Acerca de operadores lógicos
Última revisión
01/09/2023
Resolución de la Agencia Española de Protección de Datos PS-00520-2021 de 11 de octubre de 2022
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 56 min
Órgano: Agencia Española de Protección de Datos
Fecha: 11/10/2022
Num. Resolución: PS-00520-2021
Cuestión
1 / 23Expediente N.º: EXP202100897
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base a
los siguientes
ANTECEDENTES
PRIMERO : A.A.A. (en adelante, la parte reclamante) con fecha 26/07/2021, interpuso...
Contestacion
1/23
? Expediente N.º: EXP202100897
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base a
los siguientes
ANTECEDENTES
PRIMERO: A.A.A. (en adelante, la parte reclamante) con fecha 26/07/2021, interpuso
reclamación ante la Agencia Española de Protección de Datos. La reclamación se dirige
contra SEAN SERIOS S.L. con NIF B70528989 (en adelante, la parte reclamada). La
reclamante manifiesta que en la URL: https://www.cursoseficientes. (...), aparece
publicado un listado con los resultados de un proceso selectivo de concurso oposición
convocado por el SERGAS, en el que figuran los datos personales de las personas que
accedieron por el turno de (?).
Finaliza pidiendo ?se elimine dicha URL?.
Se accede a la url en el que en parte inferior izquierda figura elaboración ***FECHA.1, en
la derecha ?concurso prov (?).Sergas?.
La información que aparece es, de 95 candidatos, tres folios, con el nombre y apellidos,
el DNI anonimizado conforme a lo dispuesto en la D.A. 7ª de la Ley Orgánica 3/2018, de
5/12, de Protección de Datos Personales y garantía de los derechos digitales (en
adelante LOPDGDD), y las notas desglosadas en oposición, y concurso, aspecto este
último que encuadra y distingue: formación, experiencia, otras actividades. Luego, le
sigue la columna de ?total?, y ?número de orden?. Junto a cada candidato, en la columna
"Acceso" se puede leer (?). La reclamante ocupa el puesto XX, y todos los candidatos
figuran en el acceso DI ordenados por puntuación total. No se contiene referencia a
identificación de convocatoria o proceso especifico alguno.
Se accede a ?política de privacidad? de la reclamada que ofrece cursos de formación, y
se incorpora al procedimiento.
En ?finalidad del tratamiento? de datos, figura el envío de publicidad relacionada con sus
servicios y productos. Los datos se conservarán mientras se mantenga la relación
comercial o durante los años necesarios para cumplir con las obligaciones legales.
En el apartado 7, ?procedencia?, ?¿cómo hemos obtenido sus datos?? Indican: ?los datos
personales que tratamos proceden del propio interesado. Las categorías de datos que se
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/23
tratan son datos de identificación, direcciones postales o electrónicas, datos económicos,
no se tratan datos especialmente protegidos.?
SEGUNDO: De conformidad con el artículo 65.4 de la LOPDGDD, se dio traslado de
dicha reclamación a la parte reclamada, para que procediese a su análisis e informase a
esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a
los requisitos previstos en la normativa de protección de datos. En el traslado se
informaba:
?HECHOS QUE MOTIVAN LA RECLAMACIÓN: La reclamante manifiesta que en el sitio
web cursoseficientes.com aparece publicado un listado con los resultados de un proceso
selectivo de concurso oposición convocado por el SERGAS, en el que aparecen los
datos personales de las personas que accedieron por el turno (?)?
Con fecha 23/08/2021, figura aceptado el envío electrónico, sin que se haya recibido
respuesta.
TERCERO: Con fecha 26/10/2021, de acuerdo con lo establecido en el artículo 65.5 de la
LOPDGDD, prosigue la tramitación de la reclamación.
CUARTO: Con fecha 13/01/2022, se acordó por la Directora de la AEPD:
?INICIAR PROCEDIMIENTO SANCIONADOR a SEAN SERIOS S.L., con NIF
B70528989, por la presunta infracción del artículo 6.1 del RGPD, de conformidad con el
artículo 83.5.a) del RGPD, tipificada como muy grave a efectos de prescripción en el
artículo 72.1.b) del RGPD, con una sanción de multa administrativa de 12.000 euros
(doce mil euros).
a los efectos previstos en el art. 64.2 b) de la ley 39/2015, de 1/10 del Procedimiento
Administrativo Común de las Administraciones Públicas (en lo sucesivo, LPACAP), la
sanción que pudiera corresponder sería de multa administrativa.?
QUINTO: Con fecha 28/01/2022 se reciben alegaciones de la reclamada en las que
manifiesta:
- Aporta copia de la publicación del Diario Oficial de Galicia de ***FECHA.1, sección
oposiciones y concursos, Servicio Gallego de Salud, RESOLUCIÓN de ***FECHA.2, de
la Dirección General de Recursos Humanos, por la que se hacen públicas las
puntuaciones provisionales de la fase de concurso del proceso selectivo para el ingreso
en la categoría de (...), convocado por la Resolución de ***FECHA.3, que señala:
?La base octava de la Resolución de la Dirección General de Recursos Humanos de (?),
por la que se convoca concurso-oposición para el ingreso en la categoría de (...) del
Servicio Gallego de Salud, dispone que, realizada por el tribunal la baremación de los
méritos aportados por los/las aspirantes, la Dirección General de Recursos Humanos
publicará, en el Diario Oficial de Galicia el anuncio de su exposición con indicación de la
puntuación provisional obtenida por cada aspirante en los distintos epígrafes, así como la
valoración total de la fase de concurso.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/23
Resuelve primero: Publicar en la página web del Servicio Gallego de Salud
(www.sergas.es), las puntuaciones provisionales de la fase de concurso obtenidas por las
personas aspirantes que superaron la fase de oposición del proceso selectivo para el
ingreso en la categoría de (...), convocado por Resolución de ***FECHA.3. Cada
aspirante podrá consultar, además, el detalle de la puntuación obtenida en los distintos
apartados del baremo, en su expediente electrónico personal en Fides/expedient-e/
sección de procesos.
Resuelve segundo, se da posibilidad de presentar reclamación contra los resultados de la
baremación provisional
En el anexo, que aporta con el listado publicado, figura el logo del SERGAS, baremación
provisional, fase concurso (desglose en: formación, experiencia y otras actividades) y la
nota de la oposición, ordenado por puntuación total de más a menos, y apellidos, y juntos
todos los sistemas de acceso (DI: discapacidad, LI: libre, Pri: promoción interna),
figurando la reclamada.
-El motivo de la publicación, tratándose de información pública es: ?dar publicidad a los
resultados publicados por el SERGAS, ya que muchos de los participantes en el proceso
de selección eran alumnos de nuestra Academia?, intentando facilitar el acceso a la
información pública?.
-Manifiesta que previamente a realizar la publicación del listado efectuaron un ?análisis
de cumplimiento normativo? con el fin de confirmar si dicha publicación podría suponer o
no una vulneración de la normativa de Protección de Datos, alcanzando las siguientes
conclusiones:
? La información que se pretendía publicar era información publicada en la web de
SERGAS, que forma parte de un proceso selectivo cuya publicidad y difusión está
establecida por una norma con rango de Ley
? Se trata de información previamente anonimizada, al haberse ocultado el número
del DNI de los participantes, y el nombre y apellido solamente de una persona por sí
mismo no debe ser considerados dato de carácter personal pues existen numerosas
personas que coinciden en su nombre y apellidos. ? No resultan ni identificadas ni
identificables de forma fehacient e?
Continuaron con su análisis considerando que ?podría tratarse de un tratamiento
de datos personales públicos?.
? El siguiente planteamiento fue determinar la base jurídica aplicable concluyendo
que sería el interés legítimo consistente en facilitar el acceso a los resultados
provisionales del concurso oposición, tratándose de una información previamente hecha
pública lo que la anterior normativa se denominaba fuentes accesibles al público , que
considera aplicable al caso en una entidad que especialmente enfoca a las profesiones
sanitarias
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/23
?Al tratarse de una información pública al haberse publicado en el Diario Oficial de
Galicia y en la página web del Sergas entendimos que no prevalecían los
derechos y libertades de los interesados?.
-Alude a la sentencia del Tribunal de Justicia de la Unión Europea de 24/11/2011 asunto
acumulado C 468/2010 Asociación Nacional de Establecimientos Financieros de Crédito
(ASNEF), y C 469/2010 Federación de Comercio Electrónico y Marketing Directo
(FECEMD) por la que se resuelven las cuestiones prejudiciales planteadas por el Tribunal
Supremo y en la que se declaraba expresamente el efecto directo del artículo 7 f) de la
Directiva 95/46/CE. En sus considerandos 44 y 45 alude a las fuentes accesibles al
público considerando que se produce un impacto menor en la vida privada del interesado
ya que la información es de público conocimiento. ?El tercero o terceros a quienes se
comuniquen los datos no acceden a datos relativos a la vida privada del interesado, dado
que la información ya es de público conocimiento?. La gravedad de la lesión de los
derechos fundamentales de la persona afectada por dicho tratamiento puede variar en
función de que los datos figuren ya o no en las fuentes accesibles al público.
-Han eliminado la citada publicación
-Consideran relevante poner de manifiesto que la información pública actualmente se
encuentra publicada y disponible en la web del Sergas acompaña la dirección del Sergas
en la que se encuentra disponible el citado listado, ***URL.1 y otra dirección de acceso al
procedimiento ?completo, de contratación.?
***URL.2 No acompaña el acceso efectuado en el momento de presentación de su
escrito, ni se visiona elemento alguno.
-La reclamante en ningún momento se dirigió a la reclamada por ningún medio solicitando
la supresión de la información
-Manifiesta que ha actuado en el convencimiento de que el tratamiento se ajustaba al
RGPD, pues previamente a realizar el tratamiento objeto de la reclamación han realizado
un ?análisis de cumplimiento de la normativa?.
-Solicita que se aplique apercibimiento en vez de sanción económica y en caso de que se
aplique esta, que se reduzca la sanción a 600 euros, considerando la falta de
intencionalidad y que se limitó a publicar información pública, y no existe reincidencia.
SEXTO: Con fecha 24/05/2022, se abre período de pruebas, según lo dispuesto en el
artículo 77 y 78 de la Ley 39/2015, de 1/10, del Procedimiento Administrativo Común de
las Administraciones Públicas (en adelante, LPACAP), acordándose dar por reproducidos
a efectos probatorios la reclamación interpuesta y su documentación, así como los
documentos obtenidos y generados durante la fase de admisión a trámite de la
reclamación.
Asimismo, se da por reproducido a efectos probatorios, las alegaciones al acuerdo de
inicio del procedimiento sancionador referenciado, presentadas por la reclamada, y la
documentación que a ellas acompaña.
Se solicita a la reclamada que informe o aporte lo siguiente:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/23
a) Motivo por el que solo publicaron el listado de opositores del turno (?), y motivo por el
que solo hicieron la ordenación secuencial por orden de puntuación de estos (?) para su
ordenación diferenciada.
Con fecha 15/06/2022 se recibe respuesta en la que indica que su finalidad era facilitar el
acceso a los interesados de forma ordenada, distinta del modo de publicación en
alfabético, con el fin de que las personas, ?muchos de ellos clientes de nuestra
academia? puedan verificar si su puntuación le da acceso al puesto de trabajo o no.
Manifiesta que, en esta ocasión, el SERGAS no publicó al mismo tiempo por orden
alfabético y puntuación, sino que lo hizo primero solo por orden alfabético, retrasándose
la exposición por puntuación.
Aporta copia del ?listado general de la baremación definitiva?, fase concurso del
SERGAS, (...), en el que aparece ordenado en primer lugar por orden alfabético, seguido
de la puntuación total, fecha de elaboración ***FECHA.4, se aprecia el orden decreciente
de las puntuaciones en el lado derecho de los puntos, y ordenados alfabéticamente en el
lado izquierdo , y copia del mismo listado de SERGAS, misma fecha y títulos, pero
ordenado a partir del criterio alfabético, sin prelación por la puntuación.
Añade, que en la publicación del listado provisional los listados solo se publicaron de
modo u orden alfabético, ordenándose siempre por la reclamada por ?puntuación y
acceso? el listado ya publicado previamente por orden alfabético.
a) Número de personas que a través de sus cursos se preparaban para esta
convocatoria, a través de sus servicios, y en que turnos.
Manifiesta que ?no es un centro preparador de oposiciones, por lo que no dispone de
grupos cerrados que preparen una categoría concreta del SERGAS. La formación que
imparte Cursos Eficientes está destinada a la fase de méritos, concretamente facilita la
obtención de los puntos correspondientes al apartado de formación continua en la fase
de concurso.?, referidas a materias transversales, informática, prevención de riesgos
laborales etc., puntuables en cualquiera de las categorías de SERGAS en el apartado de
?formación continua?, siendo difícil discernir para que categoría se ha utilizado ese curso
cada alumno.
b) Motivo por el que sí había personas que se preparaban esta convocatoria, no se
limitaron a poner en su página web solo sus datos o enviarles a ellos exclusivamente sus
resultados.
Se responde con la respuesta del punto anterior.
d) Motivo por el que no indexaron un literal informativo de la recogida de datos y
derechos en su página web que fue publicada. Si actualmente han recogido datos de
páginas web de empleo público de Boletines, indiquen dirección.
Señala que usualmente de lo que informan es a modo de noticias las publicaciones de
convocatorias que realiza el SERGAS con enlaces directos a su web. Aporta ejemplos de
links que desde la web de la reclamada lleva a la sección en la que informa de la
resolución en que se publican los listados. En la página figura la información de que se ha
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/23
publicado en la web, a título de ejemplo, del SERGAS y figuran las categorías y ?clic aquí?
Pulsando lleva a extranet de SERGAS con la información
?Lo que queremos poner de manifiesto es que de forma excepcional y motivado en que el
Sergas no habían publicado todavía el listado por orden de puntuación consideramos que
tratándose de una información ya publicada en una fuente accesible al público como es
el Diario Oficial de Galicia y la web del organismo público del SERGAS, no supondría un
menoscabo en los derechos de los participantes que el listado se ordenase por
puntuación?. Añaden además que no se publicaba el número de DNI completo, pues
estaba anonimizado.
Acompaña la noticia de su web de ?listado ordenado de puntuaciones de la fase de
concurso de la oposición ***CATEGORIA.1 del Sergas?, refiriendo la publicación el
***FECHA.1 en la página web del Sergas de las listas provisionales de la fase de
concurso de las oposiciones de distintas categorías y señala que dado que todavía no ha
publicado las listas ordenadas por puntuaciones de la fase de concurso , refiriendo la
convocatoria de ***FECHA.3, ?aquí las tenéis en formato PDF (?), con links para cada
uno de los turnos (libre, interna, discapacitado).
c) Copia del registro de actividades de tratamiento relacionado con la exposición en su
web de datos de convocatorias públicas.
Manifiesta que su registro de actividades de tratamiento no contempla como tal la
publicación en la web de información relacionada con convocatorias públicas, y que no es
una actividad que van a realizar en el futuro.
En su web se limitan a publicar noticias sobre las publicaciones relacionadas con
convocatorias o información actualizada sobre novedades publicadas por las
administraciones públicas en relación con oposiciones o concursos que estén tramitando.
Su web suele hacer referencia a la noticia haciendo un enlace a la web del organismo
público que realiza la publicación, pero nunca publica listados directamente. La única vez
y evidentemente la última ha sido la publicación que es objeto del presente
procedimiento.
Consideran que ha sido un hecho puntual que han corregido de forma inmediata.
d) En relación con su interés legítimo alegado para el tratamiento, se le solicita que
aporte el documento en el que efectuó la consideración y análisis de dicha base
legitimadora, y específicamente como tuvo en cuenta los derechos y libertades
fundamentales de los afectados y porque no prevalecen sus derechos al interés legítimo
alegado, y el ofrecimiento de la oposición al tratamiento y las causas, considerando,
además que solo aparece publicada la opción discapacitado, y agrupada.
Manifiesta que acompaña informe de ?análisis de cumplimiento normativo?, fechado a
6/12/2019, aludiendo a la información del DOG de ***FECHA.1 y extranet de SERGAS,
para ordenar el listado ya publicado en función de las puntuaciones obtenidas por los
participantes en el concurso del (...). Se alude al análisis del tratamiento y conformidad a
la normativa, que el número NIF esta parcialmente, con nombre y apellidos y puntuación.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/23
No alude a (?). ?Indica que al no disponer el número completo del NIF no se puede
considerar información de carácter personal que identifiquen a una persona en concreto.?
Parece que tampoco resultaría posible que ?sin realizar esfuerzos desproporcionados se
identificara a las personas participantes salvo para aquellas personas que tengan un
conocimiento previo de que una persona determinada se va a presentar al referido
concurso pero no serán identificables para el resto de la población? Luego indica que se
trata de información pública a la que se tiene que dar difusión por normas con rango de
Ley, deben valorar la base legitimadora, y alude al artículo 6.1 f) del RGPD añadiendo
ahora que se trata de información que ?podemos considerar como fuentes accesibles al
público, toda vez que han sido publicadas previamente en un Diario Oficial de Galicia y
en la extranet del SERGAS sin que los interesados puedan oponerse a dichos
tratamientos y siendo incluso su publicación una obligación legal a la que se someten los
interesados por el mero hecho de participar en el proceso selectivo?. Añade que
considera que no está derogado el Real Decreto 1720/2007, y en este extremo destaca
su artículo 7. ?por este motivo parece razonable pensar que los derechos de los
interesados no pueden prevalecer frente al interés legítimo perseguido considerando que
cuando los datos figuran en fuentes accesibles al público el responsable y en su caso el
tercero o terceros a quienes se comunican los datos no acceden a datos relativos a la
vida privada del interesado dado con la información ya es de público conocimiento según
considerandos 44 y 45 de la sentencia del Tribunal de Justicia de la Unión Europea de
24/11/2011, como consecuencia hay un impacto menor en los derechos del interesado, lo
que debe ser apreciado en su justo valor en la ponderación con el interés legítimo
perseguido por el responsable del tratamiento o por el tercero o terceros a los que se
comuniquen los datos.? ?en lo que respecta a la ponderación requerida por el artículo 7
letra F de la directiva 95/46 cabe tomar en consideración el hecho de que la gravedad de
la lesión de los derechos fundamentales de la persona afectada por dicho tratamiento
puede variar en función de que los datos figuren ya o no en fuentes accesibles al público?
?Teniendo en cuenta que la única finalidad perseguida por el tratamiento que se pretende
llevar a cabo es la de facilitar el acceso a los interesados a unos listados ordenados en
función de la puntuación obtenida, que muchos de los participantes en el concurso son
alumnos de nuestro centro, se cumplen los requisitos que legitiman el tratamiento en
base a lo dispuesto en el artículo 6.1 f) del RGPD.?
e) Si dispusiera de algún documento que acredite y verifique la fecha de su retirada
puede aportarlo.
Manifiesta que ?como se ha indicado en nuestro escrito de alegaciones, una vez
notificada la incoación del presente procedimiento sancionador y una vez que nuestros
asesores pudieron revisar la información que ha sido objeto del mismo, con fecha 20 de
enero de 2022, se procedió a remitir un correo electrónico, solicitando a la empresa que
gestiona nuestra página web, para que procediese al borrado inmediato? acompaña en
documento 3 y 4 copias del correo electrónico remitido y de la empresa que gestiona la
página web que verifica la fecha del borrado, comprendiendo tanto el enlace de la noticia
como los de cada uno de los turnos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/23
4). Se verificará por el Instructor si en la URL***URL.2 aparecen los datos de la
reclamante. Si dispusiera de algún documento que acredite y verifique la fecha de su
retirada puede aportarlo.
A tal efecto, en fecha 7/06/2022, se accedió a internet en el buscador GOOGLE, y se
introdujo la dirección URL que indica la reclamante sin encontrar información en la
página. Resulta acreditado por diligencia incorporada al procedimiento.
SÉPTIMO: Con fecha 13/07/2022, se emitió propuesta de resolución, del literal:
?Que por la Directora de la Agencia Española de Protección de Datos se sancione a
SEAN SERIOS S.L., con NIF B70528989, por una infracción del artículo 6.1 del RGPD,
tipificada en el artículo 83.5 a) del RGPD, con una multa de 12.000 euros.?
OCTAVO: La reclamada, con fecha 27/07/2022, manifiesta:
1-No se ha hecho por parte de la reclamada ningún tratamiento ulterior y distinto al
perseguido por la publicación en el Diario Oficial de Galicia, no se ha incorporado ninguna
información adicional, no se han realizado comunicaciones a los interesados.
2-Reitera que por lo dispuesto en la derogatoria única de la LOPDGDD: ?quedan
derogadas cuantas disposiciones de igual o inferior rango contradigan, se opongan, o
resulten incompatibles con lo dispuesto en el Reglamento (UE) 2016/679 y en la presente
ley orgánica?, considera que el Real Decreto 1720 2007 que desarrolla la LOPD resultaría
aplicable y establece como fuentes accesibles al público las publicaciones de los diarios y
boletines oficiales, faltando el componente antijurídico de la infracción.
3-Reitera que el impacto en los derechos del interesado es menor al ser datos que
proceden de fuentes de acceso público, ?lo que debe ser apreciado en su justo valor en
la ponderación con el interés legítimo?. Su interpretación del interés legítimo es plausible
y justificada, lo que evidencia la falta de intencionalidad, culpabilidad o negligencia
legalmente exigible para la imposición de sanciones administrativas.
4-La cuantía es desproporcionada, ?no es una gran empresa, es una micropyme?. La
finalidad era mejorar el acceso a una información pública, accesible a través de fuentes
accesibles al público, de forma ordenada por puntuación, en lugar de estar ordenada por
orden alfabético. ?La magnitud de la cuantía avoca a su disolución y posterior liquidación.?
No se ha de considerar como infracción continuada, ?pues dichos listados con la misma
información continúan publicados en la página web de SERGAS?. Tampoco se acredita
?el supuesto daño que haya podido ocasionar? a la reclamante.
No concurre intencionalidad. No se obtuvo beneficio, ?la única finalidad era que nuestros
alumnos, que formaban parte de ese proceso selectivo, pudiesen verificar de forma más
sencilla la puntuación alcanzada?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/23
5-Solicita el archivo por ser su actuación ajustada a derecho, o exoneración de
responsabilidad por faltar los elementos de culpa o negligencia. Subsidiariamente, se
aprecie una disminución cualificada de la culpabilidad o de la antijuridicidad, resultando
suficiente un apercibimiento o en su defecto, una sanción mínima.
NOVENO: De las actuaciones practicadas en el presente procedimiento y de la
documentación obrante en el expediente, han quedado acreditados los siguientes:
HECHOS PROBADOS
1)La reclamante manifiesta que en la URL ***URL.1 aparecen publicados su datos en un
listado sobre un proceso selectivo de concurso oposición convocado por el SERGAS.
2)El listado que se contiene en la URL, en pdf, es una preparación específica de la
reclamada, que contiene solo de datos del turno de (?), tres páginas, el titulo indica:
?(?) elaboración ***FECHA.1?. El listado aparece ordenado por total de puntos y
consecuente número de orden, hasta 104 candidatos. La reclamante figura en el número
XX con las tres últimas cifras del NIF y apellidos y nombre, con la clave (?),
3)La publicación oficial de esta baremación provisional de los aspirantes se hizo en la
página web del SERGAS, según se habilitaba en la resolución de ***FECHA.2, de la
Dirección General de Recursos Humanos, por la que se hacen públicas las puntuaciones
provisionales de la fase de concurso del proceso selectivo para el ingreso en la categoría
de (...), convocado por la Resolución de ***FECHA.3 (DOG de ***FECHA.1 ) . Como tal
listado, no figura publicado en el citado Diario Oficial. La publicación oficial, se diferencia
de la de la reclamada, en la copia de la oficial que aporta la reclamada en sus
alegaciones, son 80 páginas, figurando mezclados los turnos, y ordenados por la
puntuación total obtenida, la nota de la oposición y la de la fase de concurso (formación,
experiencia, otras actividades), y por orden alfabético, figurando la reclamada en el
listado tal como consta en la lista de la reclamada.
4)La página www.cursoseficientes.com está dedicada a cursos de formación como
Academia, y es titular de la reclamada, figurando así en ?política de privacidad?. Imparte
cursos de distintos tipos y modalidades que cuentan en el apartado de formación
continua de las convocatorias.
5) En política de privacidad de la web de ?cursos eficientes?, se indica:
2.FINALIDAD: ¿Con qué finalidad tratamos sus datos personales? En Sean
Serios S.L. tratamos la información que nos facilitan las personas interesadas para las
siguientes finalidades: Gestionar el alta para permitir el acceso a nuestros sistemas
Prestar el servicio solicitado, realizar la facturación del mismo. Enviar publicidad
relacionada con nuestros productos y servicios
4. LEGITIMACION: ¿Cuál es la legitimación para el tratamiento de sus datos? La
base legal para el tratamiento de los datos es el consentimiento obtenido del interesado,
además de la contratación de los servicios
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/23
7. PROCEDENCIA: ¿Cómo hemos obtenido sus datos? Los datos personales que
tratamos en Sean Serios S.L proceden del propio interesado Las categorías de datos que
se tratan son: Datos de identificación. Direcciones postales o electrónicas. Datos
Económicos. No se tratan datos especialmente protegido
6)Tras recibir el acuerdo de inicio, la reclamada manifestó que retiró la página de su web,
hecho que se verifica en fase de pruebas.
7)La reclamada señala que publicó el listado porque da cursos que cuentan en la
baremación de los concursos, en ?formación?, sin identificar en concreto que la
reclamante hubiese dado alguno para su puntuación, o que cursos puede ser el que en
este caso contaba, y que su base de legitimación es el interés legítimo, tratándose de
información pública o accesible al público a la que los interesados no pueden oponerse
por ser una obligación legal por el hecho de participar en un proceso selectivo
8)La Resolución da Dirección Xeral de Recursos Humanos de ***FECHA.3 (DOG núm.
XX, de XX/YY), por la que se convoca concurso-oposición para el ingreso en categoría
(?) contempla como baremación el apartado de ?formación?, incluyendo la valoración de
cursos como prevención de riesgos laborales, gestión clínica que puede ofertar la
reclamada.
9)La reclamada usualmente informa a través del apartado noticias en su web sobre las
convocatorias, ofreciendo enlaces directos a las entidades para que se vean por ejemplo
los listados. En el caso de la reclamación añade que publicó por puntuación obtenida, por
nombre y apellidos, (?), para que los participantes pudieran ver más fácilmente el orden
obtenido, constando lo mismo ( su publicación) en los otros turnos (así se deduce del
correo interno enviado el 20/01/2022, tras recibir el acuerdo de inicio a una empresa para
que borrara la lista , figurando también un listado de turno libre referenciada) y debido a
que el listado de SERGAS tenía otro orden diferente.
10)La publicación llevada a cabo no se apoya en una actividad de tratamiento que
contemple la reclamada, señalando que es la única vez que se ha expuesto en relación
con oposiciones o concursos que se estén tramitando.
11)En la publicación del listado elaborado por la reclamada, no se indica o informa del
origen de los datos, ni información alguna ni el derecho a oponerse, que en base a un
interés legítimo en el tratamiento, se debería ofrecer.
FUNDAMENTOS DE DERECHO
I
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/23
De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679
(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada
autoridad de control y según lo establecido en los artículos 47 y 48.1 de la Ley Orgánica
3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos
digitales (en adelante, LOPDGDD), es competente para iniciar y resolver este
procedimiento la Directora de la Agencia Española de Protección de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: ?Los procedimientos
tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto
en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones
reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter
subsidiario, por las normas generales sobre los procedimientos administrativos.?
II
El RGPD define
1) «datos personales»: toda información sobre una persona física identificada o
identificable («el interesado»); se considerará persona física identificable toda persona
cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un
identificador, como por ejemplo un nombre, un número de identificación, datos de
localización, un identificador en línea o uno o varios elementos propios de la identidad
física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;
2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos
personales o conjuntos de datos personales, ya sea por procedimientos automatizados o
no, como la recogida, registro, organización, estructuración, conservación, adaptación o
modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o
cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación,
supresión o destrucción;
El dictamen 4/2007, sobre el concepto de datos personales, adoptado el 20/06 por el
Grupo de trabajo 29, de la Directiva 95/46, analiza en profundidad el concepto de datos
personales, indicando la referencia: ?son toda información sobre una persona física
identificada o identificable, considerándose identificable toda persona cuya identidad
pueda determinarse directa o indirectamente, en particular mediante un número de
identificación o uno o varios elementos específicos característicos de su identidad física
fisiológica psíquica económica cultural o social?. Una persona directamente se considera
identificada a través del nombre y apellidos y queda más individualizada, cuando
además, se tiene otro identificador, por ejemplo el NIF, a través del cual se puede obtener
más información de esa persona o cualquier información que pueda especificarlo o
situarlo en un concreto ámbito.
La conducta que consiste en hacer referencia en una página web, a una persona con su
nombre y apellidos, y que en este caso es distintivo porque no es frecuente, constituye
per se un dato de carácter personal que la identifica, y a la que se añadiría en este caso
que cumple los requisitos que señale la convocatoria para poder presentarse por el turno
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/23
(?), con lo que se añaden elementos para poder ser identificada por un sector mayor de
la población.
Sobre la alegación de la reclamada de que los datos publicados son datos ?personales
públicos? por proceder de una web, la del SERGAS, una web no es una fuente de acceso
público atendiendo incluso a lo que de ella definía el RLOPD. Si a lo que se refiere es que
un dato hecho público, este no lo ha sido por su titular, sino por una entidad pública que
al amparo de la normativa vigente le puede legitimar para su publicación, con una finalidad
concreta.
Ello además, queda claro con la definición y detalle del derecho de protección de datos
que se contiene en la STCO 292/2000, de 30/11, recurso 1463/2000, fundamento jurídico
sexto:
?De este modo, el objeto de protección del derecho fundamental a la protección de datos
no se reduce solo a los datos íntimos de la persona, sino a cualquier tipo de dato personal
, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos
, sean o no fundamentales, porque su objeto no es solo la intimidad individual, que
para ello está la protección que el art. 18.1 CE otorga, sino los datos de carácter personal.
Por consiguiente, también alcanza a aquellos datos personales públicos que, por el
hecho de serlo, de ser accesibles al conocimiento de cualquiera, no escapan al poder de
disposición del afectado porque así lo garantiza su derecho a la protección de datos.
También por ello, el que los datos sean de carácter personal no significa que solo tengan
protección los relativos a la vida privada o íntima de la persona, sino que los datos amparados
son todos aquellos que identifiquen o permitan la identificación de la persona, pudiendo
servir para la confección de su perfil ideológico, racial, sexual, económico o de
cualquier otra índole, o que sirvan para cualquier otra utilidad que en determinadas circunstancias
constituya una amenaza para el individuo.?
III
Los datos que se incluyen en la URL de la reclamada corresponden a un proceso
selectivo del Servicio Gallego de Salud, aunque el reclamado lo incluye en una URL
propia, sobre la que efectúa una seleccionada elaboración propia para ordenar por
apellidos y orden de puntuación, dentro del turno (...).
El RGPD mantiene el principio de todo tratamiento de datos necesita apoyarse en una
base jurídica que lo legitime puntos establecen las inversas causas legitimadoras del
tratamiento como el modo el consentimiento no opera como la única posible.
En todo caso, a partir de la entrada en vigor del RGPD, no puede hablarse de un
concepto legal de ?fuentes accesibles al público? como el que existía en la LOPD, ni
tampoco podemos entender que el hecho de que los datos aparezcan en este tipo de
fuentes legitime sin más el tratamiento, precisando en todo caso una base legitimadora
para su tratamiento. El RGPD sólo habla de fuentes de acceso público al regular el
derecho a la información, si los datos no se han recogido del interesado.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/23
La mención a la vigencia del RLOPD carece de efecto, al no ser en todo caso los datos
contenidos en una fuente de acceso público una base legitimadora, necesitando la
cobertura de alguno de las circunstancias como base legitimadora en el artículo 6.1 del
RGPD.
Los hechos expuestos pueden suponer por parte de la reclamada la comisión de una
infracción del artículo 6.1 del RGPD que indica:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para
uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es
parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al
responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra
persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés
público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
a) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por
el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no
prevalezcan los intereses o los derechos y libertades fundamentales del interesado que
requieran la protección de datos personales, en particular cuando el interesado sea un
niño.?
En contra de lo manifestado por la reclamada, los listados, no se publican en el Diario
Oficial, sino que en este se indica que se publique en la web de SERGAS, a la que se ha
de acudir para su visionado y en la forma que se ha indicado.
Sobre la base del interés legítimo alegado, gran parte del mismo, se limita a señalar que
son datos de acceso público por el hecho de que los opositores por norma legal relacionada
con el empleo público y la transparencia, han de someterse a la exposición de sus
datos como garantía de objetividad, reforzando su tesis de que por el hecho de estar sus
datos en una web en abierto, se puede encontrar dentro de dicho esquema de tratamiento.
Sin embargo, los listados no están expuestos en boletín o diario oficial alguno, sino en
la web de SERGAS, no cumpliendo ya uno de los requisitos para que en el pasado pudiera
ser considerada fuente de acceso público.
?Establece el considerando (47):? El interés legítimo de un responsable del tratamiento,
incluso el de un responsable al que se puedan comunicar datos personales, o de un
tercero, puede constituir una base jurídica para el tratamiento, siempre que no
prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta
las expectativas razonables de los interesados basadas en su relación con el
responsable. Tal interés legítimo podría darse, por ejemplo, cuando existe una relación
pertinente y apropiada entre el interesado y el responsable, como en situaciones en las
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
14/23
que el interesado es cliente o está al servicio del responsable. En cualquier caso, la
existencia de un interés legítimo requeriría una evaluación meticulosa, inclusive si un
interesado puede prever de forma razonable, en el momento y en el contexto de la
recogida de datos personales, que pueda producirse el tratamiento con tal fin. En
particular, los intereses y los derechos fundamentales del interesado podrían prevalecer
sobre los intereses del responsable del tratamiento cuando se proceda al tratamiento de
los datos personales en circunstancias en las que el interesado no espere
razonablemente que se realice un tratamiento ulterior. Dado que corresponde al
legislador establecer por ley la base jurídica para el tratamiento de datos personales por
parte de las autoridades públicas, esta base jurídica no debe aplicarse al tratamiento
efectuado por las autoridades públicas en el ejercicio de sus funciones. El tratamiento de
datos de carácter personal estrictamente necesario para la prevención del fraude
constituye también un interés legítimo del responsable del tratamiento de que se trate. El
tratamiento de datos personales con fines de mercadotecnia directa puede considerarse
realizado por interés legítimo.?
En cuanto al contenido del interés legitimo del articulo 6.1.f) del RGPD alegado como
base legitimadora, hay que acudir para su interpretación y contenido al Dictamen 6/2014
del Grupo de trabajo 29 (órgano consultivo creado en virtud del artículo 29 de la Directiva
95/46/CE, que con la entrada en vigor del artículo 94.2 del RGPD que deroga la directiva
95/46 se cambia a Comité Europeo de Protección de Datos (CEPD) de fecha 09/04/2014,
que contempla los diversos factores que pueden ser valorados cuando se efectúa la
preceptiva ponderación de los derechos e intereses en juego.
Aunque el Dictamen 6/2014 se emitió para favorecer una interpretación uniforme de la Directiva
95/46 entonces vigente, derogada por el RGPD, dada la casi total identidad entre
su artículo 7.f) y el artículo 6.1.f) del RGPD
El artículo 7, letra f) de dicha Directiva indicaba:
?Los Estados miembros dispondrán el tratamiento de datos personales solo pueda efectuarse
si: es necesario para la satisfacción del interés legítimo perseguido por el responsable
o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca
el interés por los derechos y libertades fundamentales del interesado que requieran
protección con arreglo al apartado 1 del artículo 1 de la presente Directiva?.
El artículo 6.1.f) del RGPD indica:
?1. El tratamiento solo será lícito si se cumple al menos una de las siguientes
condiciones:
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por
el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no
prevalezcan los intereses o los derechos y libertades fundamentales del interesado que
requieran la protección de datos personales, en particular cuando el interesado sea un
niño.?
El Dictamen subraya, en primer término, que la implicación que el responsable del tratamiento
puede tener en el tratamiento de datos efectuado es la de ?interés?, que es un
concepto más amplio que el de derechos y libertades fundamentales, de ahí que respecto
a los afectados se ponderen no solo sus derechos y libertades fundamentales sino tam-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
15/23
bién sus ?intereses?. El ?interés? del responsable del tratamiento -según establece el artículo
6.1.f) del RGPD y antes el artículo 7.f) de la Directiva- debe ser ?legítimo?, lo que
significa, dice el Dictamen, que ha de ser respetuoso con la legislación nacional y de la
U.E. Además, el tratamiento ha de ser el necesario, de forma que sean preferidos siempre
medios menos invasivos para servir a un mismo fin. Si la reclamada ha tenido alumnos
que han hecho cursos que pueden contar en el apartado de formación, sobre esas
personas podría instaurar un mecanismo informativo de las convocatorias, pero ese no es
el caso, lo que establece es con carácter general, la información para cualquier persona
que acceda a su web.
Sobre el impacto que el tratamiento de datos tiene en los interesados indica el Dictamen
que cuanto más ?negativo? o ?incierto? pueda ser el impacto del tratamiento, es más improbable
que el tratamiento en su conjunto pueda considerarse legítimo. Se encuadra
aquí la valoración de la naturaleza de los datos personales que han sido objeto de tratamiento
, si los datos se han puesto a disposición del público por el interesado o por un tercero
, hecho -dice el Dictamen- que puede ser un factor de evaluación especialmente si la
publicación se llevó a cabo con una expectativa razonable de reutilización de los datos
para determinados fines. Reutilización que, por cierto, tiene sus normas específicas y referencias
a la protección de datos.
La manera en la que el responsable trata los datos; si se han revelado al público o se han
puesto a disposición de un gran número de personas o si grandes cantidades de datos se
tratan o combinan con otros datos elaborando perfiles también se ha de tener en cuenta.
El Dictamen ve también pertinente al evaluar el impacto del tratamiento analizar la posición
del responsable del tratamiento y del interesado; su posición puede ser más o menos
dominante respecto al interesado dependiendo de si el responsable del tratamiento
es una persona, una pequeña organización o una gran empresa, incluso una empresa
multinacional.
Para que el apartado f) del artículo 6.1. RGPD pueda constituir la base legitimadora del
tratamiento de los datos personales que se efectúa, preceptivamente, y con carácter previo
al tratamiento, ha de hacerse una ponderación de los derechos e intereses en juego:
el interés legítimo del responsable del tratamiento, de una parte, y de otra, tanto los intereses
como los derechos y libertades fundamentales de los afectados. Ponderación que
es imprescindible pues sólo cuando como resultado de ella prevalece el interés legítimo
del responsable del tratamiento sobre los derechos o intereses de los titulares de los datos
podrá operar como fundamento jurídico del tratamiento el referido interés.
El Dictamen mencionado hace referencia a los múltiples factores que pueden operar en la
ponderación de los intereses en juego y los agrupa en estas categorías:
(a) La evaluación del interés legítimo del responsable del tratamiento;
(b) el impacto sobre los interesados, subrayando que la pretensión no es que el tratamiento
de datos efectuado por el responsable no tenga ningún impacto negativo sobre los
interesados sino impedir que el impacto sea ?desproporcionado?;
(c) el equilibrio provisional y
(d) las garantías adicionales.
A la luz de los elementos que inciden sobre los intereses y los derechos y libertades en
conflicto, no se aprecia en el tratamiento de datos personales sobre el que versa la reclamación
, tal como está planteado, y con los elementos que lo integran pueda considerarse
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
16/23
como un interés legítimo prevalente del responsable sobre los afectados que pueda operar
como causa legitimadora del tratamiento, por:
-El tratamiento llevado a cabo no es habitual en la reclamada, lo cual hace dudar de que
sea necesario, ya que lo habitual es indicar en el apartado noticias la referencia y un link.
Ella misma declara que no se enmarca en los registros de actividades del tratamiento que
desarrolla, siendo un caso excepcional. No parece muy normal que para el desarrollo
ocasional de un tratamiento que se sale de lo usualmente llevado a cabo, se acuda a una
base en la que se tenga que hacer un balance de derechos y riesgos de los afectados.
-No se informa del origen de los datos, especialmente a los afectados, su origen, su
finalidad, su base legitimadora. Para las personas incluidas en el listado, que dieron sus
datos en base a unas expectativas legales y concretas referidas al proceso selectivo,
puede suponer un tratamiento sorpresivo el hecho de salir en listados a los que no resulta
difícil su acceso en GOOGLE, y que no sepan nada y puede que no se enteren al
respecto.
-El tratamiento llevado a cabo que se ha revelado al menos fue el de un listado exclusivo
de turno (?) y que se publica bajo la fórmula genérica de que algunas personas han
hechos cursos de formación que podrían contar en dicha convocatoria.
-Además, la revelación permaneció durante un tiempo excesivo, que no se justifica dado
que era una puntuación provisional, siendo retirado en enero 2022, habiéndose iniciado a
finales de 2019, deduciendo que el principio de conservación de datos no fue tenido
debidamente analizado.
-Manifiesta la reclamada que el impacto en los derechos del afectado es distinto si sus
datos figuran expuestos en una web, pero ello solo se podría relacionar con un aspecto
del riesgo, sin que por lo demás, señale los diferentes riesgos e impactos a considerar, ni
detalla o describe el impacto derivado de la publicación en su web, sin que se acredite
que la reclamante mantuviera relación alguna con ella, ni lo describe ni lo relaciona con
sus efectos, o detalla la probabilidad de que suceda.
-Finalmente, no se contiene la garantía del derecho de oposición al tratamiento que debe
incluir toda base legitimadora que se base en dicho interés alegado.(21.1. RGPD).
En cuanto a la alegación de que su explicación sobre la concurrencia del interés legítimo
está fundamentado y es plausible, señalar además a todo lo anterior, que el tratamiento
que lleva a cabo la reclamada es distinto del de la entidad convocante de las pruebas
selectivas no solo por la distinta base jurídica para recoger datos de salud como el dato
de discapacitado, y finalidad, sino porque el tratamiento de la reclamada es una
reelaboración de la originaria fuente, presentando la información de un modo distinto que
obedece a fines informativos, y conteniendo igualmente el citado dato de salud.
IV
A esta infracción se refiere el artículo 83.5.a) del RGPD, que indica:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
17/23
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose
de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de
negocio total anual global del ejercicio financiero anterior, optándose por la de mayor
cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento
a tenor de los artículos 5, 6, 7 y 9;?
La LOPDGDD indica en su artículo 72:
?1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se
consideran muy graves y prescribirán a los tres años las infracciones que supongan una
vulneración sustancial de los artículos mencionados en aquel y, en particular, las
siguientes:
b) El tratamiento de datos personales sin que concurra alguna de las condiciones de
licitud del tratamiento establecidas en el artículo 6 del Reglamento (UE) 2016/679.
Además, entre los poderes correctivos que contempla el artículo 58 del RGPD, en su
apartado 2, se determina que ?cada autoridad de control podrá? :
?d) ordenar al responsable o encargado del tratamiento que las operaciones de
tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de
una determinada manera y dentro de un plazo especificado??.
i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las
medidas mencionadas en el presente apartado, según las circunstancias de cada caso
particular;?
La reclamante solicitó la eliminación de la URL en la que figuran sus datos, que aparecen
junto a los de otros candidatos en sus mismas circunstancias. El artículo 17 del RGPD
indica:
?El interesado tendrá derecho a obtener sin dilación indebida del responsable de
tratamiento la supresión de los datos personales que le conciernan, el cual estará
obligada a suprimir sin dilación indebida los datos personales cuando concurra alguna de
las siguientes circunstancias:
a) los datos personales ya no sean necesarios en relación con los fines para los que
fueron recogidos o tratados de otro modo;
[?]?
d) los datos personales hayan sido tratados ilícitamente;?
En este caso, el reclamado no ha dado explicación alguna sobre la reclamación y los
datos se tratan fuera de las expectativas que se tiene por los candidatos al participar en
un proceso de selección, siendo unos datos relacionados con la salud, de carácter
especial, por lo que se considera adecuada la imposición de multa administrativa.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
18/23
V
La determinación de las sanciones que procede imponer en el presente caso exige observar
las previsiones de los artículos 83.1 y.2 del RGPD, preceptos que, respectivamente,
disponen lo siguiente:
?1. Cada autoridad de control garantizará que la imposición de las multas administrativas
con arreglo al presente artículo por las infracciones del presente Reglamento indicadas
en los apartados 4, 9 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias.?
?2. Las multas administrativas se impondrán, en función de las circunstancias de cada
caso individual, a título adicional o sustitutivo de las medidas contempladas en el artículo
58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa administrativa y su
cuantía en cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza,
alcance o propósito de la operación de tratamiento de que se trate, así como el número
de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento para paliar
los daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del tratamiento, habida
cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos
25 y 32;
e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;
f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la
infracción y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular
si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas previamente
contra el responsable o el encargado de que se trate en relación con el mismo
asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación
aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso,
como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente
, a través de la infracción.? Dentro de este apartado, la LOPDGDD contempla en su artículo
76, titulado ?Sanciones y medidas correctivas?:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
19/23
?1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento
(UE) 2016/679 se aplicarán teniendo en cuenta los criterios de graduación establecidos
en el apartado 2 del citado artículo.
2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679
también podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos de datos
personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión
de la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión de la
infracción, que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a
mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que
existan controversias entre aquellos y cualquier interesado.
La reclamada en sus alegaciones considera el importe desproporcionado, considerando:
-es una microempresa,
-la finalidad del tratamiento era mejorar el acceso a la información, disponiendo de un
orden no alfabético de los interesados, sino por puntuación.
-Avocaría a la disolución de la entidad, para lo cual no aporta cifras.
-Considera que la infracción no puede describirse como ?continuada?, al aparecer todavía
la ?misma información? en la web de SERGAS.
-No se acredita el daño a la reclamante.
-No concurre intencionalidad.
-No existen beneficios.
De acuerdo con los preceptos transcritos, a efectos de fijar el importe de la sanción de
multa a imponer en el presente caso por la infracción en el artículo 83.5.a) del RGPD, de
la que se responsabiliza al reclamado, se estiman concurrentes en calidad de agravantes
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
20/23
los siguientes factores que revelan una mayor antijuridicidad y/o culpabilidad en la
conducta del reclamado:
-Artículo 83.2.a) RGPD: ?Naturaleza, gravedad y duración de la infracción teniendo en
cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate
así como el número de interesados afectados y el nivel de los daños y perjuicios que
hayan sufrido?. Se trata de tratamientos relacionados con procesos selectivos, y datos
que se proporcionaron en su día para una finalidad especifica en un proceso
determinado, no recogiendo directamente del reclamado los datos, tratados en una web,
la propia, de modo que es difícil de que se enteren los afectados, ascendiendo a datos de
95 personas, identificándolas con nombre y apellidos.
-Artículo 83.2.b) RGPD. ?Intencionalidad o negligencia en la infracción?: Aspecto que
relaciona la ejecución de la acción con el sujeto, en el sentido de, no solo imputabilidad
de la infracción a su responsable, sino el hecho de poder agravar o reducir la sanción
según el grado de culpabilidad. En cuanto a la imputabilidad al sujeto responsable, el
principio de culpabilidad, impide la admisión en el derecho administrativo sancionador de
la responsabilidad objetiva, si bien también es cierto, que la ausencia de intencionalidad
resulta secundaria ya que este tipo de infracciones normalmente se cometen por una
actuación culposa o negligente lo que es suficiente para integrar el elemento subjetivo de
la culpa. Lo que en este apartado se valora, es su análisis para la graduación de la
sanción (art 40 LRJPAC), observando la especifica diligencia desplegada en la acción por
el responsable, lo que excluye la imposición de una sanción, únicamente en base al mero
resultado, es decir al principio de responsabilidad objetiva. En este caso concreto, se
produce una falta de diligencia que conlleva que al manejar datos se han de extremar las
cautelas, y aquí no parece que se haya tenido en cuenta, por tanto no se considera que
interviniera el elemento intencional.
-Artículo 83.2.d) RGPD. ?Grado de responsabilidad del responsable?: El grado de
responsabilidad del responsable es relevante, al ser titular de una página web en la que
ofrece servicios, ha creado un listado incorporando datos de la sede oficial que los trata,
con una finalidad propia para sus servicios, siendo plena su responsabilidad.
-Artículo 83.2.g) RGPD. ?Categorías de datos personales afectados por la infracción?: Los
datos son datos de salud, ?especiales?, por la referencia a la clave, que no es difícil de
interpretar ya que el link lleva también la descripción.
-artículo 76.2.a) LOPDGDD: ? El carácter continuado de la infracción?, estimativo de más
de un año y medio, el tratamiento se inicia el 2/12/2019, la denuncia es de julio 21,
previsiblemente, puede continuar la lesión del bien jurídico, en este caso lo hace hasta
recibirse el acuerdo de inicio, constituyendo lo que diversas y reiteradas sentencias
identifica como ?infracción permanente?. (- las cuales se caracterizan porque la conducta
constitutiva de un único ilícito se mantiene durante un espacio prolongado de tiempo
(SAN, 21 de septiembre de 2001 (Rec 95/2000), Tribunal Supremo, Sala Tercera, de lo
Contencioso-administrativo, Sección 3ª, Sentencia 978/2020 de 9 Jul. 2020, Rec.
4700/2019). Además, hay que añadir que la reclamada recibe en el traslado de la
reclamación los hechos y conocedora de ellos, pudo entonces actuar, no procediendo a
ello sino tras recibir el acuerdo de inicio, enero 2022, dilatando el período el tratamiento
de datos. Por otro lado, el hecho de que en la web de SERGAS continue o no expuesto,
no sirve como atenuante de la reclamada.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
21/23
No resultaría aplicable como atenuante el hecho de que la reclamada no haya sido
sancionada anteriormente, es decir no ser reincidente. La Sentencia de la AN, de
05/05/2021, rec. 1437/2020, indica: ?Considera, por otro lado, que debe apreciarse como
atenuante la no comisión de una infracción anterior. Pues bien, el artículo 83.2 del RGPD
establece que debe tenerse en cuenta para la imposición de la multa administrativa, entre
otras, la circunstancia "e) toda infracción anterior cometida por el responsable o el
encargado del tratamiento". Se trata de una circunstancia agravante, el hecho de que no
concurra el presupuesto para su aplicación conlleva que no pueda ser tomada en
consideración, pero no implica ni permite, como pretende la actora, su aplicación como
atenuante.?
Tampoco se considera atenuante la falta de beneficios obtenidos que se deduce de una
interpretación incorrecta del artículo 76.2.c) de la LOPDGDD, incardinado como referente
del 83.2.k) del RGPD: ?cualquier otro factor agravante o atenuante aplicable a las
circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas
evitadas, directa o indirectamente, a través de la infracción?, al indicar como tal: ?Los
beneficios obtenidos como consecuencia de la comisión de la infracción?. Ello, por varios
motivos.
-El literal del artículo se refiere no a los beneficios no obtenidos, sino a ?Los beneficios
obtenidos como consecuencia de la comisión de la infracción? (76.2.c LOPDGDD).
-En todo caso, las multas administrativas establecidas en el RGPD, conforme a lo
establecido en su artículo 83.2, se imponen en función de las circunstancias de cada
caso individual y, en el presente, no se estima que la ausencia de beneficios sea un
factor de graduación adecuado y determinante para valorar la gravedad de la conducta
infractora. Solo en el caso de que esta ausencia de beneficios sea relevante para
determinar el grado de antijuricidad y de culpabilidad presentes en la concreta actuación
infractora podrá considerarse como una atenuante.
-Si a esto añadimos que las sanciones deberán ser ?en cada caso individual? efectivas,
proporcionadas y disuasorias, conforme a lo previsto en el artículo 83.1 del RGPD,
admitir la ausencia de beneficios como una atenuante, no solo es contrario a los
presupuestos de hechos contemplados en el artículo 76.2.c), sino también contrario a lo
establecido en el artículo 83.2.k) del RGPD y a los principios señalados.
Así, valorar la ausencia de beneficios como una atenuante anularía el efecto disuasorio
de la multa, en la medida en que minora el efecto de las circunstancias que inciden
efectivamente en su cuantificación, reportando al responsable un beneficio al que no se
ha hecho merecedor. Sería una rebaja artificial de la sanción que puede llevar a entender
que infringir la norma sin obtener beneficios, financieros o del tipo que fuere, no le
producirá un efecto negativo proporcional a la gravedad del hecho infractor ni resulta una
conducta reprochable.
Considerando los factores expuestos, la valoración que alcanza la multa por la infracción
imputada es de 12.000 euros.
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de
graduación de las sanciones cuya existencia ha quedado acreditada,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
22/23
la Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a SEAN SERIOS S.L., con NIF B70528989, por una infracción del
artículo 6.1 del RGPD, tipificada en el artículo 83.5 a) del RGPD, y a efectos de
prescripción en el artículo 72.1.b) de la LOPDGDD, una multa de 12.000 euros, de
acuerdo con los artículos 83.2 a), b) d) del RGPD y 76.2.a) de la LOPDGDD.
SEGUNDO: NOTIFICAR la presente resolución a SEAN SERIOS S.L.
TERCERO: Advertir al sancionado que deberá hacer efectiva la sanción impuesta una
vez que la presente resolución sea ejecutiva, de conformidad con lo dispuesto en el art.
98.1.b) de la ley 39/2015, de 1/10, del Procedimiento Administrativo Común de las
Administraciones Públicas (en adelante LPACAP), en el plazo de pago voluntario
establecido en el art. 68 del Reglamento General de Recaudación, aprobado por Real
Decreto 939/2005, de 29/07, en relación con el art. 62 de la Ley 58/2003, de 17/12,
mediante su ingreso, indicando el NIF del sancionado y el número de procedimiento que
figura en el encabezamiento de este documento, en la cuenta restringida nº ES00 0000
0000 0000 0000 0000, abierta a nombre de la Agencia Española de Protección de Datos
en la entidad bancaria CAIXABANK, S.A.. En caso contrario, se procederá a su
recaudación en período ejecutivo.
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra entre
los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario
será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se encuentra entre
los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del
segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la
LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los
interesados podrán interponer, potestativamente, recurso de reposición ante la Directora
de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el
día siguiente a la notificación de esta resolución o directamente recurso contencioso
administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional,
con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional
cuarta de la Ley 29/1998, de 13/07, reguladora de la Jurisdicción Contenciosoadministrativa
, en el plazo de dos meses a contar desde el día siguiente a la notificación
de este acto, según lo previsto en el artículo 46.1 de la referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se
podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado
manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el
caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a
la Agencia Española de Protección de Datos, presentándolo a través del Registro
Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronica-web/], o a través de
alguno de los restantes registros previstos en el art. 16.4 de la citada LPCAP. También
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
23/23
deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del
recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la
interposición del recurso contencioso-administrativo en el plazo de dos meses desde el
día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión
cautelar.
938-120722
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es