En la resolución de la AEPD https://www.aepd.es/es/documento/ps-00003-2021.pdf se sanciona a una multinacional, consultora líder a nivel internacional en selección de candidatos.
La reclamante, una ciudadana holandesa, interpuso la reclamación ante la Autoridad de control de Países Bajos, y se dio traslado a la AEPD, que actuó como autoridad de control principal, al encontrarse el servicio de cumplimiento legal de la multinacional en Barcelona. Aunque en un principio, la autoridad española no encontró indicios de incumplimiento, varias autoridades europeas formularon objeciones al procedimiento, por lo que finalmente, la entidad reclamada fue sancionada.
La reclamante manifestó que envió su CV a la citada multinacional a través de su página web mediante contraseña y usuario. Solicitando un tiempo después el ejercicio del derecho de acceso a sus datos personales. Para ello, se le requirió por parte de la entidad reclamada, que debía aportar su DNI.
En la resolución la AEPD, estimó que solicitar el DNI para identificar al interesado del ejercicio del derecho resultaba excesivo, ya que, existían otros medios de comprobación, como el usuario y contraseña de la reclamada. No se tuvo en cuenta el principio de minimización de datos. Se le sancionó con 250.000€.
IMPORTANTE
La entidad reclamada no había implementado un protocolo adecuado para atender el ejercicio de derechos en materia de protección de datos.
