MALDITA.ES

Periodismo para que no te la cuelen

Maldita te explica
03/09/2020

La difusión por error del listado de las pruebas de coronavirus de centros educativos de la Comunidad de Madrid: tratamiento ilícito de datos personales aunque no sean calificados como sensibles

La Consejería de Educación madrileña ha citado al personal de los centros educativos para hacerles una prueba serológica (también llamada de anticuerpos) y saber si han pasado la COVID-19 antes de la vuelta al cole. Para ello, la Consejería ha enviado este martes 1 de septiembre un correo electrónico a los centros educativos con la información de dónde deben acudir para llevar a cabo estas pruebas entre el miércoles 3 y el próximo lunes 7 de septiembre.

Sin embargo, en el correo también se ha incluido aparentemente por error un listado, al que hemos tenido acceso en Maldita.es, que contenía el nombre y los apellidos de cada uno de estos trabajadores junto a la fecha y hora de la cita para hacerse la prueba, así como el centro educativo al que pertenecen. Una información que no debía haber sido publicada por la Comunidad de Madrid al vulnerar el deber de secreto, según la opinión de varios expertos en protección de datos y privacidad. 

Fuente: Una de las páginas del listado adjuntado en el correo electrónico de la Consejería de Educación

El fichero al que hemos tenido acceso tan solo comprende los centros educativos del Área Territorial Madrid-Sur, una de las cinco que hay en toda la Comunidad de Madrid y que aglutina a 39 municipios de la región. Concretamente, sólo del Área Territorial Madrid-Sur, un total de 4.140 trabajadores estaban citados para realizarse la prueba serológica entre las 10 y las 14 horas de este miércoles 2 de septiembre.

La Comunidad de Madrid ha hecho un tratamiento ilícito de los datos personales aunque no están calificados como sensibles, según expertos en protección de datos

La información que se puede ver en el listado enviado por la Consejería de Educación no está calificada como “sensible o de categoría especial” porque no incluye ningún dato personal de carácter sanitario. Como “no es sensible, no goza de especial protección”, según ha señalado a este medio el experto en protección de datos Samuel Parra. 

Aunque desde la Comunidad de Madrid “se ha hecho un tratamiento ilícito o indebido” de estos datos porque “le competía haber guardado el secreto de ese fichero”, añade. 

Aun así, Jorge García Herrero, abogado especializado en protección de datos y privacidad, explica a Maldita.es que el envío de este listado es “una brecha de seguridad de manual” porque “personas que no tenían que tener acceso a determinados datos personales de personas físicas lo han hecho”. 

Aunque los datos no están calificados como sensibles, su publicación sí que puede ser sancionable, según los expertos 

El Reglamento General de Protección de Datos (RGPD) en su artículo 9 hace un listado de los datos que sí que requieren atención especial. Este tipo de información tiene que ver con la salud, las creencias religiosas o las opiniones políticas, entre otras. Por ello, como el fichero que se ha difundido no incluye ninguna de estas excepciones, “la información vulnerada no tiene especial importancia”, comenta Parra.

La Consejería de Educación madrileña ha afirmado a Maldita.es que “no se ha vulnerado la Ley de Protección de Datos con este envío porque toda la información que aparece en ellos es pública”. Sin embargo, al resto de preguntas enviadas desde este medio, para saber por ejemplo cuánta gente ha recibido este correo electrónico, la Consejería no ha respondido.  

Fuente: Respuesta de la Consejería de Educación de la Comunidad de Madrid a un correo electrónico de Maldita.es

Ahora bien, que los datos no sean sensibles no significa que la Comunidad de Madrid no pueda ser sancionada. Diferentes organizaciones, como Comisiones Obreras y FACUA, ya han denunciado a la AEPD que, en declaraciones a Maldita.es, ha confirmado que han iniciado las actuaciones de investigación de oficio a la Comunidad de Madrid para obtener información en relación con la posible difusión de datos personales de trabajadores de centros docentes.

La AEPD no prevé sanciones económicas para la Administración pública aunque sí podría ser sancionada con un apercibimiento

Como quien ha vulnerado el deber secreto es la Comunidad de Madrid, la Agencia Española de Protección de Datos (AEPD) no prevé sanciones económicas para la administración pública, aunque sí podría interponer una sanción administrativa (punto 9 de circular de la AEPD para organismos del sector público). “Lo máximo a lo que se puede aspirar es una declaración de apercibimiento, de que se ha infringido la ley pero no lleva aparejada ninguna sanción económica”, explica el experto en protección de datos Samuel Parra. 

De hecho, como continúa explicando el experto, “la AEPD ya ha sancionado a la Administración en otras ocasiones cuando han enviado un correo en copia normal, y no en copia oculta, y ha llegado a más personas de las necesarias”. Pero esta infracción “no tiene ninguna consecuencia más allá del apercibimiento”. 

Por otro lado, también existe la posibilidad de que la Comunidad de Madrid ponga una sanción disciplinaria a la persona que mandó el fichero en el correo electrónico sin las debidas precauciones. Según la Ley de Protección de Datos (artículo 77.3), y tal y como explica a Maldita.es Jorge Garcia, “se puede llegar a instar expedientes disciplinarios internos y publicar en boletines oficiales el nombre del funcionario responsable que no hubiera hecho caso del asesoramiento en la materia”. 

Aunque como señala Samuel Parra, en España, “es muy raro que se emprendan este tipo de acciones contra el funcionario porque tampoco se le va a exigir que conozca al 100% toda la normativa que le compete”.

La sanción sería diferente si quien hubiera infringido la ley hubiera sido una empresa privada. O sea, si quien hubiese enviado ese correo electrónico fuera la empresa encargada de realizar las pruebas serológicas, Ribera Salud, entonces como cuenta Parra, “sí se podría enfrentar a una multa de hasta 20 millones de euros”.

Sobre la responsabilidad de adjuntar en un correo electrónico este tipo de información, aunque no fuera sensible, García Herrero señala que “habría que saber quién ha metido la pata al enviar el archivo” porque “hay al menos tres corresponsables: la Comunidad de Madrid, Ribera Salud prestando sus servicios, y la empresa que se encargue de la prevención de riesgos laborales”. 

Los 16.720 trabajadores que han visto publicados sus datos personales podrían reclamar a la Comunidad de Madrid pero esta denuncia no prosperaría, según los expertos

A los 16.720 afectados por la publicación de esta información se les abre la posibilidad de reclamar a la Comunidad de Madrid “por daños y prejuicios para recibir una compensación económica”, argumenta Parra. Aunque “con toda probabilidad” su denuncia “no prosperaría porque la información que ha sido vulnerada no tiene especial importancia”. 

Parra señala que sería “muy complicado” que un juez condenase a la Administración por ese motivo. Además, “es posible” que esos datos “ya sean públicos en algún Boletín Oficial del Estado (BOE)”. 

Primera fecha de publicación de este artículo: 03/09/2020

Otros artículos de Maldita.es