La Agencia Española de Protección de Datos (en adelante, “AEPD”) ha impuesto una sanción de 21.000 € a ALVEA Soluciones Tecnológicas, S.L. (en adelante, “ALVEA”), como consecuencia de una vulneración del Reglamento General de Protección de Datos (en adelante, “RGPD”), en particular del principio de integridad y confidencialidad de los datos personales.
La AEPD recibió una reclamación en la que se denunciaba que ALVEA, en el marco de un proceso de selección, remitió a un candidato un correo electrónico con un enlace a un formulario para la recogida de datos personales. Sin embargo, junto al enlace legítimo se incluyó por error un enlace interno que permitía acceder a una hoja de cálculo en línea con los datos personales de 10.837 personas, incluyendo nombre, apellidos y número de DNI, sin control de acceso alguno.
La investigación de la AEPD constató las siguientes infracciones:
- Acceso no autorizado a datos personales: ALVEA permitió, por error, el acceso sin restricción a un fichero con datos de carácter personal de miles de candidatos, vulnerando el principio de confidencialidad (art. 5.1.f RGPD). El acceso era posible mediante un simple enlace público, sin control de autenticación.
- Falta de medidas de seguridad previas: Aunque ALVEA adoptó medidas tras la reclamación (limitación de accesos, bloqueo de datos antiguos, revisión de procedimientos), la AEPD destacó que dichas actuaciones fueron reactivas y no preventivas, incumpliendo así su deber de diligencia.
- Negligencia en el tratamiento: Se apreció una falta grave de diligencia por parte de la empresa, especialmente grave al tratarse de una organización que maneja de forma constante datos personales en su actividad de selección y gestión de personal.
La sanción se propuso inicialmente por importe de 35.000 euros. No obstante, ALVEA reconoció su responsabilidad y efectuó el pago voluntario dentro del plazo establecido, acogiendo así las dos reducciones previstas en el artículo 85 de la Ley 39/2015, del Procedimiento Administrativo Común, lo que dejó la sanción en 21.000 euros.
Además de la sanción económica, la AEPD ha ordenado a ALVEA la adopción de medidas técnicas y organizativas adecuadas en un plazo de seis meses, especialmente orientadas a evitar la inclusión de enlaces no autorizados en comunicaciones electrónicas, y a garantizar una correcta evaluación de riesgos y controles por parte del Delegado de Protección de Datos.
