Se trata de un correo electrónico en el que se adjunta una hoja Excel en la que se pueden visualizar los datos de más de 200 empleados dando a conocer a terceros, sus nombres y apellidos, DNI, puesto de trabajo y una celda adicional para indicar si deseaban realizar un reconocimiento médico.
Como consecuencia la AEPD sanciona al Gobierno de Aragón, en esta resolución:
- Resolución de procedimiento sancionador: La Agencia Española de Protección de Datos (AEPD) resuelve un procedimiento sancionador contra el Departamento de Educación, Cultura y Deporte del Gobierno de Aragón por revelar datos personales de más de 200 empleados a terceros sin su consentimiento.
- Medidas correctoras requeridas: La AEPD requirió al Departamento que implantara, en el plazo de un mes, las medidas correctoras necesarias para adecuar su actuación a la normativa de protección de datos personales y que informara a la Agencia sobre las medidas adoptadas.
- Incumplimiento de la resolución: El Departamento no acreditó ante la AEPD haber adoptado las medidas correctoras en el plazo dado, ni respondió a los requerimientos posteriores de la Agencia. Sólo comunicó las medidas adoptadas al Defensor del Pueblo, sin notificarlas a la AEPD.
- Infracción y sanción: La AEPD declara que el Departamento ha infringido lo dispuesto en el artículo 58.2 del RGPD, que le otorga poderes correctivos a la autoridad de control. La infracción se tipifica en el artículo 83.6 del RGPD y se sanciona con la declaración de infracción.