La Agencia Española de Protección de Datos (AEPD) ha sancionado a la empresa ALVEA Soluciones Tecnológicas, S.L. con una multa de 21.000 euros por haber expuesto sin control datos personales de más de 10.800 candidatos en un proceso de selección. La empresa reconoció su responsabilidad y efectuó el pago voluntario, accediendo así a una reducción del 40 % sobre la sanción inicial de 35.000 euros.
Reclamación por acceso no autorizado
Todo comenzó el 7 de octubre de 2024, cuando un ciudadano presentó una reclamación ante la AEPD denunciando que ALVEA lo había contactado por teléfono para ofrecerle un empleo, seguido de un correo electrónico con un formulario de Google. En ese formulario, se indicaba que sus datos serían compartidos con terceros colaboradores de la empresa.
Sin embargo, descubrió que, junto a este formulario, también se incluía un enlace a una hoja de cálculo accesible a cualquier persona con la URL. En dicho formulario figuraban nombres completos y DNI de 10.837 personas, incluyendo datos recopilados desde el año 2020, a pesar de que se prometía una conservación máxima de 18 meses.
Reconocimiento del fallo y medidas adoptadas
ALVEA respondió a la notificación de la AEPD admitiendo el error, que atribuyó a un fallo administrativo puntual cometido por un técnico de selección recientemente incorporado. Este técnico, pese a haber recibido formación, envió por error tanto el enlace externo como el interno en el mismo correo. La empresa reaccionó tomando varias medidas correctivas:
- Limitó el acceso al enlace interno implicado.
- Restringió la visibilidad de datos antiguos bloqueándolos hasta su eliminación.
- Actualizó sus procedimientos internos de selección.
- Designó un Delegado de Protección de Datos (DPD) para reforzar el cumplimiento normativo.
- Enviaron un correo a los afectados explicando el incidente y solicitando el borrado del mensaje anterior.
La AEPD concluyó que ALVEA había vulnerado el artículo 5.1.f del RGPD, que exige garantizar la integridad y confidencialidad de los datos personales. La exposición sin control de un documento con información sensible se consideró una infracción muy grave, en particular por:
- El elevado número de personas afectadas.
- La naturaleza sensible de los datos (nombre completo y DNI).
- La falta de medidas preventivas previas al incidente.
- La relación directa entre la actividad de la empresa y el tratamiento constante de datos personales.
Sanción y medidas adicionales
Tal y como puede leerse en el procedimiento sancionar (PS-00517-2024) inicialmente, se propuso una multa de 35.000 euros, que podía reducirse a 21.000 euros si se reconocía la responsabilidad y se efectuaba el pago voluntario. ALVEA accedió a ambas reducciones, lo que conllevó el cierre del procedimiento sancionador.
Además de la sanción económica, la AEPD ordenó a la empresa adoptar medidas correctivas en un plazo de seis meses para asegurar la adecuación de sus procesos al RGPD. Entre estas medidas se incluyen:
- Mejorar los controles sobre los enlaces enviados por email.
- Revisar la actuación del DPD.
- Implementar mecanismos que impidan el acceso no autorizado a datos ajenos al usuario.
Fuente: empleojob.es