La AEPD sanciona a la Guardia Civil por la cesión insegura de datos personales en un expediente disciplinario

El procedimiento sancionador se originó a partir de una reclamación presentada por un miembro de la Guardia Civil, quien denunció la cesión y difusión sin consentimiento de su información personal durante la tramitación de un expediente disciplinario. La parte reclamada, la Dirección General de la Guardia Civil, envió correos electrónicos oficiales que contenían datos personales del reclamante, como su nombre, apellidos, número de DNI, rango y unidad de destino, a cuentas genéricas de la aplicación Group Wise, accesibles por varios integrantes de las unidades destinatarias.

La reclamación se basó en la vulneración de las Circulares del Delegado de Protección de Datos de la Jefatura de los Servicios Técnicos del Mando de Apoyo de la Dirección General de la Guardia Civil, que establecen medidas para garantizar la confidencialidad de los datos personales en comunicaciones oficiales. La parte reclamada argumentó que las comunicaciones se realizaron mediante correos oficiales con acceso restringido y que el personal involucado estaba sujeto a la obligación de reserva profesional.

Sin embargo, la resolución determinó que la cesión de datos personales sin las medidas de seguridad adecuadas, como el cifrado de los correos y documentos relacionados, constituyó una infracción del artículo 32 del Reglamento General de Protección de Datos (RGPD). La falta de implementación de estas medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales fue considerada una vulneración sustancial de la normativa de protección de datos.

Como resultado, se ordenó a la Dirección General de la Guardia Civil que, en un plazo de seis meses, acreditara la implementación de medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales en futuras comunicaciones relacionadas con procedimientos administrativos. La resolución también declaró la infracción del artículo 32 del RGPD, tipificada en el artículo 83.4.a) del mismo reglamento.