El reclamante ha sido docente de un Instituto de Educación Secundaria de las Islas Baleares durante el curso 2020/2021 y se le facilitó una dirección de correo electrónico corporativo, con finalidades exclusivamente académicas y profesionales relacionadas con el centro.

El 15 de diciembre de 2021 interpuso una reclamación ante la Agencia Española de Protección de Datos (AEPD) señalando que aquel mismo día había recibido una comunicación de Google informándole de un nuevo inicio de sesión en esa cuenta corporativa, por lo que consideraba que podría haberse suplantado su identidad y vulnerado sus derechos en torno a la protección de datos.

Fue docente de este instituto desde el 1 de septiembre de 2020 hasta el 31 de agosto de 2021, y mantuvo el acceso a la cuenta hasta junio de 2022, es decir, más de un mes después del cese del reclamante como docente del centro.

Y fue a partir de la reclamación cuando se le retiró el acceso.

En noviembre de 2022, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a la parte reclamada, con arreglo a lo dispuesto en los artículos 63 y 64 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP), por la presunta infracción del artículo 32 del Reglamento General de Protección de Datos (RGPD), tipificada en el artículo 83.4 del RGPD.

El artículo 32 del RGPD exige a los responsables del tratamiento, la adopción de las correspondientes medidas de seguridad necesarias que garanticen que el tratamiento es conforme a la normativa vigente, así como garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales, solo los pueda tratar siguiendo instrucciones del responsable.

La AEPD ha concluido que los hechos acreditados son constitutivos de infracción, por vulneración del artículo 32 del Reglamento.

La citada infracción supone la comisión de las infracciones tipificadas en el artículo 83.4 del RGPD que bajo la rúbrica “Condiciones generales para la imposición de multas administrativas” dispone que “se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10.000.000 euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía: a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43; (…)”.

En este caso, la Agencia estima adecuado sancionar con apercibimiento a la Consejería de Educación y Formación Profesional del Gobierno de las Islas Baleares “por la falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento”.

“MANTENER LA CUENTA SUPONE QUE EL EXTRABAJADOR PUEDA ACCEDER A DATOS PERSONALES Y OTRA INFORMACIÓN CONFIDENCIAL”

La resolución la ha dado a conocer en redes sociales el abogado Ramon Arnó Torrades, especialista en aspectos jurídicos de la sociedad de la información y transformación digital, CEO de La Familia Digital.

Preguntado por ella, declara a Confilegal que “las cuentas de correo electrónico corporativas son creadas por la organización para su uso por los trabajadores, con finalidades exclusivamente corporativas, por lo que su utilización está vinculada siempre con la vigencia de la relación laboral con el trabajador”.

Fuente: confilegal.com

https://confilegal.com/20230519-mantener-el-acceso-al-correo-electronico-corporativo-a-un-extrabajador-despues-de-su-cese-es-una-infraccion-de-seguridad/