| Resolución | PS-00406-2024 |
| Firmado | 2025-11-21T00:00:00Z |
| Enlace | 📋 |
El 28 de diciembre de 2023, la Consejería de Turismo y Empleo envió un correo electrónico a 22 destinatarios para informarles sobre la fecha de un acto de conciliación. Sin embargo, el correo incluía un fichero adjunto con datos personales de 25 demandantes, como nombres, apellidos, representantes, números de registro y detalles del procedimiento. Este envío se realizó sin utilizar la funcionalidad de «copia oculta», lo que permitió a todos los destinatarios ver las direcciones de correo electrónico de los demás, algunas de las cuales incluían nombres y apellidos.
La parte reclamante denunció que solo deberían haber recibido los datos relativos a su propio procedimiento y que la exposición de datos de otros demandantes vulneraba su privacidad. La Consejería reconoció que hasta enero de 2024 utilizaba un sistema obsoleto que no permitía notificaciones telemáticas individuales, lo que llevó a la práctica de enviar correos masivos con todos los datos. Sin embargo, desde enero de 2024, implementaron un nuevo software que permite notificaciones telemáticas individuales, eliminando la necesidad de enviar correos masivos.
La decisión sancionadora concluyó que la Consejería había infringido el artículo 5.1.f del Reglamento General de Protección de Datos (RGPD), que establece la obligación de tratar los datos personales de manera que se garantice su integridad y confidencialidad. La infracción se tipificó según el artículo 83.5 del RGPD, que sanciona la vulneración de los principios básicos para el tratamiento de datos personales. Aunque la Consejería adoptó medidas correctivas posteriormente, estas no eximen su responsabilidad por los hechos ocurridos el 28 de diciembre de 2023. La resolución declaró la infracción y archivó el procedimiento sancionador, sin imponer una multa económica debido a la naturaleza de la entidad infractora, que es una administración pública.