| Informe | 2024-0037 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD (Informe 0037/2024)
El informe 0037/2024 de la Agencia Española de Protección de Datos (AEPD) aborda la adecuación de los procesos selectivos en la administración pública al Reglamento General de Protección de Datos (RGPD) y a la Ley Orgánica 3/2018 (LOPDGDD). El debate central se centra en el equilibrio entre los principios de publicidad y transparencia (esenciales para la igualdad y mérito en el acceso a la función pública) y el derecho fundamental a la protección de datos personales.
Conclusiones clave del informe:
Base jurídica del tratamiento de datos:
No se exige el consentimiento de los participantes en los procesos selectivos para el tratamiento de sus datos, ya que estos están legitimados por el RGPD (art. 6.1.b, c y e) y la LOPDGDD (disposición adicional décima).
La participación en un proceso selectivo implica la aceptación implícita de las bases de la convocatoria, que deben incluir la previsión de publicación de datos.
Publicación de datos personales:
La AEPD reitera su criterio consolidado: la publicación de información que contenga datos personales debe restringirse a los participantes en el proceso selectivo (interesados), ya que terceros ajenos no tienen legitimidad para acceder a estos datos.
Terceros solo podrían acceder a información no personalizada (ej. convocatorias, resoluciones definitivas de nombramiento), pero nunca a datos como nombres, apellidos, DNI, calificaciones o baremaciones específicas de otros aspirantes.
Principios de protección de datos aplicables:
Minimización (art. 5.1.c RGPD): Solo deben publicarse datos necesarios para el proceso.
Limitación de finalidad (art. 5.1.b RGPD): La información publicada debe destinarse exclusivamente a los participantes para impugnar actos o reclamar.
Protección desde el diseño y por defecto (art. 25 RGPD): Se recomienda usar seudonimización (códigos alfanuméricos en lugar de datos identificativos) para reducir riesgos.
Excepciones y ponderación:
En casos concretos, como la publicación de convocatorias o anunció](s en boletines oficiales, se permite acceso general, ya que no contiene datos personales.
Para otros trámites internos (listados de admitidos/excluidos, calificaciones), se insiste en que solo los participantes deben acceder a la información completa.
Casos problemáticos:
La publicación en abierto de datos como baremaciones por antigüedad, titulaciones o discapacidad se considera desproporcionada, ya que puede revelar información sensible y generar riesgos de discriminación o exclusión social.
La AEPD cita ejemplos donde se publicaban datos excesivos (ej. resultados por méritos con detalles identificativos), incumpliendo el principio de proporcionalidad.
Medidas recomendadas:
Restringir el acceso a información personalizada mediante sistemas de autenticación (claves, contraseñas o seudónimos).
Limitar la publicación de datos sensibles (ej. discapacidad) a lo estrictamente necesario.
Evaluar riesgos para cada proceso selectivo, especialmente cuando involucre a grupos vulnerables (menores, personas con discapacidad).
Publicar solo lo indispensable y garantizar que terceros no puedan acceder a datos personales de aspirantes.
Fundamento legal:
RGPD (UE 2016/679): Art. 5 (principios), 6 (base jurídica), 25 (protección por diseño).
LOPDGDD: Disposición adicional séptima (publicación en procesos selectivos) y Art. 28 (responsabilidad proactiva).
Sentencias de referencia: Audiencia Nacional (2012), TJUE (asunto C-434/16 Peter Nowak), y jurisprudencia constitucional sobre proporcionalidad.
Conclusión final:
La AEPD considera que la protección de datos no debe ceder ante la transparencia cuando esta implique un uso desproporcionado de información personal. La Administración debe aplicar medidas de minimización y seudonimización, asegurando que solo los participantes en los procesos selectivos accedan a datos sensibles. La transparencia debe ser compatible con el respeto al derecho a la protección de datos, mediante un juicio de ponderación caso por caso.
El informe subraya que la responsabilidad proactiva del responsable del tratamiento exige evaluar riesgos y adoptar medidas técnicas (ej. plataformas seguras) para garantizar el equilibrio entre ambos derechos fundamentales.