La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 35.000 euros a una compañía tecnológica por un incidente que compromete la privacidad de 10.837 candidaturas .
El problema surgió cuando, tras una llamada para ofrecer empleo, la empresa envió a los candidatos un correo con dos enlaces: uno al formulario de consentimiento y otro a un archivo Excel accesible públicamente, que contenía datos personales (nombre, apellidos y DNI) de 10.837 personas, incluyendo aquellos que no habían autorizado el tratamiento de sus datos .
Además, la empresa violó el principio de limitación del plazo de conservación: el formulario indicaba que los datos se mantendrían solo 18 meses, pero se detectaron registros desde 2020, es decir, más de 48 meses, cuando la reclamación se presentó en octubre de 2024 .
La empresa reconoció que se trató de un “error administrativo” causado por un técnico recién incorporado. Tras el aviso de la AEPD, se deshabilitó el acceso al enlace interno y se impusieron controles: solo el personal técnico puede acceder a los datos recientes; los datos caducados fueron bloqueados y están en proceso de eliminación .
La AEPD basó la multa en la vulneración del artículo 5.1.f) del RGPD sobre integridad y confidencialidad, enfatizando que la empresa no adoptó prevención proactiva en la seguridad de los datos, a pesar de que su core business implica un tratamiento intensivo de información personal
