YA ESTÁ DISPONIBLE NEWSLETTER PROTECCIÓN DE DATOS & RELACIONES LABORALES
MAYO 2024 |ALEMANY & ASOCIADOS
Los cometidos de este número son:
- La AEPD sanciona con 550.000 euros a Glovo por vulneración del principio de privacidad desde el diseño y por defecto y por la falta de medidas de seguridad, todo ello vinculado con la monitorización y geolocalización de repartidores. Más información en:
- https://www.aepd.es/documento/ps-00209-2022.pdf
- La AEPD sanciona con 365.000 euros a una empresa por varios incumplimientos relacionados con el uso de la huella dactilar de los empleados para el registro horario. La sanción se compone de 200.000 euros por vulneración del deber de informar, ya que la información provista no era detallada; 100.000 euros por no haber realizado una evaluación de impacto válida, ya que la entidad no tuvo en consideración que estaba ante un tratamiento de categorías especiales de datos; y 65.000 euros por falta de medidas técnicas y organizativas, ya que la entidad no demostró borrar la huella tras su captura ni tener implementadas medidas para separar el acceso al hash de la huella y los datos identificativos del empleado. Más información en: https://www.aepd.es/documento/ps-00170-2023.pdf
- La AEPD concluye por pago voluntario de 56.000 euros un procedimiento sancionador abierto contra BBVA. La sanción inicial se componía de 50.000 euros por vulneración del principio de confidencialidad y otros 20.000 por falta de medidas técnicas y organizativas. La sanción responde a una brecha de seguridad provocada por un empleado de la entidad, el cual comunicó datos personales a un tercero no autorizado. La AEPD concluye que “no puede entenderse que una entidad grande como podría ser BBVA, con un volumen de negocio de miles de millones de euros y que trata continuamente datos de millones de personas, no dispusiera de sistemas o mecanismos suficientes para impedir que uno de sus empleados divulgara información de uno de sus clientes a un tercero no autorizado. Más información en: https://www.aepd.es/documento/ps-00147-2023.pdf
- La AEPD concluye por pago voluntario de 9.000 euros un procedimiento sancionador contra Sacyr. La sanción inicial ascendía a 15.000 euros: 12.000 por vulneración del principio de confidencialidad y 3.000 por falta de medidas técnicas y organizativas. La empresa utilizó en repetidas ocasiones el correo electrónico personal de un trabajador en cadenas de correo sin copia oculta, exponiendo el dato personal ante múltiples personas. Más información en: https://www.aepd.es/documento/ps-00560-2022.pdf
- La AEPD concluye por pago voluntario de 1.200 euros (sanción inicial de 2.000) un procedimiento sancionador iniciado contra una fundación por un incumplimiento del principio de minimización. La fundación se dedica a la inclusión laboral de las personas con discapacidad. La fundación solicitaba a sus usuarios el Dictamen Técnico Facultativo, el cual incluye “datos de salud del paciente que han sido tenidos en cuenta para calificar su grado de discapacidad, sin utilidad alguna para determinar la compatibilidad de las capacidades de la persona trabajadora con el desempeño de las tareas del puesto de trabajo para el que ha sido o va a ser contratado al grado de discapacidad, lo cual implica un tratamiento de datos de salud”. Más información en: https://www.aepd.es/documento/ps-00529-2023.pdf
- El TSJ de Galicia da la razón a un trabajador y concluye que la empresa debe indemnizarle por haber vulnerado sus derechos a la desconexión digital (300 euros) y a la protección de datos (700 euros). El trabajador recibía en su correo y teléfono personales comunicaciones de su empresa fuera de su jornada laboral. Además, el trabajador fue inscrito en un curso de formación, tras lo cual recibió vía WhatsApp diversas comunicaciones por parte de la academia, sin que el trabajador hubiera dado su consentimiento para ello. Más información en: https://www.aepd.es/documento/ps-00529-2023.pdf
- El Tribunal Supremo desestima en casación el recurso interpuesto por una empresa y confirma así la nulidad de la comunicación efectuada por la empresa a sus trabajadores relativa al uso de los equipos informáticos y acceso a Internet. La empresa elaboró la mencionada comunicación sin la participación de los representantes de los trabajadores, en contra de lo establecido en el artículo 87.3 de la LOPDGDD. Más información en: https://www.poderjudicial.es/search/AN/openDocument/11cf1c91917a5a4da0a8778d75e36f0d/20240216
- La CNIL exige a una empresa francesa que cumpla con el principio de minimización en la recogida de datos de candidatos para ocupar un puesto. La empresa recopilaba información sobre familiares, el lugar de nacimiento del solicitante, salarios anteriores o nacionalidad del candidato. Sobre este último dato, la CNIL aclara que no es necesario recabar la nacionalidad, sino que bastaría con marcar tres únicas opciones: “francés”, “nacional de la UE” o “no perteneciente a la UE”. En el caso de los candidatos no pertenecientes a la UE, podría recabarse información sobre la tenencia de un permiso de trabajo, sin necesidad de concretar la nacionalidad. Dado que la empresa cumplió con este requerimiento, la CNIL archivó el procedimiento de requerimiento sin imponer sanción. Más información en: https://cnil.fr/fr/recrutement-la-cnil-met-en-demeure-une-societe-de-minimiser-la-collecte-de-donnees-personnelles-de
Más información en:
- ASESORES JURÍDICOS ALEMANY & ASOCIADOS
- https://bufete-alemany.com/
- bufetealemany@bufete-alemany.com
- 93 415 96 74 / 91 111 81 82
- Formulario de contacto: https://bufete-alemany.com/#contacto