| Resolución | PS-00017-2025 |
| Firmado | 2026-03-02T00:00:00Z |
| Enlace | 📋 |
Resumen de la decisión:
Se ha declarado que el Instituto Nacional de la Seguridad Social (INSS) infringió tres artículos clave del Reglamento General de Protección de Datos (RGPD) durante la gestión del Ingreso Mínimo Vital (IMV) en sus servicios en la nube:
Artículo 28.3 del RGPD (Encargado del tratamiento):
El INSS no formalizó un contrato u acto jurídico escrito con la Gerencia de Informática de la Seguridad Social (GISS) —su encargada de tratamiento— que cumpliera con los requisitos mínimos exigidos (objeto, duración, naturaleza y finalidad del tratamiento, categorías de datos, etc.).
Aunque el INSS alegó que la GISS actuaba como encargada por su estructura orgánica, la normativa del RGPD exige un acuerdo formal para garantizar la protección de los datos personales.
Artículo 13 del RGPD (Información al interesado):
El INSS no facilitaba la información obligatoria sobre el tratamiento de datos al usar el Simulador del IMV en el canal sin identificación, donde los usuarios solo eran redirigidos a la página web sin recibir detalles sobre cómo se gestionaban sus datos.
Artículo 32 del RGPD (Seguridad del tratamiento):
El INSS no adoptó medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos, como verificaciones previas de los proveedores en la nube o revisiones de las medidas de seguridad aplicadas.
Sanción y medidas correctivas:
No se impone multa al INSS al tratarse de un organismo público, pero se le exige que en un mes cumpla con:
Firmar un contrato escrito con la GISS que regule el encargo de tratamiento según el RGPD.
Implementar y acreditar las medidas de seguridad necesarias, especialmente la revisión del clausulado contractual para el uso de servicios en la nube.
La decisión subraya la importancia de que los organismos públicos cumplan con los requisitos formales del RGPD, incluso cuando prestan servicios esenciales como el IMV.