Resoluciones Relevantes DICIEMBRE 2025

La reclamante denunció la publicación en la web de Asociación Nacional de Tasadores y Peritos Judiciales Informáticos (ANTPJI) de un Auto judicial en el que figuraban sus datos personales, sin su consentimiento y sin que ANTPJI tuviera relación con el procedimiento judicial. Sostuvo que dicha difusión perseguía perjudicar su imagen e influir en el proceso, y que la entidad carecía de legitimación para tratar esos datos, solicitando por burofax la retirada de la publicación y la supresión de sus datos, si bien el primer envío fue devuelto por “desconocido” y el segundo fue entregado sin recibir respuesta. El contenido seguía accesible en la web en el momento de su reclamación. Asimismo, alegó que la política de privacidad advertía que los datos se trataban fuera de la Unión Europea.

Por la AEPD se comprobó que el Auto permanecía publicado y accesible, y que la política de privacidad indicaba que los datos recabados a través de los formularios se alojaban en servidores situados en Estados Unidos, sin aportar información sobre decisiones de adecuación, garantías aplicables ni medios para obtenerlas, contraviniendo el artículo 13.1.f) del RGPD. Se advirtieron además indicios de inexactitud en los datos de contacto de la entidad al figurar direcciones postales que resultaban desconocidas al intentar notificarlas. Ante la falta de respuesta a los requerimientos y devoluciones postales reiteradas, la AEPD notificó el inicio del procedimiento sancionador mediante anuncio en el BOE, al no haberse conseguido la notificación ordinaria. Constató la publicación íntegra del Auto, incluyendo datos identificativos de la persona reclamante, junto con las solicitudes de supresión cursadas por ésta mediante dos burofaxes con idéntico contenido, reclamando la retirada de la resolución judicial y el cese del tratamiento. En dichos escritos también se exigía conocer el origen del documento difundido. La política de privacidad de la web indicaba, en el apartado relativo a comunicaciones de datos, que la web estaba alojada en un servidor ubicado en Estados Unidos, lo que implicaba transferencia internacional de datos sin la información requerida por el RGPD. A la vista de los hechos, la AEPD apreció infracción del artículo 13 del RGPD por falta de información suficiente sobre las transferencias internacionales y por la posible inexactitud de los datos de contacto del responsable. Asimismo, constató la vulneración del artículo 17 del RGPD, dado que la entidad reclamada no atendió la solicitud de supresión ni ofreció respuesta motivada en el plazo legal, manteniendo publicada la resolución judicial con los datos personales de la reclamante.

La reclamación se dirige contra XFERA MÓVILES, S.A.U. por el envío de comunicaciones comerciales a la línea de la reclamante, inscrita en la Lista Robinson, tras la recepción de dos SMS promocionales remitidos bajo las marcas MasMovil y Yoigo. La reclamante afirma no haber prestado consentimiento ni haber sido cliente de la entidad. Por su parte, XFERA sostiene que el consentimiento fue recabado por AD735 DATA MEDIA ADVERTISING, S.L., responsable del fichero “PREMIUM SALES”, con ocasión de un sorteo en la web premium-sales.es. Según la entidad, el interesado habría aceptado política de privacidad, condiciones y bases legales, marcando la casilla de autorización para recibir publicidad de terceros del sector de las telecomunicaciones. Aporta un certificado de AD735 que vincula la autorización a la numeración de la reclamante e incluye datos identificativos, IP, fecha y hora. XFERA reconoce que el nombre asociado en el registro no coincide con el de la reclamante, pero defiende que la autorización va ligada al número telefónico, no al titular registral, y que los cambios de uso o titularidad no invalidan el consentimiento mientras no conste su revocación. Señala que los mensajes contenían un enlace operativo de baja y que la línea fue suprimida de sus bases de datos tras recibir el Acuerdo de Inicio. Alega además indefensión por haberse incoado directamente el procedimiento sancionador sin actuaciones previas, sin activar el sistema extrajudicial de AUTOCONTROL y sin requerir información técnica adicional a AD735, pese a estar adherida al Código de Conducta publicitario. Considera que el criterio de responsabilidad aplicado resulta objetivo y omite el papel de AD735 como responsable de la base de datos y de la segmentación. Añade que la inexistencia de relación contractual con la reclamante es irrelevante para la licitud de la publicidad conforme al artículo 21.1 LSSI, y que la falta de verificación de la identidad del titular resulta incompatible con el principio de minimización de datos.

Tras requerir más información a ambas partes, la reclamante acreditó ser titular de la línea, al menos, desde 2008. XFERA confirmó no prestar servicio a dicha numeración y que la misma consta asignada a otro operador en el registro de la CNMC. Insiste en que el consentimiento fue obtenido por AD735 en 2023, mediante formulario web, con aceptación expresa y mecanismos de oposición integrados, consentimiento que cumple los requisitos del RGPD y la LSSI, habiendo actuado con diligencia razonable y que no concurren elementos de intencionalidad.

Sin embargo, la AEPD considera insuficiente la acreditación aportada por XFERA y AD735: el formulario presentado es un modelo genérico sin datos concretos del usuario; el certificado identifica como otorgante del consentimiento a un tercero distinto de la reclamante; y no se aporta prueba de que ésta accediera al formulario, lo cumplimentara o aceptara recibir comunicaciones comerciales. Recuerda que el responsable debe poder demostrar quién otorgó el consentimiento, cuándo, cómo y para qué, manteniendo registros verificables mientras persista el tratamiento. Destaca que no se ha aportado evidencia que vincule a la reclamante con la prestación del consentimiento alegado y que, en consecuencia, no existe prueba suficiente que legitime los envíos publicitarios realizados a la línea inscrita en la Lista Robinson.

BARCELONESA DE DROGAS Y PRODUCTOS QUÍMICOS S.A.U. notificó a la AEPD una brecha de datos personales consistente en un posible robo de datos de pago de tarjetas de crédito mediante la inserción de código malicioso en el formulario Java de su página web de comercio electrónico. El incidente, de origen externo e intencionado, afectó a la confidencialidad de datos de medios de pago de clientes en España. En la notificación inicial se estimó un número aproximado de afectados, si bien posteriormente la entidad afirmó haber tenido constancia únicamente de un afectado, al que comunicó el incidente de forma telefónica, indicando que el cálculo inicial se había realizado por estimación del tráfico web.

Como consecuencia de los hechos, la AEPD inició actuaciones previas de investigación, durante las cuales se requirió información en varias ocasiones. BARCELONESA aportó diversa documentación técnica y comunicaciones internas y externas relacionadas con el incidente, incluidos informes de resultados internos, un informe forense elaborado por una empresa especializada y auditorías de seguridad. De dicha documentación se desprende que BARCELONESA es responsable de la web www.barcelonesa.com y de la tienda online www.vadequimica.com, en la que se utilizaba un sistema de pago integrado en la propia web, mediante el cual los clientes introducían los datos de sus tarjetas en un formulario alojado en los servidores de la entidad antes de ser transmitidos a la entidad de pago. Tras detectarse la brecha, este sistema fue sustituido por una pasarela de pago externa, en la que los datos se introducen directamente en los sistemas del proveedor de servicios de pago.

La investigación constató la presencia de numerosos ficheros maliciosos y modificaciones en archivos legítimos de la plataforma de comercio electrónico, así como la explotación de vulnerabilidades críticas del sistema, algunas conocidas desde años anteriores. Dicho malware permitía la captura de datos de tarjetas durante su introducción por los clientes y su envío a servidores de terceros no identificados, llegándose a comprometer por completo el sitio web. El informe técnico identificó un elevado número de vulnerabilidades, incluidas de severidad crítica y alta, muchas de ellas registradas con anterioridad a la brecha, y señaló la ausencia de medidas eficaces de detección temprana, ya que la entidad tuvo conocimiento del incidente a través de avisos de terceros.

BARCELONESA reconoció que no había realizado un análisis de riesgos específico sobre la actividad afectada, al considerar que el sistema de cobro utilizado estaba avalado por las medidas de seguridad del proveedor del servicio de pago. Asimismo, manifestó que los datos comprometidos fueron los correspondientes a tarjetas de crédito o débito introducidos en el momento de la compra, sin que resultaran afectados otros datos de clientes almacenados en bases de datos separadas. No obstante, el número exacto de afectados no pudo determinarse, constando al menos un caso de cargos fraudulentos.

En relación con los encargados del tratamiento, BARCELONESA indicó haber contratado el sistema de pago integrado con ***EMPRESA.3 y, posteriormente, una pasarela de pago con ***EMPRESA.4. Sin embargo, pese a los requerimientos efectuados, no aportó contratos de encargo de tratamiento formalizados por escrito con dichas entidades que recogieran el contenido mínimo exigido por el artículo 28.3 del RGPD, limitándose a señalar que no habían podido localizarse o que se aportarían posteriormente, sin que finalmente constaran en el expediente. De la información recabada se desprende que la brecha fue posible por la existencia de vulnerabilidades técnicas no corregidas, la ausencia de un análisis de riesgos adecuado al sistema de pago utilizado y la falta de contratos de encargo de tratamiento con los proveedores implicados, en un contexto en el que los datos de tarjetas de los clientes transitaban por los servidores de la propia entidad durante el proceso de pago.

Un usuario de un centro deportivo gestionado por SPORT & SPA GEST SL presentó reclamación ante la AEPD al considerar que se le denegó el acceso a la piscina por negarse a utilizar un sistema tecnológico implantado por la entidad, consistente en el uso obligatorio de unos dispositivos o “tags” vinculados a la pulsera identificativa de socio. El sistema fue presentado a los usuarios como una tecnología destinada a mejorar la experiencia de nado y aumentar la seguridad mediante la prevención de ahogamientos, permitiendo mostrar en pantallas datos como número de largos, tiempo de nado o distancia recorrida.

SPORT&SPA aportó las comunicaciones remitidas por el centro a los usuarios, en las que se anunciaba la implantación del sistema, así como correos electrónicos en los que manifestaba su disconformidad por considerar que el dispositivo recogía datos personales y de salud y que su uso se imponía como condición para acceder a la piscina. En respuesta, la entidad sostuvo que no se trataban datos de salud, que la empresa titular del sistema actuaba como encargado del tratamiento y que el uso de los tags tenía como finalidad principal incrementar la seguridad, afirmando que los datos se borraban tras la sesión.

El sistema funciona mediante antenas Bluetooth, tags y dispositivos de visualización que permiten localizar a los usuarios en la piscina y, en determinados casos, monitorizar su actividad. El acceso a la piscina se condicionó al uso obligatorio de uno de los tags, que se vinculaban al identificador único de la pulsera del socio. Esta vinculación implicaba el tratamiento de datos como fecha y hora de la sesión, número de largos, tiempo de nado, identificador del tag e identificador de la pulsera, datos que eran comunicados entre los sistemas del proveedor tecnológico y del centro deportivo. SPORT&SPA sostuvo que no se producía dicha vinculación y que, por tanto, no existía tratamiento de datos personales.

Analizada toda la documentación obrante en el expediente, la AEPD concluye que se producen múltiples infracciones:

- Respecto al tratamiento de datos de salud: el identificador de la pulsera constituye un dato personal en los términos del RGPD, al tratarse de un número asociado de forma unívoca a una persona identificable. Además, los datos relativos al rendimiento en la piscina —número de largos, tiempo de nado o hábitos de ejercicio— permiten inferir información sobre el estado físico o hábitos saludables del usuario, por lo que encajan en el concepto amplio de datos de salud conforme al artículo 4.15 del RGPD y la jurisprudencia del TJUE.

- Sobre la licitud en base al interés vital de los usuarios, invocando la prevención de ahogamientos: la AEPD rechaza dicha justificación, pues no acreditó la existencia de un riesgo concreto en sus instalaciones que justificara el recurso a esta base jurídica excepcional, ni que el tratamiento fuera necesario en el sentido exigido por el RGPD, máxime cuando el propio sistema no sustituye la presencia de socorristas y cuando en las EIPD se reconoce que el tratamiento no es estrictamente necesario y que podrían lograrse los mismos fines por otros medios.

- Sobre el deber de información del artículo 13 del RGPD, SPORT&SPA habría incumplido al no haber informado adecuadamente sobre el tratamiento de datos personales, sus finalidades, base jurídica o plazos de conservación. Además, la primera comunicación con información parcialmente relevante se produjo varios meses después de iniciarse el tratamiento y a raíz de las actuaciones de la AEPD, siendo la misma incompleta.

- Respecto a la realización de una EIPD, la entidad sostuvo que no estaba obligada a realizarla, aunque aportó dos versiones posteriores. Analizados dichos documentos se desprenden deficiencias sustanciales: identificación incorrecta de la base jurídica, falta de análisis de necesidad y proporcionalidad, ausencia de valoración de categorías especiales de datos, insuficiente justificación de los plazos de conservación y falta de medidas adecuadas para mitigar los riesgos para los derechos y libertades de los interesados, lo que impide considerar cumplido la obligación del art. 35 RGPD.

Como consecuencia de una reclamación presentada ante la AEPD, se iniciaron actuaciones bajo el expediente EXP202502402 por indicios de posible incumplimiento de la normativa de protección de datos. En el marco de las investigaciones de dicho procedimiento, se remitieron a A.A.A., dos requerimientos de información relativos a la reclamación, solicitando la presentación de documentación e información en un plazo de diez días hábiles, los cuales se notificaron conforme a la Ley 39/2015: el primero por vía postal al domicilio de empadronamiento, con acuse de recibo; el segundo también por correo postal, siendo devuelto por no recogida. A.A.A. no remitió respuesta alguna antes de dictarse el acuerdo de inicio del procedimiento sancionador, motivando el inicio de un procedimiento sancionador por infracción del artículo 58.1 del RGPD. Posteriormente, A.A.A. remitió por correo electrónico la documentación requerida y el comprobante de ingreso de la sanción de 240 euros, haciendo uso de una de las reducciones previstas en el acuerdo de inicio, sin que constase reconocimiento de responsabilidad.

Se consideran hechos probados que el requerimiento de información fue notificado conforme a la LPACAP y que A.A.A. no respondió al mismo antes de dictarse el acuerdo de inicio del procedimiento sancionador. La respuesta remitida con posterioridad no altera la constatación de los hechos constitutivos de infracción, por lo que la conducta de A.A.A. obstaculizó la potestad de investigación conferida a la AEPD por el artículo 58.1 del RGPD, que establece que cada autoridad de control puede ordenar al responsable o encargado del tratamiento que facilite cualquier información necesaria para el desempeño de sus funciones.

La reclamante denuncia que RETSINNAL GROUP, S.L.U. dispone de una web www.inmo-master.com, en la que se recaban datos personales mediante un formulario de contacto, mediante el que se agenda una llamada para recibir información acerca de un curso. En concreto indica que, al acceder a dicha política de privacidad, no se puede encontrar información del responsable del tratamiento, al identificarse únicamente como responsable a www.inmo-master.com, acompañando capturas de pantalla como prueba. El acuerdo de inicio del procedimiento sancionador se notificó conforme a la Ley 39/2015, siendo devuelto por desconocido y publicado posteriormente en el Boletín Oficial del Estado, sin que consten alegaciones por parte de la reclamada.

Mediante diligencia incorporada al expediente, se comprobó que la política de privacidad sigue recabando datos personales como nombre y apellidos, fecha de nacimiento, número de teléfono, dirección postal y correo electrónico, así como datos bancarios (número de cuenta, titular, IBAN) y datos de navegación (dirección IP, identificador único del dispositivo, huella digital del navegador y del dispositivo). En el apartado relativo al responsable del tratamiento se indica: “Los datos recabados serán tratados por inmo-master como responsable del tratamiento. Datos del responsable de tratamiento: -inmo-master.com -contacto: debe abrir una consulta en ZONA ALUMNOS » abrir consulta para cualquier comunicación. Para cualquier duda sobre cualquier aspecto relacionado con el tratamiento de sus datos personales, puedes ponerse en contacto con nosotros a través de la siguiente dirección de correo electrónico [*]”. Para el ejercicio de derechos se informa que puede realizarse mediante escrito dirigido a inmo-master, acceso a la zona de usuario en la web, o correo electrónico a direccion@inmo-master.com adjuntando fotocopia del documento de identidad, de forma gratuita. A fecha de verificación, la política de privacidad no había sido modificada.

Se constata que la web identifica como responsable del tratamiento a “inmo-master.com” y como contacto únicamente la apertura de consultas en la zona de alumnos o un correo electrónico, sin proporcionar datos del responsable claramente individualizados. Asimismo, las direcciones de contacto para finalidades de marketing y cookies no obligatorias remiten al correo direccion@inmo-master.com, sin que se identifique una persona física o jurídica responsable concreta. La información verificada evidencia que la política de privacidad de RETSINNAL no cumple con la obligación de identificar al responsable del tratamiento conforme al artículo 13 del RGPD.

El reclamante denuncia la publicación en la web de THE OBJECTIVE de un escrito que remitió a la Delegación del Gobierno en Navarra, incorporado a una noticia sobre declaraciones de un tercero. El escrito incluía datos personales visibles del reclamante: nombre, apellidos, DNI, domicilio, firma y número de teléfono móvil, adjuntándose captura de pantalla como prueba. THE OBJECTIVE respondió argumentando que la publicación tenía interés periodístico y citando el RGPD, considerando 4 y 153, y el artículo 85, que prevén la conciliación del derecho a la protección de datos con la libertad de expresión e información, así como jurisprudencia del Tribunal Constitucional y del Tribunal Supremo que reconoce la prevalencia de la libertad de información cuando los hechos son veraces y de interés general. THE OBJECTIVE sostuvo que la publicación del documento íntegro era necesaria para preservar la veracidad de la noticia y que no constituía violación de seguridad, al considerarse legitimada conforme al artículo 6.1.e) del RGPD, añadiendo que se habían implementado medidas internas de protección de datos y designado un Delegado de Protección de Datos.

El RGPD establece principios como la minimización de datos (artículo 5.1.c.), que exige evaluar la necesidad y proporcionalidad de los tratamientos y elegir medios menos intrusivos, considerando el impacto en derechos y libertades fundamentales. El derecho a la protección de datos no es absoluto y debe ponderarse frente a otros derechos constitucionales, como la libertad de información, estableciéndose un equilibrio caso por caso.

El análisis indica que la finalidad del medio era informar sobre un hecho de interés periodístico, siendo relevante la identidad del reclamante como firmante del escrito. Sin embargo, la publicación del DNI, domicilio completo, número de teléfono y firma manuscrita excede lo necesario para ese fin. La finalidad informativa podía alcanzarse con la publicación únicamente del nombre y apellidos, mientras que el resto de datos personales no era imprescindible y suponía un riesgo para los derechos del interesado. El argumento de THE OBJECTIVE de publicar el documento íntegro para garantizar su veracidad no resulta determinante, dado que es práctica habitual en medios la difusión de documentos parcialmente difuminados o pixelados para proteger datos personales. En consecuencia, los hechos constatados constituyen una infracción imputable a THE OBJECTIVE por vulneración del principio de minimización de datos del artículo 5.1.c) del RGPD, al haber difundido información personal innecesaria para la finalidad periodística perseguida.

El reclamante ejerció el derecho de acceso a sus datos personales frente al Ayuntamiento de San Fernando de Henares sin obtener respuesta dentro del plazo legal. Tras presentar la solicitud inicial, y ante la falta de contestación, reiteró su petición. El Ayuntamiento respondió requiriendo la aportación de una copia del DNI y la utilización de un formulario normalizado. La reclamante cumplimentó el formulario facilitado y lo firmó electrónicamente mediante certificado de la FNMT, sosteniendo que su identidad ya quedaba acreditada por ese medio y que la exigencia de una fotocopia del DNI era desproporcionada e innecesaria, invocando además la normativa que prohíbe a las administraciones exigir copias del DNI cuando la identidad puede verificarse por otros medios válidos. El Ayuntamiento mantuvo su exigencia de aportar copia del DNI, alegando que la solicitud no reunía los requisitos formales para su presentación y que, conforme al RGPD y a la legislación administrativa, podía requerir documentación adicional cuando existieran dudas razonables sobre la identidad del solicitante. Argumentó igualmente que el derecho de acceso es personalísimo, que el uso de un modelo normalizado garantizaba la seguridad jurídica y que la complejidad de la solicitud justificaba la ampliación del plazo de respuesta.

La reclamante manifestó ante la AEPD que el Ayuntamiento había obstaculizado reiteradamente el ejercicio del derecho de acceso mediante dilaciones injustificadas y requisitos formales desproporcionados, recordando que el RGPD exige que el ejercicio de derechos sea sencillo, gratuito y sin formalismos innecesarios, y que no puede supeditarse obligatoriamente al uso de formularios normalizados. Durante la tramitación ante la AEPD, el Ayuntamiento acreditó haber atendido finalmente la solicitud, aunque reconoció que la respuesta se produjo tras múltiples requerimientos de subsanación.

Analizado el expediente, la AEPD recuerda que cuando una persona utiliza su certificado FNMT para autenticarse o firmar, su identidad está legalmente acreditada, por lo que solicitar al reclamante fotocopia de su DNI no debe hacerse ya que su identidad queda fehacientemente acredita mediante el certificado electrónico emitido por la FNMT. El certificado electrónico de persona física de la FNMT acredita la identidad del titular, validada presencialmente o por videollamada ante un organismo oficial (como Hacienda o una oficina de registro); la vinculación del titular con una clave pública y privada, lo que permite firmar electrónicamente documentos o autenticarse en servicios online, y el consentimiento y voluntad del firmante si se usa para firmar documentos (como un contrato). Este certificado tiene plena validez legal en España, conforme al Reglamento (UE) Nº 910/2014 (eIDAS) sobre identificación electrónica y servicios de confianza. y la Ley 6/2020 de servicios electrónicos de confianza.

En este caso, si bien durante la tramitación del procedimiento el Ayuntamiento atendió la solicitud de ejercicio de derecho, la respuesta material al derecho de acceso se emitió una vez superado el plazo legalmente establecido, produciéndose únicamente tras la intervención de la Agencia, motivando la estimación de la reclamación por motivos formales.

El reclamante denunció ante la AEPD al Instituto Nacional de Ciberseguridad de España, S.A. (INCIBE) por la exposición indebida de datos personales de alumnos inscritos en un curso masivo online organizado por dicha entidad. El reclamante denunció que, al inicio del curso, los participantes podían visualizar datos personales de otros alumnos —nombre, apellidos, dirección de correo electrónico, ciudad y país— sin haber prestado consentimiento ni haber sido informados adecuadamente de esta circunstancia. Como prueba aportó la cláusula informativa de la plataforma, capturas de foros del curso y ejemplos de perfiles accesibles. De las actuaciones previas se constató que la incidencia tuvo su origen en un error de configuración de privacidad de la plataforma de formación Moodle utilizada por INCIBE. Dicha configuración, activada por defecto en el software y no modificada antes del inicio del curso, permitía que los alumnos accedieran a los perfiles de otros participantes al interactuar en los foros, visualizando determinados datos personales. INCIBE tuvo conocimiento de la situación tras recibir comunicaciones de alumnos y contactó con el proveedor de la plataforma, DICAMPUS, encargado de su mantenimiento, procediéndose a deshabilitar la visibilidad entre usuarios al día siguiente.

La plataforma permitía distintos niveles de visibilidad de los datos, pero los campos de nombre, apellidos, correo electrónico, país y ciudad estaban configurados por defecto como visibles para otros usuarios. Aunque el sistema ofrecía a los alumnos la posibilidad de modificar esta configuración, dicha opción solo podía ejercerse una vez iniciado el curso y cuando los datos ya eran accesibles. En el caso del correo electrónico, además, era necesario que el propio usuario actuara expresamente para ocultarlo. El curso contaba con aproximadamente 9.000 alumnos inscritos; se acreditó que 399 perfiles distintos fueron visualizados por otros usuarios y que al menos 318 alumnos accedieron a perfiles ajenos.

INCIBE había contratado el uso de la plataforma en modalidad SaaS mediante un procedimiento de licitación que incluía un contrato de encargo de tratamiento con DICAMPUS y exigía la realización de una auditoría de seguridad previa. Dicha auditoría no detectó el problema de configuración, circunstancia que INCIBE atribuyó a la ausencia de actividad en los foros en ese momento o a la falta de especialización en Moodle del auditor. Tras el incidente se realizó una nueva auditoría con requisitos adicionales. Además, se constató que la plataforma trataba un volumen de datos superior al estrictamente necesario para la finalidad formativa, al recabar, junto a los datos imprescindibles (nombre, apellidos, DNI y correo electrónico), otros como código postal, fecha de nacimiento, nacionalidad, teléfono, nivel de estudios o situación laboral, con fines estadísticos. Esta configuración se mantuvo durante un periodo posterior, hasta que se redujeron los datos exigidos al mínimo imprescindible. INCIBE alegó haber desplegado medidas técnicas y organizativas, haber actuado con diligencia y que la plataforma funcionaba en un entorno cerrado limitado a los alumnos, defendiendo que la configuración por defecto era estándar en el sector educativo y compatible con la interacción pedagógica. También sostuvo que los usuarios podían controlar la visibilidad de sus datos y que el incidente fue limitado y de corta duración. Analizado el expediente, se desprende que la brecha fue consecuencia directa de una decisión de diseño y configuración de la plataforma que no garantizaba la protección de datos desde el diseño y por defecto, al permitir que datos personales no necesarios para la finalidad del tratamiento fueran accesibles a otros alumnos sin intervención previa de los interesados. La posibilidad de configurar la privacidad a posteriori no evitó que, por defecto, los datos fueran accesibles desde el inicio del curso. Asimismo, la recogida excesiva de datos evidenció una falta de aplicación de la minimización de datos. La incidencia afectó al control de los interesados sobre sus datos personales en el marco de una actividad formativa que implicaba tratamientos habituales y continuados de datos por parte de INCIBE.

El reclamante presentó reclamación contra PARTIDO LOCAL DE VILLANUEVA DEL PARDILLO, partido político/grupo municipal del Ayuntamiento por la publicación en su perfil de Facebook “Partido Local Villanueva del Pardillo” de un vídeo que incluía su imagen sin su consentimiento. Aportó captura de pantalla de la publicación, consistente en un fotograma del vídeo en el que aparecen varios miembros del Ayuntamiento identificables, acompañado de un texto. La Agencia recabó evidencias que acreditan la publicación del vídeo en dicho perfil, su contenido y duración, así como la identificación del partido político como titular del perfil desde el que se difundió.

Notificado el acuerdo de inicio, PARTIDO LOCAL alegó, en primer lugar, la nulidad del procedimiento por supuesta falta de notificación previa que le habría causado indefensión. En segundo lugar, negó haber realizado un tratamiento de datos personales, afirmando que las imágenes utilizadas procedían íntegramente de la web municipal y de las redes sociales corporativas del Ayuntamiento, sin haber sido modificadas ni empleadas con una finalidad distinta a la de dar publicidad a la actividad municipal. Sostuvo que otros grupos municipales y partidos políticos habían realizado publicaciones similares sin que se incoaran expedientes sancionadores, y que, en cuanto tuvo conocimiento de la reclamación, retiró el vídeo. Aportó, además, un escrito del propio reclamante solicitando que se dejara sin efecto la reclamación tras la retirada del contenido. En alegaciones posteriores, reiteró sustancialmente los mismos argumentos y añadió que, con carácter previo a la toma de las fotografías difundidas por el Ayuntamiento, se había informado verbalmente a los asistentes sobre su finalidad de difusión en la web municipal y redes corporativas, aportando certificado de la Concejalía de Formación y Empleo en el que se indicaba que los participantes podían decidir individualmente si aparecían o no en dichas imágenes.

Analizada la documentación del expediente, resulta acreditado que PARTIDO LOCAL  publicó en su perfil de Facebook el citado vídeo, elaborado a partir de imágenes en las que aparecen varios miembros del Ayuntamiento identificables, entre ellos el reclamante, y que dicha publicación fue retirada tras la presentación de la reclamación. La difusión del vídeo en una red social constituye una operación de tratamiento de datos personales, al implicar la comunicación y difusión de imágenes que permiten identificar a personas físicas, siendo Responsable del tratamiento el partido político que decide su selección, edición y publicación. El hecho de que las imágenes procedieran de fuentes municipales no altera dicha condición, ni traslada automáticamente la base legitimadora del tratamiento realizado por el Ayuntamiento al tratamiento efectuado por el partido político en sus propios perfiles. Tampoco consta acreditada la existencia de una base de legitimación conforme al artículo 6.1 del RGPD para la publicación del vídeo por la reclamada, sin que el eventual consentimiento otorgado para la difusión en la web municipal pueda extenderse a un tratamiento distinto, con responsables y finalidades diferentes.