La AEPD sanciona a Ryanair por divulgación de datos de salud
La Agencia Española de Protección de Datos (AEPD) ha dictado una resolución dentro del procedimiento sancionador abierto contra Ryanair DAC, imponiendo una multa significativa a la aerolínea por la divulgación no autorizada de información confidencial relacionada con la salud de una empleada.
Los hechos: Reclamación ante la AEPD
El 15 de noviembre de 2021, una ex trabajadora de Ryanair presentó una reclamación ante la AEPD al descubrir que la empresa había compartido detalles sobre sus bajas médicas con otros empleados, sin su consentimiento. La reclamante explicó que había participado en un procedimiento disciplinario en el que se le solicitó justificar varias ausencias por motivos de salud en 2020 y 2021. Durante una reunión con su supervisora en la base de Madrid, la empleada proporcionó explicaciones sobre sus bajas médicas, creyendo que la reunión mantenía un carácter confidencial.
Pruebas aportadas en el caso de sanción de la AEPD a Ryanair
Para respaldar su reclamación, la trabajadora presentó capturas de pantalla de conversaciones con compañeros, quienes confirmaron haber recibido la carta con información médica confidencial. Esta carta, fechada el 28 de julio de 2021, estaba marcada como «estrictamente privada y confidencial», y contenía detalles de las ausencias por incapacidad temporal, como las fechas y los motivos. A pesar de ser un error, al menos 21 empleados accedieron a la información antes de que Ryanair eliminara el documento.
Alegaciones de Ryanair y respuesta de la AEPD
En su defensa, Ryanair argumentó que el error fue un caso aislado, atribuido a un fallo humano, y que el acceso a la carta fue corregido de forma rápida. La compañía también informó que había notificado el incidente a la Comisión de Protección de Datos de Irlanda (DPC), ya que su sede principal está ubicada en ese país, alegando que la autoridad irlandesa debía ser la encargada de llevar a cabo la investigación.
Sin embargo, la AEPD rechazó esta alegación, argumentando que, aunque Ryanair tiene su sede en Irlanda, el incidente afectó principalmente a empleados en España, lo que otorgaba competencia a la AEPD para sancionar a la compañía. Ryanair también destacó que había implementado medidas correctoras para evitar futuros incidentes, incluyendo formación adicional para los empleados sobre el manejo de datos sensibles y la instalación de un sistema de verificación antes de enviar documentos a través de la intranet.
Fundamentos legales y análisis de la AEPD
Tras una investigación exhaustiva, la AEPD concluyó que Ryanair había vulnerado varios artículos del RGPD. En su resolución, la AEPD destacó tres infracciones clave:
- Artículo 5.1(c): El principio de minimización de datos exige que los datos personales se limiten a lo necesario para los fines que se persiguen. En este caso, la AEPD concluyó que Ryanair compartió datos médicos innecesarios, violando este principio.
- Artículo 5.1(f): El principio de integridad y confidencialidad obliga a las organizaciones a garantizar que los datos personales se traten de manera segura y confidencial. Ryanair incumplió este principio al no adoptar las medidas necesarias para evitar que empleados no autorizados accedieran a la información confidencial.
- Artículo 32: Las medidas de seguridad técnica y organizativa exigen que las empresas implementen controles adecuados para garantizar la seguridad de los datos personales. La AEPD determinó que Ryanair no tomó suficientes precauciones para proteger los datos sensibles en su sistema de intranet.
Multas impuestas por la AEPD
- 60.000 euros por infringir el artículo 5.1(c) del RGPD (minimización de datos).
- 25.000 euros por incumplir el artículo 5.1(f) del RGPD (integridad y confidencialidad).
- 10.000 euros por violar el artículo 32 del RGPD (medidas de seguridad técnica y organizativa).
En total, la multa ascendió a 95.000 euros, lo que refleja la gravedad de las infracciones cometidas por Ryanair.