| Resolución | PS-00256-2023 |
| Firmado | 2025-09-17T00:00:00Z |
| Enlace | 📋 |
El Instituto Nacional de la Seguridad Social (INSS) fue denunciado por revelar indebidamente datos personales de una trabajadora a su empleador, incluyendo datos de salud. La reclamante, representada por el Sindicato de Oficios Varios CGT, solicitó al INSS el reconocimiento de una prestación. Durante la tramitación, el INSS envió dos comunicaciones a la empresa de la reclamante, facilitando acceso a datos personales, entre ellos, datos de salud.
El INSS argumentó que el incidente fue un «error humano» debido a la sobrecarga de trabajo y la falta de recursos. Afirmaron haber adoptado medidas correctivas, como la difusión de políticas de seguridad y la formación continua del personal. Sin embargo, la resolución determinó que el INSS no había adoptado medidas adecuadas para garantizar la confidencialidad de los datos, vulnerando el artículo 5.1.f del RGPD, que establece la obligación de tratar los datos de manera que se garantice su seguridad.
La sanción impuesta fue la declaración de infracción, sin multa económica, debido a que el INSS es una entidad pública. Se ordenó al INSS adoptar medidas para evitar futuras infracciones y garantizar la confidencialidad de los datos. La resolución subraya la importancia de la formación continua del personal y la implementación de medidas técnicas y organizativas para proteger los datos personales, especialmente en tratamientos que involucran categorías especiales de datos, como los datos de salud.