La Agencia Española de Protección de Datos (AEPD) ha confirmado en una resolución que la Comunidad de Madrid cometió una irregularidad al difundir los datos personales de miles de trabajadores de centros de enseñanza de la región pero ha decidido archivar el expediente porque su actuación «fue proporcionada» y «ha tomado las medidas adecuadas para evitar que se vuelva a producir».
Teniendo en cuenta que la normativa de protección de datos no contempla multas económicas a administraciones públicas, sino un mero apercibimiento, la asociación de consumidores FACUA considera «inconcebible» que la AEPD resuelva el asunto «sin tan siquiera aplicar esa medida a la Consejería de Juventud y Educación, la responsable de la difusión de los datos personales, pese a reconocer que se produjo la irregularidad, alegando que la Administración disponía de las medidas razonables de seguridad» y que «actuó conforme a los protocolos establecidos para minimizar su impacto».
La asociación denunció a la Consejería de Juventud y Educación ante la AEPD en septiembre de 2020 tras conocer por docentes afectados que se habían difundido los nombres, apellidos, sexo y el carácter de docentes o no docentes de 16.720 trabajadores de los centros de la Comunidad de Madrid. Los trabajadores habían recibido un correo electrónico, en el que les citaban para una serología realizada por Ribera Salud, acompañado de un documento adjunto con datos de los casi 17.000 trabajadores del Área Territorial Madrid-Sur.
La AEPD admitió a trámite la denuncia al apreciar «indicios racionales de una posible vulneración de la normativa en materia de protección de datos», según comunicó su directora, Mar España.
Ahora, sin embargo, la resolución de la Agencia ha dictaminado «proceder al archivo de las presentes actuaciones» ya que, según indica, «se ha acreditado que la actuación del reclamado como entidad responsable del tratamiento ha sido acorde y proporcionada con la normativa sobre protección de datos personales».
«Error puntual en la interpretación».
La AEPD indica que la difusión del listado de docentes se debió a «un error puntual en la interpretación de las medidas de seguridad», ya que «en ningún caso el listado de nombres individualizados debía comunicarse a la comunidad educativa, sino que éste sólo debía ser utilizado por la dirección de área para proceder al conteo y aglutinamiento por franjas horarias y, posteriormente, comunicar a los directores de los Centros la asignación de día y hora».
Así, según ha informado la Consejería de Juventud y Educación a la Agencia, el problema radicó en que la Dirección de Área Territorial (DAT) de Madrid Sur remitió «incorrectamente el correo con el fichero de personal de toda el Área y algunos centros reenviaron el fichero completo sin realizar la comunicación individual prevista».
«La información que debía haber sido remitida a los directores», continúa, «era exclusivamente la referida al personal concreto de su centro, de forma que pudieran mandar correo individualizado». Una vez descubierta la brecha de datos, se envió «un correo electrónico a cada uno de los directores de los centros solicitándoles que se abstengan de hacer uso del documento en formado Excel indebidamente difundido, indicando que la gestión debe ser individualizada y exclusivamente para los docentes de su centro y que en ningún caso puede difundirse ningún otro dato».
En este sentido, FACUA critica que «se achaque la brecha de seguridad a un error de interpretación y que la AEPD considera que la Consejería actuó de forma correcta, cuando la difusión de los datos se produjo en primer lugar por el envío, por parte del DAT Madrid Sur, de un listado que contenía la información personal de todos los trabajadores del Área, y que luego fue difundido por los directores de los centros sin individualizar».
Tratamiento sin consentimiento
La asociación señaló en su denuncia que los trabajadores de los centros de enseñanza no habían dado su autorización a la Consejería de Educación para que facilitase sus nombres y apellidos al resto de trabajadores ni tampoco a que estos sepan que previsiblemente estarían en un determinado lugar a una hora para realizarse una prueba serológica.
Por ello, lo ocurrido podría incurrir en una vulneración del artículo 6 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. En el apartado primero, letra a del citado artículo, se indica que «el tratamiento solo será lícito» si «el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos».
Como excepciones, la norma permite el tratamiento para «el cumplimiento de una obligación legal» o «proteger intereses vitales», pero la asociación advertía de que la consecución de esos fines no hacía necesario, obviamente, que los trabajadores de los centros de enseñanza tuvieran acceso a datos personales de otros empleados y, entre ellos, a su cita para la realización de una serología.
