El pasado 23/08/22 la Agencia Española de Protección de Datos (AEPD) publicaba esta resolución en la que se sanciona con 2.000€ a un sindicato que publicó las actas del Comité de Empresa con las firmas de todos los representantes sindicales.
Señalar que las actas fueron publicadas en el tablón de anuncios de la empresa y en un grupo de WhatsApp cerrado/acotado a dichas personas, es decir, supuestamente a personas conocidas y conocedoras de cuáles eran los representantes sindicales.
¿Qué motivó la sanción? ¿En qué se basa la Agencia?
La Agencia rechazó las alegaciones que posteriormente se enumeran e indica que publicar la firma genera una situación de riesgo de ser reproducida y su publicación, con carácter general, no es conforme al principio de proporcionalidad y minimización de datos que establece el Art. 5.1.c) del RGPD.
En definitiva, la Agencia considera que se trata de un dato excesivo, pero también menciona que su publicación, con carácter general, no es conforme al principio de minimización de datos, es decir, como siempre habrá que ver el caso concreto.
Con carácter general recomienda la supresión de todas las firmas manuscritas y sea suplida con alguna mención que acredite que el original ha sido efectivamente firmado, algo considerado como una buena práctica.
En concreto, la Agencia hacer referencia a su informe del Gabinete Jurídico número 048939/2016 y al criterio interpretativo CI/004/2015, de 23 de julio de 2015, emitido conjuntamente por el Consejo de Transparencia y Buen Gobierno (CTBG) y la AEPD, relativo a la publicidad activa de la firma manuscrita y también de los datos del DNI, es decir:
- En el informe de la AEPD se indica que “el acta contiene la identificación de los firmantes con su nombre, apellidos y cargo sin que la firma manuscrita aporte con carácter general una mayor información sobre lo debatido en el pleno, mientras que da lugar a un situación de riesgo para los firmante por lo que, en principio, debe considerarse que su publicación con carácter general no resulta conforme al principio de proporcionalidad, y por ello se entiende que la entidad reclamada ha vulnerado el artículo 5.1 c) del RGPD, que rige los principios minimización de los datos personales, así como la responsabilidad proactiva del responsable del tratamiento de demostrar su cumplimiento”.
- En el criterio interpretativo mencionado se indica que: “se concluye, respecto a la firma manuscrita, que no puede ignorarse que la publicación de la firma manuscrita puede generar una situación de riesgo debido a la posibilidad de reproducción por parte de cualquier persona que acceda al documento, por lo que se recomienda la supresión de todas las firmas manuscritas de los documentos, «siempre que la ausencia de las firmas sea suplida con algún tipo de mención que ponga de manifiesto que el original del mismo ha sido efectivamente firmado»”.
¿Qué alegó el sindicato tras recibir la denuncia y posteriormente al ver que se iniciaba un procedimiento sancionador por la Agencia?
Tras recibir la notificación, el sancionado alegó inicialmente ante la Agencia, de manera resumida, lo siguiente:
- Que el nombre de los miembros del comité y su firma, son sobradamente conocidos por todo el personal de la empresa y por ello irrelevantes.
- No hay ningún otro dato personal, por ello, ningún integrante del comité puede sentir vulnerado su derecho, ya que “entendemos que la firma en sí misma, a estos efectos, no es un dato personal merecedora de protección”.
- El tablón sindical está en un lugar concreto y apartado, protegido de cualquier visita. Adjuntamos certificado de la empresa que no deja lugar a la duda.
- Y respecto al grupo de WhatsApp no se trata de un grupo abierto, accesible a cualquiera, y en el mismo tampoco se cuelgan datos personales.
Posteriormente tras recibir el acuerdo de inicio del procedimiento sancionador, hizo nuevas alegaciones en las que pedía el archivo, si bien no fueron admitidas. De manera resumida alegó:
- Que un acta sin firmar es un documento sin valor, ya que la firma es un elemento clave de autenticidad.
- Que, al ser personas conocidas, no puede entenderse que se genere una situación de riesgo.
- Con respecto a la proporcionalidad de la publicación, no es posible que el tablón sindical sea visto por personas ajenas a la empresa y tampoco el grupo de wasap que es cerrado y precisa de una acción filtrada para ser miembro.
Alegaciones que la Agencia no atendió y además de la sanción de 2.000€, por infracción del Art. 5.1.c) del RGPD ya mencionado, le da un mes de plazo para que adopte las medidas necesarias para que no figuren en la publicación de las actas las firmas manuscritas, así como la aportación de medios de prueba acreditativos del cumplimiento de lo requerido.
Conclusión respecto al tratamiento de dato de la firma y su publicación:
¿Es realmente un dato excesivo o se puede valorar que aporta validez al documento? Por ejemplo, dando validez a la firma de las personas, evitando que exista suplantación de las mismas.
Puede que publicarlo sin la firma y poniendo a disposición el mismo a los interesados para su simple verificación/validación se logre el mismo objetivo, pero entramos en aspectos un tanto farragosos de gestionar, no?
Al margen de la controversia que puede plantear la resolución, recordemos que:
- Nuestra firma es un dato de carácter personal (es un dato que nos identifica o nos hace identificable) y no como inicialmente señaló el sancionado: “entendemos que la firma en sí misma, a estos efectos, no es un dato personal merecedora de protección”.
- Que antes de publicar y/o difundir cualquier dato personal debemos evaluar la necesidad de hacerlo, la proporcionalidad y si es conforme al principio de minimización de datos personales, es decir, debemos evaluar si logramos el mismo objetivo, pero publicando menos datos, en definitiva, los datos mínimos necesarios para lograr la finalidad perseguida.
En este caso, la veracidad de dichas actas pudo ser publicada sin la necesidad de incorporar las firmas, simplemente indicando y “dando fe” de que fueron firmadas por todos ellos y poniendo a disposición el documento para su visualización.