Recordemos que la cesión de datos de salud de un trabajador a un tercero sin consentimiento a otra empresa es una falta grave.
La Agencia Española de Protección de Datos multa con 50.000 euros a una empresa constructora por revelar datos personales de uno de sus trabajadores. El denunciante manifiesta que la entidad reveló, sin su consentimiento, datos de salud a otra empresa, así como su dirección de correo personal.
En la resolución la Agencia nos desgrana tres infracciones:
- CONSENTIMIENTO. En la Resolución, la Agencia Española de Protección de Datos, www.aepd.es, indica que se ha producido el tratamiento de una categoría especial de datos personales, (datos de salud) de conformidad con el artículo 9 del RGPD. Como ya sabemos, cuando se traten datos sensibles, como son los datos de salud, no solo se requiere que la cesión de datos a terceros cuente con una base jurídica que lo legitime, sino que además, es necesario el consentimiento del interesado.
- MINIMIZACIÓN DE DATOS. En este caso, también se considera infringido el principio de minimización de los datos, según el cual, los mismos deben ser “adecuados, pertinentes y limitados a lo estrictamente necesario”, ya que se consideró que los datos cedidos fueron excesivos.
- LIMITACIÓN DE LA FINALIDAD. Y por último también se viola es el principio de limitación de finalidad. Aunque la empresa estaba habilitada para tratar los datos de salud dentro del marco de la relación laboral, se pudo comprobar que la cesión de esos datos excede del propósito original.
Os facilitamos la Resolución.