Aviso a un ayuntamiento de Alicante por facilitar resultados de una prueba serológica de una empleada a su superior
La prueba consistía en realizar un análisis sanguíneo de covid a 25 empleados para conocer sus niveles de anticuerpos durante la etapa del estado de alarma
La Agencia Española de Protección de datos impone una sanción de apercibimiento a un ayuntamiento de Alicante por enviar los resultados de una analítica para detectar anticuerpos de Covid-19.
Una empleada del ayuntamiento, al igual que otros 24 compañeros, decidieron realizarse, voluntariamente, esta prueba en el mes de abril de 2020. Recordemos que en esas fechas, España se encontraba en estado de alarma.
Resultados polémicos
La reclamante, tras realizarse dicha prueba, espera los resultados que le serán adjuntados vía e-mail para conocer si es negativo o no. En este caso, la empleada recibe dichos resultados en copia con su superior, la concejala del consistorio. Esta solicita al laboratorio en cuestión, una explicación sobre lo sucedido en relación a su caso.
Desde el laboratorio citan textualmente el documento adjunto, “presupuesto analítica covid-19”, a los resultados. Tras aceptarlo, el laboratorio elabora en formato excel un listado de los trabajadores donde figuran: dni, fecha de nacimiento, teléfono y un correo centralizado de la empresa donde remitir los resultados, en concreto a la concejala delegada del área. Y añaden: “los trabajadores deben de saber que este laboratorio enviará una copia de dicha analítica a la dirección de la empresa, para que tenga constancia de su estado de salud”.
De esta manera, el laboratorio aporta y confirma a protección de datos su buena praxis con respecto a la privacidad de los empleados.
Reincidentes en infracciones graves
Cabe destacar que no es la primera vez que un ayuntamiento de la Comunidad Valenciana recibe un toque de atención de Protección de datos por incumplir los términos previstos en el artículo 37 de la RGPD en relación a la designación del delegado de protección de datos.
Por ello, se le imputa al ayuntamiento una infracción del artículo 25.1 de la RGPD que indica: “Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados”.
La infracción también se contiene en el artículo 83.4 del mismo reglamento que alude a: “las infracciones de las disposiciones siguientes se sancionarán con multas administrativas de 10 mil euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 por ciento como máximo del volumen de negocio total anual global del ejercicio financiero anterior”.
