Un ayuntamiento ha sido sancionado por vulnerar el derecho a la protección de datos, al haber utilizado las credenciales personales de una trabajadora. PS 13/2024 de la AEPDCat.
La Autoridad Catalana de Protección de Datos ha sancionado a un ayuntamiento por la vulneración de los derechos de una trabajadora en materia de protección de datos personales. En el caso, la trabajadora denunció el uso de sus credenciales por parte de otros empleados del ayuntamiento. Se le solicitó la entrega de sus credenciales de acceso a las plataformas del consistorio, las cuales se utilizaron posteriormente por otra trabajadora para realizar tareas asignadas a la denunciante.
La APDCAT consideró estos hechos como una infracción grave de la normativa de protección de datos.
El uso de credenciales de la trabajadora
La trabajadora presentó la denuncia en julio de 2022. Según los hechos, se le solicitó de manera verbal proporcionar sus claves de acceso a varias plataformas informáticas de la entidad pública. Según la denuncia, el objetivo era permitir a una nueva trabajadora asumir temporalmente las funciones de la denunciante. La funcionaria denunciante afirmó que, tras dicha incorporación, comenzó a quedar apartada progresivamente de sus tareas habituales, mientras la nueva empleada utilizaba sus credenciales de acceso.
La nueva trabajadora, según explicó ante la APDCAT, no disponía de sus propias credenciales para las plataformas del ayuntamiento al inicio de su trabajo. Por lo tanto, utilizó las claves personales de la denunciante hasta que se le asignaron sus propias credenciales. El ayuntamiento proporcionó nuevas claves después de que la denunciante se diera de baja temporalmente. Este uso indebido de las credenciales personales, y la falta de gestión adecuada por parte del ayuntamiento, motivaron la apertura del procedimiento sancionador.
Además, la demandante señaló que un concejal del ayuntamiento accedió de manera irregular a documentos y materiales personales de la trabajadora, como facturas almacenadas en su escritorio, añadiendo gravedad a la infracción.
Vulneración del artículo 83.5 del RGPD
La resolución de la APDCAT concluyó que el ayuntamiento no proporcionó a la nueva trabajadora los permisos de acceso necesarios, lo que provocó que la nueva trabajadora tuviera que acceder con las credenciales de la persona denunciante.
Esta conducta se considera una infracción del artículo 83.5 RGPD, el cual establece sanciones para el incumplimiento de las obligaciones básicas de protección de datos, incluyendo la confidencialidad, la integridad y la disponibilidad de los datos personales.
Por otro lado, el artículo 5 establece que los datos personales deben ser tratados de manera lícita, leal y transparente, y únicamente para los fines específicos para los cuales fueron recopilados. En este caso, el uso de las credenciales personales de una trabajadora para realizar funciones que no estaban autorizadas representa una violación de estos artículos.
Consecuencias para el ayuntamiento
En este caso, la APDCAT ha decidido no imponer medidas correctivas adicionales para subsanar los efectos de la infracción. No obstante, la sanción actúa como una advertencia sobre la gestión de los accesos a los sistemas informáticos y las plataformas digitales de trabajo.