La Agencia Española de Protección de Datos (en adelante, AEPD) determina que no retirar el acceso al correo electrónico a un ex trabajador es un incidente de seguridad (resolución ps-00447-2022).
Un docente interpuso una reclamación ante la AEPD señalando que había recibido una comunicación de Google informándole de un nuevo inicio de sesión en su cuenta corporativa, por lo que consideraba que podría haberse suplantado su identidad y vulnerado sus derechos.
El art. 32 del Reglamento General de Protección de Datos exige la adopción de medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
La AEPD considera que se ofrecen indicios evidentes de que la reclamada ha vulnerado el art. 32 del RGPD y se ha producido un incidente de seguridad en sus sistemas, al no haber retirado al reclamante acceso a su cuenta de correo electrónico como debería haberse hecho.
En el presente caso, la parte reclamada manifestó que, accidentalmente, no se le retiró el acceso a la cuenta de correo electrónico del trabajador como debería haberse hecho, y que el centro no cambió la contraseña de la dirección de correo electrónico del reclamante por lo que éste seguía teniendo acceso a ésta, desconociendo los motivos y personas que han podido tener acceso a la cuenta.
Se constata que la reclamada no ha adoptado las medidas de seguridad necesarias dado que el trabajador continuó accediendo a la cuenta de correo electrónico, pudiendo acceder a datos personales e información a la que ya no debería tener acceso por no trabajar en ese lugar.
En consecuencia, la AEPD concluye que los hechos acreditados son constitutivos de infracción por vulneración del art. 32 RGPD.