hechos denunciados, podrían vulnerar el artículo 5.1 c) del RGPD, indicado en el fundamento de derecho II, ya que nos encontramos ante un tratamiento ilícito de los datos personales, al vulnerar el principio de minimización de los datos personales tratados, el cual exige que el tratamiento de los datos personales sea adecuado, pertinente y limitado a lo estrictamente necesario en relación con los fines para los que se requiera su tratamiento.
2.- Respecto del ejercicio de derecho de acceso:
En relación con el derecho de acceso invocado por el reclamante, la Agencia considera que este ha sido respondido por la parte reclamada, de conformidad con el artículo 15 del RGPD. Y por tanto dando por valido lo manifestado por la entidad reclamada, al informar de las categorías de destinatarios (CLIENTES) y no de los concretos clientes con nombres y apellidos a los que se ha comunicado los datos.
Por tanto, se concluye que la entidad reclamada finalmente es sancionada por la vulneración del articulo 5.1.c RGPD, es decir, por la vulneración del principio de minimización de datos personales. A fin de determinar la multa administrativa a imponer, se observan las previsiones de los artículos 83.1 y 83.2 del RGPD. Así, de acuerdo con los preceptos mencionados, nuestra autoridad de control considera que procede graduar la sanción a imponer de acuerdo con los siguientes criterios que establece el artículo 83.2 del RGPD, considerando como agravante la acción intencionada del reclamado de utilizar los datos personales del reclamante para causarle un perjuicio, al usar sus datos personales para indicar el cese de la relación laboral entre reclamante y reclamado. A efectos de fijar el importe de la sanción a imponer en el presente caso a la entidad reclamada por una infracción tipificada en el artículo 83.5.a) del RGPD, la Agencia fija la cuantía en 5.000 €.
De lo expuesto, debemos reflexionar que antes de hacer este tipo de comunicaciones innecesarias a nuestros clientes (haciéndoles conocedores las causas del despido de un empleado), de las implicaciones que pueden tener no sólo en materia de protección de datos sino también de la normativa sobre derecho al honor, intimidad y propia imagen.
Es importante, que las empresas sean cautelosas en la forma en que manejan la información confidencial de sus empleados, especialmente cuando se trata de temas tan delicados como el despido. Las claves están en tener unas buenas herramientas de comunicación interna para evitar situaciones de este tipo.
