En diciembre de 2021, el Tribunal Laboral de Neuruppin condenó a un empresario a pagar una indemnización de 1.000 euros a un antiguo empleado en virtud del artículo 82 del RGPD. El motivo era que el antiguo empleado seguía siendo mencionado por el empresario en su página web tras la extinción de la relación laboral.
Esto podría haberse evitado con un concepto eficaz de supresión y una gestión sostenible de los derechos de los interesados. Aquí encontrará lo que necesita saber.
El caso - daños y perjuicios en virtud del artículo 82 del RGPD
Los hechos del caso, sobre los que tuvo que pronunciarse el Tribunal Laboral de Neuruppin, fueron los siguientes: El demandante era empleado del demandado. Trabajaba como auxiliar de gestión de oficinas, pero también tenía un título académico en biología.
En el contexto de la terminación de la relación laboral, el demandante señaló al demandado que el demandante seguía figurando en el sitio web del demandado, en particular como biólogo. Al mismo tiempo, la carta señalaba que ya no debían conservarse las referencias en el sitio web y que, además, el demandante se había dirigido al Comisario de Protección de Datos del Estado una vez expirados todos los plazos fijados hasta entonces.
Sin embargo, en el sitio web del demandado siguieron apareciendo contenidos sobre la demandante, en los que se la describía como bióloga colaboradora. El demandante exigió entonces una declaración de cese y una indemnización económica. El demandado hizo la declaración y pagó 150 euros al demandante.
El demandante presentó entonces una demanda y reclamó 5.000 euros por daños y perjuicios ante los tribunales.
El tribunal concedió al demandante una reclamación por importe de 1.000 euros (menos la cantidad abonada) en virtud del artículo 82 del RGPD. Se cumplían los requisitos del artículo 82 del RGPD (infracción del RGPD (derechos del interesado), daños resultantes y responsabilidad). El tribunal no consideró necesario probar un perjuicio concreto. El importe se basó en la jurisprudencia actual.
Con esta sentencia, el Tribunal Laboral de Neuruppin continúa la interpretación favorable a los trabajadores que hacen los tribunales laborales de la ley de protección de datos y demuestra de forma impresionante los elevados riesgos que corren las empresas cuando se producen (presuntas) infracciones de la protección de datos. Lo que resulta especialmente explosivo es que el importe total de las reclamaciones por daños y perjuicios puede aumentar rápidamente si una infracción afecta a varios empleados.
Medidas de protección para los empresarios
Para protegerse de tales indemnizaciones, no sólo es esencial que los empresarios dispongan de un concepto eficaz de supresión, sino también de una gestión sostenible de los derechos de los interesados.
Concepto de supresión según la DSGVO
El RGPD no sólo contiene requisitos para la recogida y almacenamiento de datos, sino también para su supresión, e incluso lo hace obligatorio. En consecuencia, las autoridades supervisoras competentes también lo controlan. En caso de infracción, pueden imponerse multas elevadas sin que el interesado sea el demandante.
El almacenamiento de datos sólo está permitido durante el periodo de tiempo necesario para el fin perseguido (limitación del almacenamiento y limitación de la finalidad del tratamiento). El responsable del tratamiento puede utilizar un concepto de supresión para definir normas sobre cuándo deben suprimirse los datos. Esto significa que un concepto de supresión siempre se adapta individualmente al controlador correspondiente. Para desarrollar tal concepto de supresión, es necesario un análisis preciso de las operaciones de tratamiento y de los datos afectados.
También hay que tener en cuenta que los datos se borran realmente al final, es decir, se hacen irreconocibles.
Gestión de los derechos de los interesados con arreglo al RGPD
Los derechos de los interesados en virtud del RGPD sirven para darles el control sobre sus datos. La empresa debe disponer de infraestructuras adecuadas, especialmente en lo que respecta a las solicitudes de información. Si no se atienden suficientemente las solicitudes de información, también existe el riesgo de multas.
Una solicitud de información puede resultar muy extensa y compleja en la práctica. En primer lugar, el responsable del tratamiento debe identificar al interesado, respetar los plazos de respuesta y tener en cuenta el alcance de la solicitud.
Para aplicar esto de forma sostenible, es esencial contar con procesos adecuados de protección de datos en virtud del RGPD. El controlador debe estar preparado para recibir solicitudes de información antes de que le llegue la primera. Para ello son necesarias capacidades tanto técnicas como de personal.
Nuestros expertos estarán encantados de ayudarle.