La Agencia Española de Protección de Datos (AEPD) ha declarado que la Diputación Provincial de Huesca vulneró el Reglamento General de Protección de Datos (RGPD) tras una brecha de datos que permitió el acceso masivo a información sensible de los bomberos del Servicio de Prevención y Extinción de incendios de la Diputación (SPEIS), entre ellos información sindical y estado de salud.
La resolución, que aprecia negligencia de datos, subraya que las medidas adoptadas tras el incidente no eximen de responsabilidad cuando el fallo radica en la falta de controles preventivos.
Carpeta abierta, datos sensibles expuestos
Dos representantes sindicales de la unidad del SPEIS de Huesca fueron notificados que los datos de uno de ellos y de otros compañeros bomberos accesibles a través de una carpeta que quedó a exposición de todo el público.
Ello llevó a ambos representantes sindicales a dar parte a la AEPD sobre esta brecha de datos, pues la Diputación era la responsable del tratamiento de Datos y no actuó diligentemente.
Sin embargo, la Diputación de Huesca alegó que el acceso a la carpeta que contenía los datos sensibles solo se puede acceder con usuario restringido, por lo que no se podría hablar de fuga indiscriminada de datos, sino en el acceso de datos por parte de empleados acreditados a la Diputación.
Además, la entidad pública asegura que adoptó las medidas de seguridad posteriores a la notificación de los hecho según la AEPD, con el objetivo de mitigar los riesgos y para reforzar el control de acceso y confidencialidad de los datos personales.
Fallo de accesos y mala gobernanza del dato
Sin embargo, la AEPD rechaza la defensa de la Diputación de Huesca. Según el expediente sancionador, «no se trata de una cuestión de mera seguridad, regulada en el artículo 32 del RGPD, sino de una afectación directa a uno de los principios del tratamiento establecidos en el artículo 5 del RGPD», señala.
Además, reprocha a la entidad pública que los hechos no reflejan la debida aplicación de medias técnica u organizativas apropiadas con anterioridad a la brecha de datos personales.
El artículo 5.1.f), que recoge principio de integridad y confidencialidad, impone al responsable del tratamiento la obligación de adoptar medidas técnicas u organizativas apropiadas, de todo tipo, con el fin de garantizar la seguridad adecuada de los datos personales (comprende su protección frente a todo tratamiento no autorizado o ilícito, así como frente a su pérdida, destrucción o daño accidental).
En este caso, el acceso no autorizado a datos personales por parte de un tercero supone que «que los datos de carácter personal puedan ser utilizados para usos no conocidos, incluso
fraudulentos, conllevando una pérdida de control sobre los mismos», señala.
Y en este caso la Diputación no ha garantizado ni la confidencialidad ni la integridad de los datos conforme el citado artículo, que requiere que para que haya infracción se requiere un resultado (la pérdida de confidencialidad por no haber adoptado las medidas apropiadas).
El papel del DPD, en entredicho
La AEPD también analiza la posición del delegado de protección de datos (DPD), en relación con su designación como responsable del Sistema Interno de Información.
La Diputación alegó que existía una dependencia funcional, pero no orgánica, tratando de descartar un conflicto de intereses. No obstante, la Agencia rechaza este planteamiento. Destaca que la propia institución había planteado previamente dudas sobre la compatibilidad de ambos roles, lo que exigía un análisis riguroso.
Pese a ello, optó por mantener el nombramiento sin garantizar que las funciones atribuidas al DPD no comprometieran su independencia, incumpliendo así las exigencias del Reglamento.
La resolución lanza un mensaje claro a las administraciones públicas: el cumplimiento en materia de protección de datos no se agota en la reacción ante incidentes ni en la existencia formal de certificaciones o estructuras internas.
La AEPD insiste en que la responsabilidad proactiva exige anticiparse a los riesgos, asegurar la independencia real de las figuras clave como el DPD y garantizar, en la práctica, que los sistemas de información limitan el acceso a quienes realmente deben tenerlo.
De lo contrario, incluso sin multa económica, la declaración de infracción se convierte en un aviso serio con consecuencias jurídicas y reputacionales.
