La Agencia Española de Protección de Datos (AEPD) apercibe al Consejo General del Poder Judicial (CGPJ) por la publicación de una resolución en su página web, en Google y en DocPlayer en la que aparecían los datos identificativos de una de las partes sin anonimizar, esto es, del reclamante.
En este caso, la AEPD se dirigió al CGPJ, solicitando al reclamado la eliminación y anonimización, en cuanto corresponda, de los datos. Pese a la respuesta afirmativa del CGPJ, el reclamante acude a la AEPD aportando pruebas del incumplimiento por parte del reclamado, no habiendo éste suprimido los datos.
El CGPJ alega que la falta de cumplimiento se debe a un “error material”, ante lo que la autoridad de control considera que la falta de verificación de la ejecución correcta de dichas medidas de seguridad adecuadas forma parte de la obligación de implantarlas.
Ante estos hechos, la AEPD percibe las siguientes infracciones:
- Artículo 5.1.f), del principio de integridad y confidencialidad, por el que la información personal ha de ser tratada garantizando su seguridad, evitando el tratamiento no autorizado o ilícito, su pérdida, destrucción o daño accidental.
- Artículo 32 del RGPD, que impone a los responsables del tratamiento de datos personales la obligación de implantar las “medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”.
Es de interés la Ley de Transparencia, que regula las obligaciones de transparencia y acceso a la información pública que, como resalta la AEPD, no justifica la publicación de los datos identificativos del reclamante. En este sentido, las resoluciones del CGPJ han de ser públicas, limitándose a la “información cuyo conocimiento sea relevante para garantizar la transparencia de su actividad relacionada con el funcionamiento y control de la actuación pública”, y con observancia de los límites derivados “de la protección de datos de carácter personal” (artículo 5 Ley de Transparencia).