feb
2021

Comunicación por el ayuntamiento de datos personales del recurrente de un proceso selectivo a todos los candidatos: consecuencias


Planteamiento

Se ha realizado un proceso selectivo para cubrir dos plazas de administrativo en el ayuntamiento. Un aspirante ha interpuesto recurso de alzada contra el contenido del examen tipo test porque considera que algunas preguntas no se ajustaban al temario.

El ayuntamiento ha notificado por la sede a todos los demás aspirantes la interposición del recurso, por ser interesados, y han adjuntado el CSV del recurso donde están todos los datos personales del aspirante que lo ha presentado: DNI, nombre y apellidos, domicilio, teléfono, sin disociar ningún dato. Entendemos que, aunque sean interesados, deberían haberse disociado los datos de este aspirante, ya que su dirección y teléfono no son datos que el resto de interesados (más de 100) deban de conocer.

Nos preguntamos si cabe que este aspirante interponga algún recurso por vulneración de la protección de sus datos personales, por mandar todos sus datos a todos los aspirantes sin que lo hubieran solicitado, y las consecuencias que esto puede tener para el ayuntamiento.

Respuesta

La comunicación de los datos personales de la persona que ha recurrido el contenido del examen tipo test al resto de candidatos participantes en el proceso selectivo del ayuntamiento se considera una cesión de datos personales.

Para que dicha cesión sea conforme con la normativa de protección de datos debe poder fundamentarse en una de las bases legitimadoras recogidas en el art. 6.1 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE -RGPD-. Dichas bases legitimadoras son las siguientes:

  • a) Consentimiento.
  • b) Ejecución de un contrato en el que el interesado es parte o aplicación a petición de este de medidas precontractuales.
  • c) Cumplimiento de una obligación legal aplicable al responsable del tratamiento.
  • d) Protección de intereses vitales del interesado o de otra persona física.
  • e) Cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
  • f) Satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero.

En el ámbito de la Administración local, la base jurídica que legitima los tratamientos suele ser, con carácter general, el cumplimiento de una tarea en interés público o el ejercicio de poderes públicos, así como el cumplimiento de una obligación legal. En ambos casos, debe existir una previsión normativa con rango de ley que justifique el tratamiento de los datos.

Dicho lo anterior, debe tenerse en cuenta que el art. 55.2 del RDLeg 5/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto Básico del Empleado Público -TREBEP-, determina que las Administraciones Públicas, entidades y organismos seleccionarán a su personal funcionario y laboral mediante procedimientos en los que se garantice, entre otros, el principio de publicidad. Por lo tanto, las normas reguladoras del ingreso y promoción en la función pública vienen a establecer, como criterio esencial que funda su régimen, el principio de publicidad.

Adicionalmente, consideramos importante hacer referencia al Informe jurídico 178/2014 de la AEPD, el cual hace mención a la doctrina de la AN en relación con las cesiones de datos de las calificaciones otorgadas en el marco de procesos selectivos, en que el tribunal ha considerado que el principio de publicidad y transparencia se torna en esencial, como garantizador del principio de igualdad. Así, la AN ha ponderado el principio de publicidad con la protección de datos de carácter personal, llegando a la conclusión de que durante la tramitación del proceso selectivo ha de prevalecer el primero en la Sentencia de 26 de abril de 2012.En todo caso, el acceso debería realizarse a los datos respecto de los que pueda predicarse la citada condición de interesado; es decir, respecto de los que el solicitante se encontrase en una situación de concurrencia competitiva respecto del afectado al que se refirieran los datos.

Visto lo anterior, es importante analizar los siguientes principios recogidos en el art. 5 RGPD:

  • - Principio de minimización de los datos: determina que los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
  • - Principio de integridad y confidencialidad: los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.

Sobre este último principio también se pronuncia la LO 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales -LOPD/18-, en su art. 5, al establecer que los responsables y encargados del tratamiento de datos así como todas las personas que intervengan en cualquier fase de éste estarán sujetas al deber de confidencialidad al que se refiere el art. 5.1.f) RGPD.

Por todo ello, si bien el principio de publicidad rige en el desarrollo de los procesos selectivos, éste debe limitarse a aquellas personas que ostenten la condición de interesados, como ocurre con el resto de candidatos, y, en cualquier caso, se deberá respetar el principio de minimización de datos y confidencialidad referenciado, que impide facilitar más datos de los que sean estrictamente necesarios para la finalidad pretendida que, en este supuesto, no es otra que informar al resto de candidatos del recurso presentado, guardando confidencialidad sobre aquellos datos que no necesitan conocer. 

Por lo tanto, el acceso de cualquier candidato a los datos del DNI, nombre y apellidos, domicilio y teléfono del recurrente, sin disociar ningún dato, resulta invasivo y es contrario al principio de minimización y confidencialidad vistos.

Una vez analizado que la cesión de dichos datos es contraria a la normativa de protección de datos, se procede a analizar ahora las posibles consecuencias para el ayuntamiento.

El art. 72 LOPD/18 establece como infracciones muy graves las siguientes:

  • - El tratamiento de datos personales vulnerando los principios y garantías establecidos en el art. 5 RGPD.
  • - La vulneración del deber de confidencialidad establecido en el art. 5 LOPD/18.

Por su parte, el art. 77 LOPD/18 regula el régimen aplicable a determinadas categorías de responsables o encargados del tratamiento, estableciendo un régimen específico para, entre otros sujetos, “La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local”.

En concreto, cuando estas entidades, entre las que se engloban los ayuntamientos, cometiesen alguna de las infracciones recogidas en la LOPD/18,la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido. La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.

Adicionalmente, este art. 77 determina que se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo.

Cuando la autoridad competente sea la Agencia Española de Protección de Datos -AEPD-, ésta publicará en su página web con la debida separación las resoluciones correspondientes, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción. Cuando la competencia corresponda a una autoridad autonómica de protección de datos se estará, en cuanto a la publicidad de estas resoluciones, a lo que disponga su normativa específica.

Conclusiones

1ª. La comunicación de todos los datos personales del recurrente de un proceso selectivo al resto de candidatos se considera una infracción de la normativa de protección de datos, por incumplimiento del principio de minimización de datos y el deber de confidencialidad.

2ª. El tratamiento de los datos personales vulnerando los principios recogidos en el RGPD y el deber de confidencialidad establecido en el art. 5 LOPD/18 se considera una infracción grave.

3ª. En cualquier caso, los ayuntamientos no serán sancionados con una multa por posibles vulneraciones de la normativa de protección de datos, sino que serán sancionados con apercibimiento.