La empresa no puede revelar el motivo de despido de sus trabajadores a los clientes, constituye una vulneración del RGPD.
La Agencia Española de Protección de Datos ha sancionado un caso relacionado con la vulneración de la protección de datos personales. La vulneración se produjo cuando una empresa reveló a terceros los motivos de despido de uno de sus empleados. En agosto de 2021, el trabajador presentó una reclamación ante la AEPD. Tras su despido, descubrió que la empresa había notificado a sus clientes la terminación de su contrato, incluyendo detalles sobre las razones del despido.
Según la reclamación presentada, la empresa envió un correo electrónico a los clientes del trabajador, informándoles de su despido disciplinario por mala praxis profesional. El empleado solicitó a la empresa detalles sobre a quiénes se había enviado dicha información y los términos específicos utilizados en la comunicación.
La empresa respondió que sólo había compartido el nombre, primer apellido y correo electrónico corporativo del empleado con los clientes que atendía. Sin embargo, también les informó de que el despido fue disciplinario por mala praxis profesional, lo que para la AEPD constituye una divulgación excesiva de información.
Decisión de la AEPD
La AEPD concluyó que no era justificable comunicar la causa del despido a los clientes, calificando esta acción como un «tratamiento ilícito de los datos personales» del exempleado. Según el expediente EXP202318259, las razones del despido son un asunto privado que solo concierne al empleado y al empleador.
Según la resolución, «no es que no haya falta de legitimación, sino que se han cedido más datos de los precisos para cumplir con la finalidad pretendida, no resultando justificable que se comunique la causa por la que el reclamante ya no presta servicios con la entidad reclamada».
La Agencia señaló además que la empresa no mostró intención de rectificar su proceder en el futuro, lo que agravó la infracción.
Como resultado, la AEPD ha impuesto a Adade Burgos S.L. una sanción de 5.000 euros por la violación de la normativa de protección de datos. En concreto, por vulnerar el artículo 5.1 c) del RGPD, por el tratamiento ilícito de los datos personales. La empresa debió seguir el principio de minimización de los datos, y limitarlo a lo estrictamente necesario.
No obstante, la empresa pagó 3.000 euros, al reducirse la multa por haber reconocido su responsabilidad y haber pagado voluntariamente la sanción.