LA AEPD SANCIONA A UNA ACADEMIA POR PUBLICAR EN SU WEB LOS RESULTADOS DE UN PROCESO SELECTIVO PROCEDENTES DE LA WEB DE LA ENTIDAD CONVOCANTE

Si tienes una academia de formación y estás pensando publicar en tu web un listado con los resultados de un proceso selectivo de concurso-oposición provenientes de la página web de la entidad convocante, debes saber que nuestra autoridad de control ha sancionado recientemente a una academia por esta práctica. Los hechos se remontan al año 2021, cuando una alumna de una academia dedicada a cursos de formación a la que acudía, presentó una reclamación ante la Agencia Española de Protección de Datos (en adelante AEPD), manifestando que la URL de la misma, aparecían publicados los resultados de un proceso de concurso- oposición del Servicio Gallego de Salud (SERGAS), y en las que figuran junto a su nombre y apellidos los datos personales de 95 participantes más, junto al DNI anonimizado (conforme a la D.A. 7ª de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD), y las notas desglosadas en “oposición y concurso”. Este último aspecto, distinguía entre formación, experiencia y otras actividades donde, además, de la nota de la oposición, ordenado por puntuación total de más a menos, y juntos todos los sistemas de acceso (DI: discapacidad; LI: libre; Pri: promoción interna).

Ante los hechos expuestos, la AEPD dio traslado a la parte reclamada para que en el plazo de un mes pudiese realizar su análisis y sus alegatos, pero no respondió hasta enero, cuando se inició el procedimiento sancionador por la presunta infracción del artículo 6.1 del Reglamento de Protección de Datos. En este sentido y para una mayor comprensión de los motivos de que han dado lugar a la sanción, pasamos a detallar los alegatos de una y otra parte dando respuesta a las siguientes preguntas:

1. Datos de carácter personal: ¿constituyen el nombre y apellidos de una persona por sí solo un dato de carácter personal?

La parte reclamada, argumenta que, el nombre y apellidos solamente de una persona, por sí mismo, no deben ser considerados como dato de carácter personal, pues existen numerosas personas que coinciden en su nombre y apellidos. Además, se trata de información previamente anonimizada, al haberse ocultado el número del DNI de los participantes, “no resultan ni identificadas ni identificables de forma fehaciente”.

Frente a esto, nuestra autoridad de control, recurre en este punto, al dictamen 4/2007, sobre el concepto de datos personales, adoptado el 20/06 por el Grupo de trabajo 29, de la Directiva 95/46, que analiza en profundidad el concepto de datos personales, donde indica que, una persona directamente se considera identificada a través del nombre y apellidos y queda más individualizada, cuando, además, se tiene otro identificador, por ejemplo, el NIF, a través del cual se puede obtener más información de esa persona o cualquier información que pueda especificarlo o situarlo en un concreto ámbito. En el caso que estamos aquí analizando, la conducta que consiste en hacer referencia en una página web, a una persona con su nombre y apellidos, y que en este caso es distintivo porque no es frecuente, constituye, per se, un dato de carácter personal que la identifica, y a la que se añadiría en este caso que cumple los requisitos que señale la convocatoria para poder presentarse por el turno (…), con lo que se añaden elementos para poder ser identificada por un sector mayor de la población.

2. Información pública y fuentes accesibles al público: ¿podemos considerar los datos publicados en una web como información pública o fuentes accesibles al público?

La parte reclamada alega que tratándose de información pública, su finalidad era dar publicidad a los resultados publicados por el SERGAS y en el Diario Oficial de Galicia, ya que muchos de los participantes en el proceso de selección era alumnos de su academia, entendiendo que no prevalecían los derechos y libertades de los interesados y acudiendo a lo que la anterior normativa denominaba fuentes accesibles al público. Los datos que se incluyen en la URL de la reclamada corresponden a un proceso selectivo del Servicio Gallego de Salud, aunque el reclamado lo incluye en una URL propia, sobre la que efectúa una seleccionada elaboración propia para ordenar por apellidos y orden de puntuación, dentro del turno (…).

La autoridad de control indica, frente a la alegación de la reclamada de que los datos publicados son datos “personales públicos” por proceder de una web, la del SERGAS, que una web no es una fuente de acceso público atendiendo incluso a lo que de ella definía en el anterior LOPD. Si a lo que se refiere es que un dato hecho público, este no lo ha sido por su titular, sino por una entidad pública que al amparo de la normativa vigente le puede legitimar para su publicación, con una finalidad concreta. Ello, además, queda claro con la definición y detalle del derecho de protección de datos que se contiene en la STCO 292/2000, de 30/11, recurso 1463/2000, fundamento jurídico sexto, en la medida en que el objeto de protección del derecho fundamental a la protección de datos alcanza también a los datos personales públicos, los cuales no escapan del poder de disposición del afectado.

3. Interés legítimo: ¿podemos acogernos al interés legítimo acudiendo a las fuentes accesibles al público como base jurídica para publicar dichos listados en nuestra web?

La parte reclamada, alega como base jurídica el interés legítimo, consistente en facilitar el acceso a los resultados provisionales del concurso oposición, tratándose de una información previamente hecha pública lo que la anterior normativa se denominaba fuentes accesibles al público, que considera aplicable al caso en una entidad que especialmente enfoca a las profesiones sanitarias.

La autoridad de control por su parte, nos recuerda que a partir de la entrada en vigor del RGPD, no puede hablarse de un concepto legal de “fuentes accesibles al público” como el que existía en la LOPD, ni tampoco podemos entender que el hecho de que los datos aparezcan en este tipo de fuentes legitime sin más el tratamiento, precisando en todo caso una base legitimadora para su tratamiento. El RGPD sólo habla de fuentes de acceso público al regular el derecho a la información, si los datos no se han recogido del interesado. La mención a la vigencia del RLOPD carece de efecto, al no ser en todo caso los datos contenidos en una fuente de acceso público una base legitimadora, necesitando la cobertura de alguna de las circunstancias como base legitimadora en el artículo 6.1 del RGPD.

Además, los listados, no se publican en el Diario Oficial, sino que en este se indica que se publique en la web de SERGAS, a la que se ha de acudir para su visionado y en la forma que se ha indicado. Sobre la base del interés legítimo alegado, gran parte del mismo se limita a señalar que son datos de acceso público por el hecho de que los opositores por norma legal relacionada con el empleo público y la transparencia han de someterse a la exposición de sus datos como garantía de objetividad, reforzando su tesis de que, por el hecho de estar sus datos en una web en abierto, se puede encontrar dentro de dicho esquema de tratamiento. Sin embargo, los listados no están expuestos en boletín o diario oficial alguno, sino en la web de SERGAS, no cumpliendo ya uno de los requisitos para que en el pasado pudiera ser considerada fuente de acceso público.

Además, atendiendo a lo establecido en el Dictamen 6/2014 del anterior Grupo de trabajo 29, que contempla los diferentes factores a tener en cuenta para hacer una ponderación de los derechos en juego y para que el apartado f) del artículo 6.1. RGPD pueda constituir la base legitimadora del tratamiento de los datos personales que se efectúa, preceptivamente, y con carácter previo al tratamiento, ha de hacerse una ponderación del interés legítimo del responsable del tratamiento, de una parte, y de otra, tanto de los intereses como los derechos y libertades fundamentales de los afectados.

En conclusión, atendiendo a lo expuesto, no se aprecia en el tratamiento de datos personales sobre el que versa la reclamación, que pueda considerarse como un interés legítimo prevalente del responsable sobre los afectados que pueda operar como causa legitimadora del tratamiento, por los siguientes motivos que pasamos a detallar:

 –El tratamiento llevado a cabo no es habitual en la reclamada, lo cual hace dudar de que sea necesario, ya que lo habitual es indicar en el apartado noticias la referencia y un link. Ella misma declara que no se enmarca en los registros de actividades del tratamiento que desarrolla, siendo un caso excepcional. No parece muy normal que para el desarrollo ocasional de un tratamiento que se sale de lo usualmente llevado a cabo, se acuda a una base en la que se tenga que hacer un balance de derechos y riesgos de los afectados.

No se informa del origen de los datos, especialmente a los afectados, su origen, su finalidad, su base legitimadora. Para las personas incluidas en el listado, que dieron sus datos en base a unas expectativas legales y concretas referidas al proceso selectivo, puede suponer un tratamiento sorpresivo el hecho de salir en listados a los que no resulta difícil su acceso en GOOGLE, y que no sepan nada y puede que no se enteren al respecto.

 -El tratamiento llevado a cabo que se ha revelado al menos fue el de un listado exclusivo de turno (…) y que se publica bajo la fórmula genérica de que algunas personas han hechos cursos de formación que podrían contar en dicha convocatoria.

 – El principio de conservación de datos no fue tenido debidamente analizado: la revelación permaneció durante un tiempo excesivo, que no se justifica dado que era una puntuación provisional, siendo retirado en enero 2022, habiéndose iniciado a finales de 2019, deduciendo  que el principio de conservación de datos no fue debidamente analizado.

– No se contiene garantía alguna del derecho de oposición al tratamiento que debe incluir toda base legitimadora que se base en dicho interés alegado. (21.1. RGPD).

– A mayor abundamiento, el tratamiento que lleva a cabo la reclamada es distinto del de la entidad convocante de las pruebas selectivas no solo por la distinta base jurídica para recoger datos de salud como el dato de discapacitado, y finalidad, sino porque el tratamiento de la reclamada es una reelaboración de la originaria fuente, presentando la información de un modo distinto que obedece a fines informativos, y conteniendo igualmente el citado dato de salud.

Si queréis conocer más sobre interés legítimo, en el tratamiento de fuentes accesibles al público puedes consultar una entrada anterior en nuestro blog aquí:

Solicitud de rebaja en la sanción por “desproporcionada”

La parte reclamada en sus alegaciones expone, que el importe de la sanción de 12.000 euros, es desproporcionada alegando que se trata de una microempresa, sin que concurra intencionalidad alguna ni la existencia de beneficios por su parte, atendiendo además a que era la única vez que lo habían hecho y que corrigieron el error borrando los listados de la web. Manifiesta la reclama que actuó con el convencimiento de que el tratamiento se ajustaba al RGPD, puesto que previamente a realizar el tratamiento objeto de reclamación sanción efectuaron un “análisis de cumplimiento normativo” y solicitan un apercebimiento y reducción de la sanción a 600 euros.

La AEPD, no atiende a la solicitud de la parte reclamada manteniendo el importe de la sanción y estimando como agravantes los siguientes factores que por su interés pasamos a reproducir:

1.-. Naturaleza, gravedad y duración de la infracción, se trata de tratamientos relacionados con procesos selectivos, y datos que se proporcionaron en su día para una finalidad especifica en un proceso determinado, no recogiendo directamente del reclamado los datos, tratados en una web, la propia, de modo que es difícil de que se enteren los afectados, ascendiendo a datos de 95 personas, identificándolas con nombre y apellidos. (artículo 83.2.a) RGPD).

 2.El principio de culpabilidad impide la admisión en el derecho administrativo sancionador de la responsabilidad objetiva, si bien también es cierto, que la ausencia de intencionalidad resulta secundaria ya que este tipo de infracciones, normalmente, se cometen por una actuación culposa o negligente lo que es suficiente para integrar el elemento subjetivo de la culpa. En este caso concreto, se produce una falta de diligencia que conlleva que al manejar datos se han de extremar las cautelas, y aquí no parece que se haya tenido en cuenta. (artículo 83.2.b) RGPD).

3.- El grado de responsabilidad del responsable es relevante, al ser titular de una página web en la que ofrece servicios, ha creado un listado incorporando datos de la sede oficial que los trata, con una finalidad propia para sus servicios, siendo plena su responsabilidad. (artículo 83.2.d) RGPD).

4.- Los datos, son datos de salud, “especiales”, por la referencia a la clave, que no es difícil de interpretar ya que el link lleva también la descripción. (artículo 83.2.g) RGPD).

5.- El carácter continuado de la infracción, estimativo de más de un año y medio, el tratamiento se inicia el 2/12/2019, la denuncia es de julio 21, previsiblemente, puede continuar la lesión del bien jurídico, en este caso lo hace hasta recibirse el acuerdo de inicio, constituyendo lo que diversas y reiteradas sentencias identifica como “infracción permanente”.  (artículo 76.2.a) LOPDGDD).

Asimismo,  no resultaría aplicable como atenuante, el hecho de que la reclamada no haya sido sancionada anteriormente, es decir no ser reincidente y que no haya obtenido beneficio alguno. El literal del artículo se refiere, no a los beneficios no obtenidos, sino a “los beneficios obtenidos como consecuencia de la comisión de la infracción” (artículo 76.2.c) LOPDGDD).

La AEPD para finalizar insiste, en que valorar la ausencia de beneficios como una atenuante anularía el efecto disuasorio de la multa, en la medida en que minora el efecto de las circunstancias que inciden efectivamente en su cuantificación, reportando al responsable un beneficio al que no se ha hecho merecedor. Sería una rebaja artificial de la sanción que puede llevar a entender que infringir la norma sin obtener beneficios financieros o del tipo que fuere, no le producirá un efecto negativo proporcional a la gravedad del hecho infractor ni resultar una conducta reprochable. Solo en el caso de que esta ausencia de beneficios sea relevante para determinar el grado de antijuricidad y de culpabilidad presentes en la concreta actuación infractora podrá considerarse como una atenuante.