| Resolución | AAPP-00048-2018 |
| Firmado | 2018-09-20T00:00:00Z |
| Enlace | 📋 |
El procedimiento AP/00048/2018 se originó a partir de una denuncia presentada por B.B.B., un trabajador del Consorcio para el Diseño, Construcción, Equipamiento y Explotación del Centro de Láseres Pulsados Ultracortos Ultraintensos (CLPU). La denuncia se centró en la exposición de datos personales sensibles de 19 compañeros de trabajo, incluyendo DNI, información de nóminas y cuentas bancarias, así como solicitudes de jornada reducida y resultados de reconocimientos médicos. Estos datos estaban disponibles en una carpeta de intercambio compartida en la red del centro, accesible a todos los empleados.
El denunciante informó al director del centro sobre estos hechos, y los documentos fueron retirados inmediatamente. Sin embargo, se descubrió que un certificado de empresa de un trabajador que había dejado el centro también estuvo disponible en la carpeta durante varios días. El CLPU reconoció que los datos procedían de ficheros de «Nóminas» y «Recursos Humanos», con acceso restringido a personal autorizado, y que los documentos fueron colocados en la carpeta de intercambio por error.
El procedimiento determinó que el CLPU había infringido el artículo 9.1 de la Ley Orgánica de Protección de Datos (LOPD), que establece la obligación de adoptar medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos personales y evitar su acceso no autorizado. La infracción se tipificó como grave según el artículo 44.3.h) de la LOPD.
La resolución declaró que el CLPU había infringido la normativa de protección de datos, pero no impuso una sanción económica. En su lugar, se ordenó al centro adoptar medidas correctivas para evitar futuras incidencias y se comunicó la resolución al Defensor del Pueblo. La decisión subrayó la importancia de implementar y cumplir con las medidas de seguridad adecuadas para proteger los datos personales, especialmente en entornos donde se manejan información sensible.