Logotipo Servicios Integrales Para Pymes
Cita online
,

¿Sabías que una administración no puede publicar tus datos personales en redes sociales sin base legal?

La AEPD declara que el SESCAM vulneró el RGPD al publicar datos personales en redes sociales antes de hacerlo por medios oficiales

La Agencia Española de Protección de Datos ha dictado una resolución clave (PS/00254/2024) con implicaciones directas para la gestión de la comunicación institucional y protección de datos en las administraciones públicas.

El caso parte de una reclamación presentada por una participante en un concurso de traslados convocado por el Servicio de Salud de Castilla-La Mancha (SESCAM), quien vio su nombre y destino adjudicado publicado en la red social “X” (antes Twitter) antes de que la adjudicación fuese publicada oficialmente en el Diario Oficial de Castilla-La Mancha (DOCM).

Hechos del caso

El proceso de adjudicación se realizó a través de una plataforma electrónica cerrada, en la que cada candidato introducía sus méritos de forma individual. La publicación oficial, según las bases, debía hacerse en el DOCM y en el tablón electrónico de la Junta de Comunidades.

Sin embargo, un perfil institucional vinculado al SESCAM difundió en la red social “X” un listado completo de nombres y destinos adjudicados con fecha anterior a la prevista para la publicación oficial.

Esta acción motivó una reclamación ante la AEPD por posible vulneración de la normativa de protección de datos, al considerar que no existía legitimación para esa difusión anticipada.

Argumentos del SESCAM

El organismo alegó que:

  • La información ya había sido remitida al DOCM.
  • Se pretendía facilitar el acceso de los participantes al resultado del proceso.
  • La publicación en “X” era complementaria y no sustituía a la oficial.

Además, destacaron que en futuros procesos limitarían sus publicaciones a anunciar la aparición en el DOCM, sin difundir directamente datos personales en redes sociales.

Valoración jurídica de la AEPD

La AEPD analizó si existía una base de legitimación válida en el artículo 6.1 del RGPD para esta publicación anticipada. La conclusión fue clara: no la había.

La Agencia señaló que:

  • Las redes sociales no son canales oficiales de notificación administrativa según la Ley 39/2015 (artículos 45 y 46).
  • El hecho de que la publicación en el DOCM sea obligatoria no legitima una publicación previa en otros medios.
  • La publicación en redes añade riesgos innecesarios, como la indexación en buscadores, que no se produce en los diarios oficiales.

Además, recordó que la disposición adicional séptima de la LOPDGDD impone restricciones claras a la identificación de interesados en actos administrativos.

Decisión final de la AEPD

La AEPD resolvió:

  1. Que el SESCAM vulneró el artículo 6.1 del RGPD, por carecer de base jurídica válida para tratar y difundir los datos personales antes de su publicación oficial.
  2. Al ser un organismo público, no se impone sanción económica, en virtud del artículo 77 de la LOPDGDD.
  3. Se declara la infracción y se ordenan medidas correctoras:
    • Retirada completa de la publicación en redes.
    • Acreditación del cumplimiento.
    • Compromiso de no repetir esta práctica.

También se notifica la resolución al Defensor del Pueblo, como prevé la normativa.

Implicaciones para el sector público

Este caso refuerza un principio esencial: la protección de datos no se subordina a la agilidad informativa ni a la accesibilidad institucional.

Las administraciones deben extremar la cautela cuando manejan datos personales, especialmente si se difunden fuera de los canales habilitados por ley. Las redes sociales, aunque útiles como herramientas de comunicación, no son canales oficiales de notificación ni de publicidad de actos administrativos que contienen datos identificativos.

Conclusión

La resolución PS/00254/2024 marca un precedente importante al dejar claro que la difusión de datos personales en redes sociales por parte de una administración pública, sin base legal, constituye una infracción grave del RGPD.

Esta decisión es especialmente relevante para:

  • Delegados de protección de datos (DPD).
  • Responsables de comunicación institucional.
  • Unidades de recursos humanos y servicios jurídicos del sector público.

Transparencia y agilidad, sí. Pero siempre con respeto a la ley.

Enlace a la resolución: https://www.aepd.es/documento/ps-00254-2024.pdf

Facebook
Twitter
LinkedIn
Email
WhatsApp
Telegram
Skype
Print
Picture of admin
admin

Boletin informativo

Suscríbete al boletín informativo para estar al día

Por favor, antes de enviar tus datos lee la política de privacidad

Últimas publicaciones