El reclamante ha sido docente de un Instituto de Educación Secundaria de las Islas Baleares durante el curso 2020/2021 y se le facilitó una dirección de correo electrónico corporativo, con finalidades exclusivamente académicas y profesionales relacionadas con el centro.
El 15 de diciembre de 2021 interpuso una reclamación ante la Agencia Española de Protección de Datos (AEPD) señalando que aquel mismo día había recibido una comunicación de Google informándole de un nuevo inicio de sesión en esa cuenta corporativa, por lo que consideraba que podría haberse suplantado su identidad y vulnerado sus derechos en torno a la protección de datos.
Fue docente de este instituto desde el 1 de septiembre de 2020 hasta el 31 de agosto de 2021, y mantuvo el acceso a la cuenta hasta junio de 2022, es decir, más de un mes después del cese del reclamante como docente del centro.
Y fue a partir de la reclamación cuando se le retiró el acceso.
En noviembre de 2022, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a la parte reclamada, con arreglo a lo dispuesto en los artículos 63 y 64 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP), por la presunta infracción del artículo 32 del Reglamento General de Protección de Datos (RGPD), tipificada en el artículo 83.4 del RGPD.
El artículo 32 del RGPD exige a los responsables del tratamiento, la adopción de las correspondientes medidas de seguridad necesarias que garanticen que el tratamiento es conforme a la normativa vigente, así como garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales, solo los pueda tratar siguiendo instrucciones del responsable.
La AEPD ha concluido que los hechos acreditados son constitutivos de infracción, por vulneración del artículo 32 del Reglamento.
La citada infracción supone la comisión de las infracciones tipificadas en el artículo 83.4 del RGPD que bajo la rúbrica “Condiciones generales para la imposición de multas administrativas” dispone que “se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10.000.000 euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía: a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43; (…)”.
En este caso, la Agencia estima adecuado sancionar con apercibimiento a la Consejería de Educación y Formación Profesional del Gobierno de las Islas Baleares “por la falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento”.
“MANTENER LA CUENTA SUPONE QUE EL EXTRABAJADOR PUEDA ACCEDER A DATOS PERSONALES Y OTRA INFORMACIÓN CONFIDENCIAL”
La resolución la ha dado a conocer en redes sociales el abogado Ramon Arnó Torrades, especialista en aspectos jurídicos de la sociedad de la información y transformación digital, CEO de La Familia Digital.
Preguntado por ella, declara a Confilegal que “las cuentas de correo electrónico corporativas son creadas por la organización para su uso por los trabajadores, con finalidades exclusivamente corporativas, por lo que su utilización está vinculada siempre con la vigencia de la relación laboral con el trabajador”.
Destaca que al finalizar la misma, es necesario suprimir el acceso a la cuenta de correo y que “es por ello que las organizaciones tienen implantados procedimientos para que ese proceso sea automático”.
“Mantener el acceso a la cuenta corporativa después de la finalización de la relación laboral puede suponer, como ocurre en este caso, una infracción a la normativa de protección de datos personales, ya que el extrabajador puede acceder a datos personales y otra información confidencial, con lo que la resolución de la AEPD es adecuada”, concluye.
LO ALEGADO POR EL INSTITUTO
La AEPD requirió al Instituto información relacionada con la incidencia, confirmándose lo señalado en el escrito de reclamación, al manifestar que accidentalmente no se le retiró el acceso a su cuenta de correo electrónico como debería haberse hecho, y que el centro no cambió la contraseña de la dirección de correo electrónico del reclamante, por lo que éste seguía teniendo acceso a ésta, desconociendo los motivos y personas que han podido tener acceso a la cuenta.
El centro educativo alegó que “ante la baja por cualquier motivo de un trabajador, las cuentas se suspenden, no se eliminan, a fin de que si vuelve a estar en activo (situación frecuente en personal docente) pueda acceder a los correos electrónicos (con documentación de trabajo) de cursos anteriores”.
“Asimismo, se indica la recomendación de que el tiempo entre el cese y la suspensión de la cuenta sea de un mes por lo que, en este sentido, procede señalar entonces que las medidas de seguridad no se estaban cumpliendo en el momento de los hechos”, relata la Agencia.
La AEPD entiende que las medidas de seguridad implantadas eran “insuficientes, susceptibles de ser mejoradas; lo que se pone de manifiesto con la afirmación de que, hasta septiembre de 2022, el centro no dispuso de un protocolo de uso de las cuentas corporativas para las cuentas nuevas”.
En consecuencia, desestimó sus alegaciones.
DATOS CLAVE
En su resolución, la AEPD recuerda que el artículo 32 del RGPD se infringe “tanto si no se adoptan por el responsable las medidas de índole técnica y organizativas apropiadas que garanticen la seguridad de los datos personales, como si, establecidas éstas, las mismas no se observan”.
Aclara que la apertura del procedimiento sancionador no se debió al acceso a la cuenta corporativa por parte de una tercera persona, o a que se hubiere suplantado la identidad del reclamante, sino al hecho de haber tenido conocimiento de que se mantuvo el acceso a la cuenta hasta junio de 2022, “más de un mes después del cese del reclamante como docente del centro, a pesar de que la recomendación era que el tiempo entre el cese y la suspensión de la cuenta fuera de un mes”.
Al continuar accediendo a la cuenta de correo electrónico, “a su vez continúa pudiendo acceder a datos personales e información a la que ya no debería tener acceso por no trabajar en ese centro”, razona la Agencia.
Y hace hincapié en que este riesgo debe ser tenido en cuenta por el responsable del tratamiento, “quien debe establecer las medidas técnicas y organizativas necesarias y que aumenta la exigencia del grado de protección en relación con la seguridad y salvaguarda de estos datos”.
También destaca que que el 32 del RGPD “incide en la necesidad de que el responsable del tratamiento adopte medidas técnicas y organizativas apropiadas para aplicar de forma efectiva los principios de protección de datos y garantizar un nivel de seguridad adecuado al riesgo, sin que pueda aceptarse como justificación la circunstancia de la emergencia sanitaria”.
Contra esta resolución, que pone fin a la vía administrativa, los interesados pueden interponer recurso de reposición ante la directora de la Agencia Española de Protección de Datos, Mar España Martí, en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso-administrativo ante la Audiencia Nacional.
Fuente: