Guía práctica · RGPD
15.000 € de multa por publicar datos de trabajadores sin anonimizar
Una publicación interna también puede vulnerar la confidencialidad de los datos personales. El procedimiento PS/00447/2023 de la Agencia Española de Protección de Datos terminó con una multa de 15.000 euros a Dimagaza por exponer documentación de un despido colectivo sin anonimizar.
El caso es especialmente útil porque muestra tres errores frecuentes: reutilizar la copia íntegra de un expediente, no revisar los anexos y asumir que un tablón interno constituye por sí mismo una medida de seguridad suficiente.
¿Qué documento se publicó?
La empresa colocó en un tablón de anuncios el acta de declaración final del periodo de consultas de un procedimiento de despido colectivo. El cuerpo del acta incluía datos de cuatro trabajadores y el anexo incorporaba una relación más amplia de personas afectadas.
Entre los datos visibles se encontraban nombres y apellidos, DNI, números de afiliación a la Seguridad Social, fechas de nacimiento, puestos de trabajo, grupos profesionales, antigüedad, centros de trabajo, provincias y códigos de cuenta de cotización.
La memoria anual de la AEPD de 2024 señala que el listado correspondía a 43 trabajadores despedidos.
¿Por qué la AEPD impuso la sanción?
La AEPD analizó el supuesto desde la obligación de aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. La información quedó expuesta sin anonimización y el tablón carecía de un cerramiento que limitara el acceso al contenido.
La Agencia consideró acreditada una infracción del artículo 32 del RGPD. La sanción inicialmente propuesta era de 30.000 euros, pero la resolución la redujo a 15.000 euros al valorar circunstancias acreditadas durante el procedimiento, como la duración finalmente determinada y el volumen de negocio de la empresa.
Fuente oficial: Resolución PS/00447/2023.
Fuente oficial: Memoria AEPD 2024.
Un tablón interno no elimina el riesgo
La protección de datos no se limita a las publicaciones en Internet. Una exposición dentro de la propia organización puede permitir el acceso de personas que no necesitan conocer toda la información contenida en el documento.
La comunicación general sobre un procedimiento laboral, la documentación disponible para representantes autorizados y el expediente íntegro no tienen por qué ser el mismo archivo. Cada finalidad requiere analizar qué datos son necesarios y quién puede acceder a ellos.
El anexo fue una parte esencial del problema
En numerosos expedientes, la primera página contiene poca información personal, mientras que los anexos concentran listados completos de afectados. Una revisión superficial puede dejar visibles precisamente los datos de mayor riesgo.
La anonimización debe aplicarse al conjunto documental: cuerpo principal, anexos, tablas, hojas de cálculo, firmas y documentos incorporados. También es necesario comprobar el PDF final después de combinar archivos o firmarlos electrónicamente.
Cómo evitar una exposición similar
- Separar el expediente original de la versión destinada a difusión.
- Determinar qué colectivos necesitan acceder a cada versión.
- Revisar el documento completo y todos sus anexos.
- Ocultar los datos que no sean necesarios para la finalidad concreta.
- Validar el archivo final antes de colocarlo en un tablón, intranet o portal.
- Conservar un registro de quién preparó y aprobó la versión anonimizada.
Preguntas frecuentes
¿Puede publicarse un listado de trabajadores en un tablón interno?
Depende de la finalidad, la base jurídica, los destinatarios y los datos incluidos. El hecho de que el tablón esté dentro de la empresa no autoriza a exponer indiscriminadamente información personal del expediente.
¿Eliminar después el documento evita la multa?
La retirada y las medidas correctoras pueden ser valoradas, pero no hacen desaparecer automáticamente la infracción ya cometida.
¿Los anexos deben revisarse por separado?
Sí. Los anexos suelen contener listados e identificadores que no aparecen en el cuerpo principal y deben incluirse en el mismo proceso de anonimización y validación.
Cómo ayuda anonimIA
anonimIA permite detectar datos personales en documentos y preparar una versión revisable antes de su difusión, manteniendo el control humano sobre el resultado. Evita que un anexo sin revisar se convierta en una brecha de confidencialidad.
¿Anonimizas documentos a diario?
Deja de tachar a mano. Automatízalo con anonimIA.
Sube tus PDFs y obtén documentos anonimizados conforme al RGPD en segundos.
Probar gratis