Sancionada una empresa textil por remitir a un trabajador su nómina a la que por error se adjuntó un documento PDF que contenía las nóminas de los 447 trabajadores con nombre y apellidos, DNI, número de afiliación de la SS y número de cuenta bancaria, entre otros datos.
La empresa admite que así fue por un error humano, y añade que el empleado de recursos humanos que remitió el archivo no informó de lo sucedido a sus responsables ni lo puso en conocimiento de la empresa, por lo que la brecha de seguridad no trascendió ni se actuó de forma proactiva ante ella, ya que solo conocieron de ello cuando se inicia el expediente sancionador; también informó a todos los trabajadores de lo sucedido, manifiesta que no se tiene constancia de evidencias de exfiltración de los datos personales y se indica una referencia al INCIBE (Instituto Nacional de Ciberseguridad) para que los afectados puedan consultar recursos adicionales de ciberseguridad.
La Agencia impone una sanción de 360.000 euros a la que no obstante se aplica una reducción por el pago voluntario que es acumulable a la que corresponde aplicar por el reconocimiento de la responsabilidad, quedando la cuantía final de la sanción en 270.000 euros.
La responsabilidad de la sancionada viene determinada por la brecha de datos personales, ya que es responsable de tomar decisiones destinadas a implementar de manera efectiva las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo para asegurar la confidencialidad de los datos, restaurando su disponibilidad e impedir el acceso a los mismos en caso de incidente físico o técnico, y la Agencia aprecia que las medidas no eran apropiadas para garantizar la seguridad y confidencialidad de los datos personales en el momento de producirse la quiebra.
Precisamente el artículo 32.1 del RGPD (LA LEY 6637/2016), sanciona la falta de adopción de medidas de carácter técnico y organizativas apropiadas, que posibilitó a un tercero no autorizado el acceso a los datos personales de los trabajadores.
Y añade la Agencia que la actuación negligente del empleado en la gestión de los datos personales obrantes en las nóminas de los trabajadores no exime de responsabilidad a la empresa que es la encargada del tratamiento y por ello responde también por la actuación de sus empleados y no puede excusarse en su actuación diligente, separadamente de la actuación de sus empleados, sino que es la actuación "culpable" de éstos, consecuencia de la violación de las medidas de seguridad existentes la que fundamenta la responsabilidad de la empresa.