La Agencia Española de Protección de Datos (en adelante, AEPD) ha impuesto una sanción a una empresa que, tras el despido disciplinario de un empleado, mandó un correo electrónico a todos los clientes que eran gestionados por dicho ex empleado comunicándoles el hecho de que el mencionado ya no trabajaba allí y especificando que se trataba de un despido disciplinario “por mala praxis profesional”.
El ex empleado, reclamante ante la AEPD, denunciaba no sólo el hecho de que se hubieran comunicado más datos de los necesarios a los clientes de la empresa, sino que al ejercitar su derecho de acceso para informarse de a qué clientes exactamente se les había comunicado, solo recibió como respuesta que había sido a los clientes a quienes él gestionaba, pero no su identificación concreta.
En este caso, por lo tanto, hay dos extremos que analizar:
-Por un lado, si ha habido una infracción del principio de minimización de datos regulado en el artículo 5.1.c) RGPD, que exige que los datos tratados sean “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”.
-Por otro lado, si la empresa sancionada atendió correctamente el derecho de acceso o si, por el contrario, era necesario especificar la identidad de los clientes destinatarios de los datos.
Respecto del primer punto, la AEPD considera que sí ha existido una infracción del artículo 5.1.c) RGPD, relativo al principio de minimización de datos, al considerar innecesaria la información relativa al motivo del fin de la relación laboral. En propias palabras de este organismo, “las causas del cese de la relación laboral entre empleado y empleador es un asunto privado que sólo concierne a ambas partes y no a terceros.”
Respecto del segundo punto, en cambio, la AEPD considera que se atendió correctamente al ejercicio de derecho y que no hubo una infracción en este sentido, dando la razón a la sancionada que alegaba que el reclamante conocía perfectamente la cartera de clientes que había gestionado durante su relación laboral.
La vulneración de alguno de los principios del tratamiento establecidos en el RGPD, entre los que se encuentra el infringido principio de minimización, se califica en el artículo 72.1.a) LOPDGDD como una infracción muy grave. Además, en este caso la AEPD ha apreciado la concurrencia de la agravante de tratarse de una acción intencionada para causar un perjuicio al reclamante (artículo 83.2.b) RGPD).
Como resultado de todo ello, la empresa ha sido sancionada a pagar una multa de 5.000 €.