Sanción por compartir contraseñas en el trabajo

Sanción por compartir contraseñas en el trabajo

El Responsable del tratamiento tiene la obligación de formar a sus trabajadores en materia de protección de datos y en derechos digitales, no sólo porque se considera una obligación legal, que deriva del artículo 24.1 y 39.1 del RGPD, así como del 88.3 de la LOPDGDD, sino porque es parte fundamental de la buena salud de cualquier empresa.

¿Quién no ha dejado alguna vez su ordenador sin bloquear cuando ha tenido que salir de su lugar de trabajo? o ¿quién no ha prestado a su compañero de trabajo sus claves de acceso para que revisara alguna información?

Riesgos económicos y pérdida de confidencialidad

Pero estas prácticas, que pudieran parecer cotidianas y sin mayor importancia, pueden suponer un alto riesgo para los responsables del tratamiento, tanto a nivel económico, por riesgo de sanción como veremos, como por el peligro de la confidencialidad de la información tratada por la empresa.   

Y para muestra de ello, traemos a colación la Resolución PS 13/2024 emitida por l’Autoritat Catalana de Protecció de Dades (APDCAT), en donde una empleada de un Ayuntamiento se vio inmersa en la siguiente situación:

Personal del Ayuntamiento solicitó verbalmente a la trabajadora, que proporcionara a una nueva trabajadora sus claves personales de acceso a ciertas plataformas, necesarias para el desempeño de sus funciones.

Cabe señalar que el Ayuntamiento no generó claves de acceso personalizadas para la nueva trabajadora desde el inicio de la prestación de sus servicios profesionales, sino hasta un momento posterior.

Ante esta situación, la trabajadora proporcionó sus claves personales de acceso a la nueva trabajadora.

La autoridad de control catalana observa en su resolución lo siguiente:

El consentimiento no fue libre

Por lo que respecta al consentimiento de la trabajadora para que un tercero utilizase sus claves de acceso personal, se considera que la trabajadora del Ayuntamiento no otorgó el consentimiento del uso de sus claves de una manera libre y voluntaria teniendo en cuenta la relación laboral existente entre ella y la corporación local.

Por otro lado, si la trabajadora se hubiese negado a facilitar sus claves de acceso personal a la persona externa que realizaba tareas de apoyo, siendo necesario la utilización de dichas claves para la realización de sus funciones asignadas, podría generarse alguna consecuencia negativa para la trabajadora del Ayuntamiento por parte de éste.

El Ayuntamiento es responsable de esta situación

Por lo que respecta a la acción de compartir las credenciales de acceso entre ambas trabajadoras, el Ayuntamiento debe de hacerse responsable de la omisión por su parte de no proporcionar a la nueva trabajadora las herramientas necesarias para el desempeño de las funciones asignadas, como era en este caso, la utilización de ciertas plataformas que debía acceder con clave de acceso personal. Por lo tanto, el tratamiento ilícito de estos datos personales es responsabilidad del Ayuntamiento, y no así de las trabajadoras.

En el caso analizado, la autoridad de control catalana señaló que se había producido una infracción del art. 5.1 a) RGPD, constituyendo una infracción muy grave, según el art. 83.5 del RGPD y art. 72.1 a) LOPDGDD.

Recomendaciones

Si eres trabajador, y para llevar a cabo tu trabajo diario necesitas utilizar usuarios, contraseñas, PIN´s o cualquier otra clave de acceso que se considere personal, no puedes compartirla con nadie, porque se considera un tratamiento de datos personales y no existe ninguna base jurídica del art. 6 RGPD que lo justifique.

Las empresas no pueden perder de vista que las personas jurídicas responden por la actuación de sus empleados o trabajadores, tal y como lo señala el Tribunal Supremo (sentencia núm. 543/2022 (ECLI:ES:TS:2022:543):

Por último, resulta oportuno recordar que las personas jurídicas responden por la actuación de sus empleados o trabajadores. No se establece por ello una responsabilidad objetiva, pero si es trasladable a la persona jurídica la falta de diligencia de sus empleados, en tal sentido STC 246/1991, de 19 de diciembre f.j 2. no puede excusarse en su actuación diligente, separadamente de la actuación de sus empleados, sino que es la actuación «culpable» de éstos, consecuencia de la violación de las medidas de seguridad existentes la que fundamenta la responsabilidad de la empresa en el ámbito sancionador por actos «propios» de sus empleados o cargos, no de terceros”.

Además de lo dicho hasta aquí, lo más importante es que todas las personas trabajadoras conozcan sus funciones y que sean llevadas a cabo aplicando en todo momento lo establecido en la normativa de protección de datos, obtener formación básica sobre ciberseguridad para saber cómo reaccionar frente hechos como este y otros como brechas de seguridad y prevención ante la ciberdelincuencia, así como formarse en protección de datos y en derechos digitales, es muy importante para crear o reforzar una cultura en esta materia, evitando riesgos de sanción o reputacionales. Formar es invertir.

Business Adapter® a tu servicio 

Si necesitas formación o asesoramiento, contáctanos en el email: info@businessadapter.es,  también puedes llamar al 96 131 88 04, o deja tu mensaje en este formulario:

 

Consúltanos, estaremos encantados de ayudarte
error: Content is protected !!