En la resolución de la AEPD https://www.aepd.es/documento/ps-00238-2024.pdf se sanciona con 270.000€ a la empresa reclamada por enviar un correo a una trabajadora con un documento adjunto en PDF en el que se incluía su nómina y la del resto de los 446 empleados/as de la plantilla.
En el proceso de investigación la AEPD requiere a la empresa reclamada la motivación de por qué no fue notificada la brecha, instándola a que realice la comunicación.
Se sanciona a la entidad con 300.000€ por no haber garantizado la confidencialidad de los datos, ya que se remitió un correo con un documento PDF con los datos de las nóminas de todos los empleados/as.
Como agravante se estimó que enviar este tipo de documentos con los datos de nombre, dirección, DNI, número de Seguridad Social, número de la cuenta bancaria y salario, entre otros, por correo electrónico, supone una vulnerabilidad en materia de seguridad, ya que, al no estar cifrados los datos, cualquier atacante podría acceder a esos datos en tránsito.
Se estableció también una sanción de 150.000€ por no haber aplicado las medidas de seguridad técnicas y organizativas para garantizar la seguridad de los datos personales. La actuación negligente del trabajador de la entidad reclamada no le exime de responsabilidad.
IMPORTANTE
Se deben proteger especialmente aquellos datos cuya difusión provoque daños y perjuicios inmediatos, por ejemplo, datos de localización o financieros.
