Resulta de capital importancia para el cumplimiento de la Ley de Protección de Datos (LOPD) disponer de una correcta y actualizada política de gestión documental. Y además disponer de ella por escrito de cara a posibles cambios de responsables sobre ese área.
Lo contrario puede desembocar en problemas y sanciones como la que veremos a continuación por mantener un fichero con datos de salud de trabajadores, del que el actual Jefe de Personal de la empresa sancionada no tenía conocimiento.
El procedimiento sancionador PS/00448/2013, instruido por la Agencia Española de Protección de Datos (AEPD) se inicia tras una denuncia presentada por un trabajador de la empresa denunciada, en la que informaba acerca de la existencia de un fichero Excel en la base de datos informática de la compañía, dentro del que se incluían datos de salud de los trabajadores, con origen en los partes de las bajas médicas de los últimos 15 años.
Por parte del servicio de inspección de la AEPD se accedió al contenido del fichero pudiéndose verificar la existencia de datos asociados a 75 personas, con varios datos personales como nombre y apellido, año en el que se produce la incidencia por enfermedad, días de ausencia y enfermedad que motiva la ausencia.
El Jefe de Personal en el momento de la inspección manifestó no tener constancia de la existencia de dicho fichero, suponiendo que fue creado para llevar un control de los días de ausencia por enfermedad de los trabajadores a efectos de gestiones internas de la empresa para sustituciones y permisos. Aseguró que dicho fichero no se utilizaba ya, siendo la última fecha que consta en el mismo del año 2011, aunque no obstante, el último acceso que consta fue realizado en febrero de 2012. También afirmó que la única persona que había podido incluir datos en el citado fichero, era el anterior adjunto al Jefe de Personal (curiosamente, o no, el denunciante).
La empresa alegó que es práctica habitual la entrega de los partes de bajas por enfermedad sin cerrar y que este hecho prueba la forma en que se obtuvieron los datos y que su finalidad que no era la salud sino recoger las bajas a efectos de nóminas sustituciones y permisos. También aseguró que el único responsable de la creación de dicho fichero era el propio denunciante.
Sin embargo la AEPD indica:
El hecho de que los partes en los que se recoge la causa que motiva la baja se entreguen por los afectados en abierto, no faculta a la entidad empleadora a la recogida, grabación, conservación, elaboración (y demás procesos que conforman la definición de tratamiento de datos personales) de los datos en ellos consignados, es decir a su tratamiento y en particular el tratamiento del dato relativo a la salud que, como ya hemos visto, requiere de un consentimiento cualificado para estos datos personales de los afectados que debe ser expreso. Por otra parte tampoco puede aceptarse que, esta práctica habitual en la empresa, la entrega en abierto de los partes de baja, pruebe que la “creación” del fichero “es de absoluta responsabilidad del denunciante sin que quepa sostener participación alguna de la empresa en tal conducta”.
Adicionalmente recuerda que corresponde siempre al responsable del tratamiento comprobar que tiene el consentimiento del afectado cuando realiza algún tratamiento con los datos personales de éste.
Por otra parte señala también:
Se expone en las alegaciones a la propuesta de resolución que no se está en presencia de un tratamiento de datos de salud, porque el fichero no tenía esa finalidad y que la ausencia de consentimiento no tiene una especial trascendencia porque la recogida de datos se hacía de forma ajena al trabajador y a la empresa que desconocía la creación del mismo por un empleado que actuaba en contra de las instrucciones de su empleador.
Otra alegación consistió en aportar constancia del despido del trabajador pretendiendo que con ello se acredita la existencia de toda ausencia de culpabilidad de la empresa como presunto responsable de una pretendida conducta infractora.
Sin embargo la AEPD constata que:
En este caso se observa que los primeros registros del fichero corresponden a los años 90, muchos años antes de que el empleado a quien se imputa la creación del fichero ocupara el puesto desde el que tuvo acceso a los temas de personal de la empresa como adjunto al Jefe de Personal, el 1 de enero de 2008.
Recordemos que como ya hemos publicado en este blog es un error intentar responsabilizar a empleados en procedimientos sancionadores de la AEPD, y así se aclara en la resolución:
En las alegaciones a la propuesta de resolución se insiste en la ausencia de responsabilidad de la empresa porque, según manifiesta, actuó con la diligencia exigible que no podía alcanzar a “una conducta deliberadamente clandestina de uno de sus trabajadores”. En este procedimiento ha quedado acreditada la responsabilidad de la entidad denunciada respecto del tratamiento de los datos personales relativos a la salud de sus empleados que estaban registrados en un fichero de su sistema informático. Este fichero contenía datos relativos a la salud de los mismos con fechas de registro de los episodios desde 1991 la más antigua y hasta 2011 las más recientes. Por otra parte se ha acreditado también que el empleado a quien se responsabiliza de la autoría del fichero en el que se registraba de cada empleado su nombre, el año de la incidencia, los días de ausencia a que da lugar y el problema de salud que padece, ocupó el puesto de adjunto al Jefe de Personal desde el 1 de enero de 2008 hasta el 15 de octubre de 2011, siendo los registros de las incidencias anteriores en el tiempo a su desempeño en el puesto.
Y aclarando aún más el panorama jurídico del asunto:
Debe significarse que la resolución del presente procedimiento se sustancia frente al responsable del fichero de acuerdo con lo previsto en el artículo 43 de la LOPD quedando al margen del mismo las posibles medidas jurisdiccionales o de otra índole que pueda realizar frente al trabajador denunciante en el sentido que considere oportuno y aportando las pruebas de que disponga.
Teniendo en cuenta todo lo expuesto, se considera que se ha vulnerado el principio del consentimiento para el tratamiento de los datos de salud de los trabajadores y por tanto el Director de la AEPD RESUELVE:
PRIMERO: IMPONER a la entidad XXX S.A., por una infracción del artículo 7.3 de la LOPD, tipificada como muy grave en el artículo 44.4.b) de dicha norma, una multa de 40.001 € (cuarenta mil un euros) de conformidad con lo establecido en el artículo 45 .2, .3, .4 y .5 de la citada Ley Orgánica.http://www.ayudaleyprotecciondatos.es/2014/03/27/peligro-documentos-sin-control/
No hay comentarios:
Publicar un comentario