El 12 de noviembre de 2018, un dirigente del sindicato CC.OO dejó en la Oficina de atención al Partícipe del Plan de Pensiones, ubicada en el despacho E 001 bis, en Prado del Rey, un pequeño bolsito monedero. En él, junto a documentación personal del sindicalista, había guardados seis 'pendrives' sin cifrar con información sensible de más de 11.000 trabajadores. Salió un momento de la oficina, y cuando volvió a entrar los pendrives habían desaparecido.
Los datos afectados eran estos:
- Datos identificativos: nombre y apellidos, DNI, matrícula de RTVE, teléfono, dirección (postal y electrónica).
- Circunstancias personales: fecha de nacimiento, sexo, estado civil.
- Detalles del empleo: puesto de trabajo, categoría, nivel salarial, localidad de trabajo, fechas de jubilación.
- Categorías especiales de datos: Afiliación a CCOO, salud (resoluciones médicas, resoluciones de la Seguridad Social sobre incapacidades),Infracciones penales o condenas (sentencias completas con datos personales y posiblemente alguna notificación de embargo).
Un año después la Agencia Española de Protección de Datos ha multado al Ente Público con 60.000 euros por la brecha de seguridad que ha puesto en peligro la privacidad de sus trabajadores, denunciada por USO-Unión Sindical Obrera-Corporación Radio Televisión Española.
Con fecha 12 de septiembre de 2019, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a RTVE, por la presunta infracción del artículo 32 del Registro General de Protección de Datos, tipificada en el artículo 83.4 del mismo.
El 13 de septiembre de 2019, es notificado a RTVE el acuerdo de inicio de este procedimiento sancionador, otorgándole un plazo de audiencia de diez días hábiles para que formule las alegaciones y presente las pruebas que considere convenientes, es decir, hasta el 27 de septiembre de 2019. El 26 de septiembre de 2019 RTVE presentó escrito de alegaciones y solicitó el archivo del procedimiento sancionador alegando que la brecha de seguridad por la desaparición de los pendrives se produjo en la oficina de Atención al Partícipe del Plan de pensiones (centro de trabajo de RTVE en Prado del Rey), no en la sede de Comisiones Obreras y que los pendrives eran propiedad de un delegado de sección sindical de CCOO, que formaba parte, como miembro, de la Comisión de Control del Plan de pensiones ytenía acceso a dicha oficina, para ello aportó una serie de documentos, respecto de los cuales se solicitó que se tuvieran recibidos como prueba.
Continúa diciendo en su escrito de alegaciones que "los representantes sindicales forman parte de la empresa y, como trabajadores de RTVE, están sujetos a las mismas obligaciones que el resto de trabajadores en cuanto al cumplimiento de la Normativa interna y el convenio colectivo y además al deber de sigilo recogido en el artículo 65 del Estatuto de los Trabajadores de dichos representantes, es decir, que tienen un plus en sus obligaciones de sigilo y confidencialidad como representantes de los trabajadores".
En consecuencia, intenta derivar la culpabilidad hacia el miembro CC. OO que dimitió de su cargo de represente sindical, al afirmar que la brecha de seguridad no es consecuencia de una actitud negligente por parte de RTVE, puesto que la comunicación de los datos a los sindicatos está legitimada en los supuestos establecidos por el artículo 6 del RGPD y se guardan las medidas de seguridad necesarias e implantadas en la remisión. Por ello, incide en que RTVE no decide, por tanto, la finalidad de los datos que se han cedido ni les da instrucciones a los sindicatos acerca de cómo tratar los mismos al no estar sujeta la comunicación de datos en un contrato de encargado del tratamiento mediante el cual el sindicato accede a datos de carácter personal de los empleados de RTVE para prestar un servicio.
La directora general del la Agencia Española de Protección de Datos, Mar España Martí no ha tenido en cuenta estas alegaciones, ni otras relacionadas con aspectos burocráticos, y ha condenado a la Corporación RTVE. La infracción se tipifica en el artículo 83.4 a) del RGPD, que considera que la infracción de “las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43” es sancionable, de acuerdo con el apartado 4 del mencionado artículo 83 del citado Reglamento, “con multas administrativas de 10.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía” .
RTVE puede imponer recurso contencioso administrativo en el plazo de dos meses desde de haber recibido la resolución, que tiene fecha del 19 de noviembre del presente año.