Resoluciones Relevantes NOVIEMBRE 2025

Por parte del Juzgado de Primera Instancia de Gijón se dictó sentencia condenando por vulneración del honor y la propia imagen la publicación en redes sociales de imágenes de los demandantes junto con Los demandantes interpusieron acción civil contra Joaquín, a quien habían contratado para realizar trabajos de albañilería en su vivienda, por vulneración de su derecho al honor e imagen a raíz de la difusión de varios vídeos en redes sociales. En ellos, el demandado, tras surgir discrepancias por el pago de la obra, publicó en Instagram dos grabaciones en las que se refería a los demandantes como “morosos” y “personajes”, afirmando que “no tienen dinero ni pa rabiar”, que “él no tiene nada puesto a su nombre” y que “las facturas van a nombre de ella por algo será, es la trampa que hacen”. En los vídeos mostró además fotografías de ambos junto a su hijo menor, mencionando su domicilio y pidiendo públicamente a otras empresas que no trabajaran con ellos. Los demandantes reclamaron una indemnización de 3.000 euros cada uno por los daños causados, argumentando que las manifestaciones del demandado eran difamatorias y carecían de fundamento, habiendo sido difundidas con ánimo de desprestigiarles y afectar a su reputación. Alegaron igualmente la vulneración de su derecho a la propia imagen, por haberse publicado sin su consentimiento fotografías suyas y de su hijo menor.

El Juzgado recuerda que el artículo 18.1 de la Constitución Española garantiza el derecho al honor como una manifestación de la dignidad de la persona, y que el artículo 7.7 de la Ley Orgánica 1/1982 considera intromisión ilegítima la imputación de hechos o juicios de valor que lesionen la dignidad o la fama de una persona. La jurisprudencia del Tribunal Supremo establece que este derecho protege frente a expresiones insultantes, insinuaciones infamantes o vejaciones que provoquen objetivamente descrédito. A la luz de estos criterios, el Juzgado concluyó que las expresiones vertidas por Joaquín eran claramente injuriosas y atentaban contra la reputación de los demandantes. El lenguaje utilizado —tildándolos de morosos y carentes de solvencia— tenía un carácter ofensivo y despectivo, con intención de menoscabar su consideración pública. Tales manifestaciones no se amparaban en el derecho a la libertad de expresión, dado que no perseguían informar sobre una controversia contractual sino desprestigiar a los afectados, sin aportar datos verificables ni fundados sobre las imputaciones realizadas.

Destacó, además, que la difusión se efectuó mediante redes sociales —Instagram y TikTok— con acceso potencial al público en general, lo que amplificó el daño al honor y reputación de los demandantes. La publicación de una fotografía identificativa de ambos, en la que aparecía su hijo menor, supuso asimismo una intromisión ilegítima en su derecho a la propia imagen conforme al artículo 7.5 de la citada Ley Orgánica. Teniendo en cuenta la naturaleza y gravedad de las expresiones, su amplia difusión, la publicación de imágenes familiares y la existencia de un menor, el Juzgado fijó de manera ponderada una indemnización de 3.000 euros para cada demandante, recordando que las compensaciones simbólicas resultan incompatibles con la tutela efectiva de los derechos fundamentales, debiendo además publicar el fallo de la sentencia en las mismas redes sociales desde las que difundió los vídeos, como medida de restablecimiento del derecho vulnerado conforme al artículo 9.a) de la Ley Orgánica 1/1982.

Se presenta reclamación por los padres de un menor con discapacidad matriculado en la ESCOLA LES CAROLINES COOP. V., alegando uso inadecuado de su imagen. En concreto, manifiestan la exposición de 2 carteles, uno de ellos ubicado en el patio del centro y el segundo en una de sus aulas, en los que se aprecia la cara del menor afectado y la del otro menor implicado, ésta oculta para evitar su identificación, con pictogramas de situaciones que se entienden como indeseables. El cartel ubicado en el patio se expuso durante un día, siendo retirado por la madre del menor y el ubicado en el aula del menor durante 22 días, (5 días lectivos), siendo retirado por la tutora de la clase del menor, a instancias de sus padres.

Por parte del centro, que reconoce la existencia de los carteles, se aportaron autorizaciones para la publicación de imágenes o grabaciones de su hijo en el ámbito de la comunicación escolar y pedagógica, correos electrónicos y un informe del Delegado de Protección de Datos (DPD) de VERSIS ASESORES, que consideraba que el uso de la fotografía se encuadraba en la finalidad pedagógica y docente; amprándose en la ejecución del contrato educativo y en la Disposición Adicional 23 de la Ley Orgánica 2/2006 de Educación, así como en el Decreto 195/2022 y la Orden 62/2014 de la Generalitat Valenciana, relativos a protocolos de convivencia y medidas frente a violencia escolar. El centro alegó que la exposición de los carteles fue puntual, proporcionada, orientada al beneficio del menor y basada en el interés legítimo del centro, señalando además que contaba con autorización previa del padre del menor para uso de imágenes con fines de comunicación escolar y pedagógica.

Sin embargo, la AEPD manifiesta que para que la obtención de la fotografía del menor por la ESCOLA se encuadre dentro de sus funciones, su utilización debe responder a la misión pedagógica y docente por la que se obtuvo. Fuera de esos supuestos, como se indica en el apartado 2 de la Disposición Adicional 23 de la L.O. 2/2006, será necesario el consentimiento expreso. En este caso, la única autorización solicitada por la ESCOLA a los representantes legales del menor es la que con carácter general se solicitó a los representantes legales de los menores matriculados en dicho centro para la difusión de las actividades de éste, como específicamente se indicaba en el formulario remitido por el centro para la obtención de dicha autorización, habiendo aportado el centro la autorización firmada por el representante legal del menor era para la difusión de las actividades de la ESCOLA, sin que en ningún momento se hiciera referencia de forma clara e inequívoca a medidas como la que es objeto de reclamación.

Asimismo, como reconoce la propia Escola, “la colocación de la imagen del alumno, en un cartel ubicado en el auto y patio, se hizo con el fin de fomentar la empatía y cuidado hacia él por parte del resto del alumnado, como forma de previsión ante nuevas agresiones.”. Sin embargo, esta finalidad no responde a la difusión de las actividades de la ESCOLA, para la que se solicitó el consentimiento, ni tampoco puede encuadrarse dentro de el interés legítimo alegado, de acuerdo con lo dispuesto en los artículos 6.1.f) y 13.1.d) del RGPD, tanto respecto de los tres requisitos acumulativos para que el tratamiento de datos personales resulte lícito, como a la exigencia al responsable del tratamiento en el momento que se obtenga de un interesado datos personales relativos a éste que se le facilite toda la información relativa a dicho interés legítimo. Por el contrario, no es sino con posterioridad al inicio del procedimiento que la ESCOLA ha instaurado el consentimiento específico, informado e inequívoco.

A.A.A., en calidad de reclamante, interpuso reclamación ante la Autoridad Catalana de Protección de Datos, que la remitió a la AEPD por carecer de competencia, dirigiéndose contra HWM PSI, S.L. La reclamación se fundamenta en que, en el marco de un encargo de gestión de compra inmobiliaria, HWM PSI, S.L. envió un correo electrónico a siete destinatarios sin utilizar la funcionalidad de copia oculta (CCO), dejando visibles las direcciones de todos los destinatarios. La mayoría de estas direcciones contenían el nombre y primer apellido de los interesados. La reclamante aportó captura de pantalla del correo y copia del encargo de gestión de compra. No se recibió respuesta al traslado de esta reclamación.

Por ello, se constata que la reclamante recibió un correo de HWM PSI, S.L. dirigido a siete destinatarios, sin emplear la opción de CCO, de manera que cada receptor podía ver las direcciones de los demás. Las direcciones expuestas incluyen el nombre o nombre y apellidos de los destinatarios.

Como responsable del tratamiento de datos personales, HWM PSI, S.L. tiene la obligación de impedir tratamientos no autorizados o ilícitos de datos, garantizar su confidencialidad e integridad, y evitar accesos por terceros no autorizados, así como su pérdida o destrucción. La normativa establece que el responsable debe aplicar medidas técnicas u organizativas apropiadas para garantizar la confidencialidad de los datos. En este caso, la omisión de utilizar la opción de copia oculta constituye ausencia de adopción de medidas adecuadas, generando una pérdida de confidencialidad conforme al artículo 5.1.f) del RGPD, cuyo objetivo es prevenir filtraciones no consentidas de datos personales.

Se formulan reclamaciones contra CLÍNICA DORSIA, (THE RED KIWI, S.L), por haber creado un grupo de WhatsApp denominado “Medicina Estética 2” en el que se incluyeron los números de teléfono de clientes, visibles para todos los integrantes. Las reclamantes exponen que sus datos quedaron accesibles a otros clientes y que, pese a sus protestas, la empresa abandonó el grupo sin cerrarlo. La documentación aportada incluye capturas de pantalla de los terminales móviles de las reclamantes que acreditan tanto la creación del grupo desde el número de la empresa como los mensajes promocionales enviados dentro del mismo. La primera captura muestra la creación del grupo desde el número de la reclamada, la inclusión de las reclamantes y otros clientes, y mensajes de promoción de servicios estéticos. Se reflejan además respuestas de clientes sorprendidos por la visibilidad de sus números. La segunda captura acredita comunicaciones previas entre CLÍNICA DORSIA y la reclamante, que muestran que el número desde el que se creó el grupo había sido utilizado anteriormente por la empresa para actividades comerciales, y que CLÍNICA DORSIA reconoció el error tras las quejas. La tercera captura evidencia la comunicación posterior de CLÍNICA DORSIA solicitando a la reclamante información sobre el grupo para intentar solventar la incidencia. La otra reclamante afirma que el grupo incluía aproximadamente 90 clientes cuyos números quedaron expuestos.

Analizado los documentos aportados, y no constando que  CLÍNICA DORSIA  presentara alegaciones al respecto, se considera acreditado que CLÍNICA DORSIA llevó a cabo un tratamiento de datos personales consistente en facilitar el acceso a los números de móvil de sus clientes dentro del grupo de WhatsApp, con la posibilidad de que los integrantes del grupo pudieran visualizar estos datos, incumpliendo el principio de confidencialidad previsto en el artículo 5.1.f) RGPD. Debe destacarse en este supuesto que el grupo fue creado por una empleada (recepcionista) de CLÍNICA DORSIA; sin embargo, en este caso no puede considerarse que la empleada sea responsable del tratamiento, pues efectuó el tratamiento en el marco de su relación laboral, pues el grupo fue creado para dar a conocer una promoción de servicios que presta la Clínica.

La Clínica tuvo acceso a los datos personales en el marco de una relación contractual que les vinculaba con ellos, haciendo uso del dato del número de móvil (ya sea mediante una aplicación de mensajería instantánea o no), con la finalidad de contactar con el cliente para fijar la fecha de las citas en las que le presta sus servicios o resolver otras cuestiones relacionadas con ellos; e incluso podía tratarlos con fines de promoción comercial sobre la base de su interés legítimo (artículo 6.1.f del RGPD) cuando -como es el caso- pretendía promocionar un producto o servicio similar a los contratados por sus clientes. Pero, al mismo tiempo estaba obligada a garantizar la confidencialidad de los datos de los clientes que trataba en calidad de responsable. Sin embargo, no adoptó medidas técnicas u organizativas apropiadas para garantizar la confidencialidad de los datos, exponiendo los números de teléfono a otros clientes, datos que pueden catalogarse indirectamente como sensibles, al incluir información relacionada con servicios de salud, sujeta a las restricciones del artículo 9 del RGPD. En consecuencia, se acredita que CLÍNICA DORSIA actuó con falta de diligencia, permitió la exposición de datos de clientes en un grupo de WhatsApp, incumpliendo el artículo 5.1.f) del RGPD; motivando la imposición de multa por parte de la AEPD, además de ordenar la eliminación del grupo de WhatsApp en un mes y la implementación de sistemas de comunicación que impidan la visibilidad de los participantes, garantizando que solo el administrador tenga conocimiento de la composición del grupo.

La reclamante ejerció su derecho de acceso solicitando los datos de geolocalización asociados a su número de teléfono desde el inicio de 2021, y posteriormente pidió la limitación del tratamiento para evitar su borrado hasta completar el acceso. La AEPD estimó su reclamación y ordenó a EUSKALTEL remitirle una certificación que facilitara los datos solicitados o, en su caso, una denegación motivada conforme a Derecho, recordando que los datos debían proporcionarse al usuario de la línea, fuese o no su titular. Por parte de EUSKALTEL únicamente se remitió los identificadores de celda relativos a comunicaciones realizadas en territorio español, indicando la reclamante que dicha información no cubría la totalidad de los datos objeto de solicitud. La AEPD requirió reiteradamente a EUSKALTEL para que cumpliera su resolución en los términos ordenados. En sus sucesivas respuestas, EUSKALTEL afirmó no disponer de datos de geolocalización distintos a los identificadores de celda y alegó motivos ya examinados y rechazados en la resolución previa PD-0017-2023. Ante la persistencia de la negativa, la AEPD volvió a exigir que, si EUSKALTEL no podía facilitar todos los datos solicitados, debía denegar el acceso de forma motivada conforme a lo establecido en la resolución firme, sin reproducir argumentos ya desestimados. EUSKALTEL denegó el acceso manifestando que no trata datos de geolocalización porque, como operador móvil virtual (OMV), carece de red propia y únicamente conserva los identificadores de celdas. Este planteamiento contradice su primera respuesta a la reclamante y resulta incompatible con la Ley 25/2007, que obliga a conservar tanto la etiqueta de localización como los datos que permiten fijar la localización geográfica de la celda.

En este sentido, la AEPD recuerda que el derecho de acceso exige entregar todos los datos personales que obren en el marco del tratamiento y que resulten comprendidos en la solicitud, sin limitar la respuesta a una parte de la información. Por tanto, el responsable debe obtener del encargado del tratamiento —en este caso, el operador de red (OMR)— los datos necesarios para atender el derecho, tal y como impone el artículo 28.3.e) RGPD. El interesado no tiene relación jurídica con el OMR, por lo que el OMV debe recabar de éste los datos que conciernen a su cliente, incluidos aquellos que permiten fijar la localización geográfica de la celda mediante referencia al identificador.

La alegación de que los identificadores de celda no son datos de localización fue rechazada por la AEPD, al ser técnicamente inexacta y contraria a la Ley 25/2007, que los incluye expresamente como datos de localización. También descartó los argumentos relativos al secreto empresarial, a la protección de infraestructuras críticas o a la aplicación de límites derivados de la Ley 25/2007, dado que ninguna norma con rango de ley restringe el derecho de acceso del titular a sus propios datos en estos supuestos. La ubicación de antenas, además, es accesible públicamente. En base a todo lo anterior, la AEPD entiende que EUSKALTEL no atendió adecuadamente el derecho de acceso, al no haber proporcionado todos los datos solicitados ni haber emitido una denegación motivada conforme a los criterios establecidos en la resolución previa, pese a haber sido requerido hasta en tres ocasiones, lo que motiva la infracción por no haber cumplido con la resolución que obligaba a atender al derecho solicitado.

Como consecuencia de denuncia presentada ante la Agencia Española de Protección de Datos (AEPD), se iniciaron actuaciones de investigación contra MEYDIS, S.L., bajo expediente EXP202307414, para esclarecer posibles incumplimientos del RGPD y la LOPDGDD. Durante las actuaciones, se remitieron a MEYDIS requerimientos de información relacionados con el Registro de Actividades de Tratamiento (RAT) como encargado de tratamiento, solicitando listado de responsables de tratamiento por cuenta de los cuales se realizaban encargos y la categoría de tratamiento realizada. Los requerimientos fueron notificados conforme a la LPACAP y recogidos por MEYDIS en varias ocasiones, con ampliaciones de plazo concedidas.

El DPD de MEYDIS presentó escritos alegando falta de copia de los requerimientos y contradicciones en los mismos, solicitando acceso al expediente y nulidad de los requerimientos, a lo que la AEPD respondió que no era posible facilitar copia por tratarse de actuaciones de investigación previas, reiterando los requerimientos y aclarando que la información solicitada debía centrarse únicamente en los tratamientos realizados como encargado según el artículo 30.2.a del RGPD, sin abarcar todos los clientes. MEYDIS presentó información, incluida en el RAT, sobre las categorías de tratamiento, pero no aportó el listado completo de responsables de tratamiento, considerando que actuaba conforme a la interpretación de la AEPD y confiando en el silencio posterior durante nueve meses.

MEYDIS formuló alegaciones al acuerdo de inicio y a la propuesta de resolución, defendiendo la ausencia de intención de obstaculizar la actuación inspectora, invocando buena fe, confianza legítima y la falta de claridad en los requerimientos, así como la jurisprudencia sobre culpabilidad en materia sancionadora de personas jurídicas. Alegó que la información aportada respondía a lo solicitado según la aclaración recibida del inspector y que la negativa a aportar información del Acuerdo de Inicio se refería a documentación de un expediente previo (EXP202307414) ya caducado, distinto del presente procedimiento sancionador. Además, cuestionó la cuantía de la multa propuesta sobre la base de que se calculó con volumen de negocio de 2023, cuando la facturación de 2024 era inferior, solicitando su ajuste y la consideración de atenuantes como la designación voluntaria de DPD.

La AEPD consideró hechos probados que los requerimientos de información fueron notificados conforme a la LPACAP y que MEYDIS no respondió de forma completa a los mismos, no aportando el listado de responsables de tratamiento requerido por el artículo 30.2.a del RGPD, obstaculizando así la potestad de investigación prevista en el artículo 58.1 del RGPD. La AEPD señaló que la información solicitada sigue siendo exigible para el desempeño de sus funciones, que la caducidad de diligencias previas no impide la apertura del procedimiento sancionador y que la obligación de facilitar la información no depende del resultado de la investigación previa. En cuanto a la cuantía de la sanción, la revisión de las cuentas de 2024 confirmó que, aunque el volumen de negocio disminuyó, la categoría de la empresa se mantenía, sin que proceda modificar la multa fijada. Por todo ello, se considera que la conducta de MEYDIS constituye infracción del artículo 58.1 del RGPD, por no facilitar la información requerida, afectando el ejercicio de los poderes de investigación de la AEPD.

La reclamante interpuso reclamación ante AEPD por posibles incumplimientos de APARELLS ORTOPEDICS CURTO, S.L. en relación con el derecho de acceso a datos personales y conservación de la historia clínica. La reclamante solicitó mediante correo electrónico copia de sus datos personales, historia clínica, estudio biomecánico de la pisada, cobros a aseguradoras, nombres de los facultativos que le atendieron, destinatarios y fines del tratamiento, así como grabaciones de llamadas. La respuesta de APARELLS no incluyó la historia clínica completa, ni el listado correcto de visitas, ni el estudio biomecánico, ni la información sobre fines, destinatarios o decisiones automatizadas. En respuesta a la falta de datos, APARELLS culpa a la Dra. A.A.A., alegando que no tenían acceso a dicha información. La Dra. señaló que el sistema informático era de la clínica y que se le retiró el acceso por problemas legales. Posteriormente, la reclamante recibió comunicación de APARELLS indicando la destrucción de sus datos, pese a haber reiterado su solicitud de acceso. APARELLS defendió que los datos de salud eran responsabilidad de la Dra., con quien mantenía un contrato de prestación de servicios de podología. Según APARELLS, el diagnóstico y encargo de plantillas databan de 2021, y los datos disponibles se facilitaron en 2023, recomendando al reclamante dirigirse a la Dra. para el resto de información. APARELLS aportó el contrato de servicios con la Dra., que incluía cláusulas de confidencialidad, propiedad de datos, devolución de información y obligación de integrar todos los pacientes en sus registros.

Analizado el supuesto, la AEPD entiende que APARELLS ofrece atención sanitaria integral, incluyendo estudios digitalizados del pie y confección de ortesis, no limitándose a la elaboración de plantillas según instrucciones de la Dra., por lo que actúa como responsable del tratamiento de los datos personales de sus pacientes, incluyendo datos de salud, conforme a los artículos 4.1, 4.2 y 4.7 del RGPD y el contrato suscrito con la Dra. En virtud del artículo 15 del RGPD, los pacientes tienen derecho a acceder a sus datos personales; APARELLS debía facilitar dicho derecho. Aunque remitió respuesta certificada a la solicitud de acceso, no incluyó la información médica, alegando que era propiedad de la Dra.

La normativa aplicable incluye el RGPD, la LOPDGDD y la legislación sobre derechos de los pacientes en materia de historia clínica: la Ley 41/2002 (LAP Estatal) y la Ley 16/2010 de Cataluña (LAP Catalana). La LAP Estatal define la historia clínica como el conjunto de documentos que contienen datos sobre la situación y evolución clínica del paciente, y establece el derecho de acceso, así como obligaciones de conservación de la documentación clínica durante al menos cinco años desde la finalización del proceso asistencial. La LAP Catalana coincide en el plazo mínimo de conservación, aplicable al estudio biomecánico que integra la historia clínica de la reclamante.

El artículo 5.1.f) RGPD, contempla entre otras cuestiones la integridad de los datos, obligando a que los datos personales se conserven con seguridad, evitando pérdida, destrucción o acceso no autorizado. En este caso, APARELLS indicó no disponer de la historia clínica, lo que implica una pérdida de disponibilidad y la ausencia de medidas adecuadas para garantizar la custodia durante los plazos legales. Por las evidencias disponibles, los hechos podrían ser constitutivos de infracción imputable a APARELLS por vulneración de la normativa sobre protección de datos personales y obligaciones de custodia y conservación de la historia clínica.

La reclamante intentó darse de alta como cotitular en la cuenta bancaria de su pareja en ING BANK N.V., sucursal en España (ING), y tras no poder realizar el trámite en línea, envió la documentación requerida físicamente siguiendo instrucciones de ING. La documentación, que incluía formulario de alta con datos personales de la reclamante y de su pareja y copia del DNI, fue recogida por AUTORADIO, actuando como subcontratista de SENDING, a su vez subcontratado por DYNAMIC, empresa contratada por ING para la gestión de la recogida documental. La documentación no llegó a ING, generando múltiples gestiones de seguimiento y reclamación ante las distintas empresas y la propia entidad, que finalmente confirmó el extravío. La reclamante presentó denuncia ante la Guardia Civil y aportó copia del formulario, etiquetas de envío, albaranes, seguimiento, correos de ING, expediente de reclamación ante la OMIC y atestado policial.

ING reconoció errores en la gestión de la mensajería, habiendo solicitado información a proveedor incorrecto, y precisó que DYNAMIC extravió la documentación probablemente por error humano puntual. ING y DYNAMIC suscribieron contrato de prestación de servicios vigente durante el periodo de los hechos, en el que ING, como responsable del tratamiento, encargaba a DYNAMIC la recogida de documentación y establecía requisitos para la subcontratación, permitiendo únicamente a un subencargado autorizado actuar sin intervención adicional. No obstante, DYNAMIC subcontrató a SENDING y SENDING a AUTORADIO sin autorización de ING, utilizando documentos previos al contrato marco que no identificaban al responsable ni respetaban el sistema de autorización previsto.

De acuerdo con el artículo 28 del RGPD, el encargado del tratamiento puede recurrir a subencargados únicamente con autorización previa y por escrito del responsable, imponiéndoles las mismas obligaciones de protección de datos. Las Directrices 07/2020 del CEPD definen al subencargado como aquel que trata datos personales por cuenta del encargado bajo instrucciones del responsable, manteniendo la centralidad de este último en la determinación de fines y medios. La normativa establece obligaciones directas para encargados y subencargados, incluyendo confidencialidad, medidas de seguridad, registro de actividades y notificación de violaciones de datos, así como formalización contractual conforme a los artículos 28.2, 28.3 y 28.4 del RGPD.

SENDING actuó como subencargado de ING a través de DYNAMIC y subcontrató a AUTORADIO sin contar con la autorización previa y por escrito del responsable, incumpliendo los artículos 28.2 y 28.4 del RGPD. La adenda presentada por SENDING, fechada antes del contrato marco entre ING y DYNAMIC, no identificaba al responsable, ni especificaba objeto, duración, interesados ni obligaciones equivalentes a las del contrato principal. La cadena de subencargos debía respetar los mismos estándares y obligaciones del contrato principal, asegurando la protección de los datos personales durante todo su ciclo de vida y la correcta identificación de roles entre responsable, encargado y subencargados. La actuación de SENDING y AUTORADIO se realizó sin autorización del responsable y con documentos contractuales insuficientes, incumpliendo los requisitos legales del artículo 28 del RGPD y comprometiendo la protección de los datos personales gestionados.

Con motivo de una denuncia presentada ante AEPD, se pone de manifiesto la posible falta de proporcionalidad del tratamiento de datos biométricos de los estudiantes de la Universitat Internacional Valenciana (UIV). Desde 2015, la UIV utiliza el software APLICACIÓN.1 y sus sucesivas versiones, desarrollado por EMPRESA.2 para la realización de exámenes online, basándose en reconocimiento facial, inteligencia artificial y decisiones automatizadas para verificar la identidad y monitorizar la conducta del alumnado. El sistema es obligatorio y no se ofrece alternativa, incluyendo desde 2020 monitorización del entorno mediante doble cámara según recomendaciones de ANECA. El funcionamiento implica aceptación de términos, registro inicial mediante captura de imagen y monitorización continua durante el examen, generando plantillas biométricas utilizadas para verificaciones 1:1 cada dos segundos. Aunque los datos no se almacenan, el tratamiento implica la creación y uso de patrones faciales de categoría especial. La UIV contrató modalidades con biometría descartando opciones de revisión humana sin datos biométricos, por considerarlas insuficientes ante ANECA. Desde enero de 2023, la monitorización biométrica es efectiva y obligatoria en todos los exámenes, sin alternativas equivalentes para los alumnos. La UIV aportó evaluaciones de impacto (EIPD) de septiembre de 2020 y actualizaciones en 2023 y 2024, reconocidas por riesgos altos, con planes de acción y análisis de bases jurídicas como consentimiento, contrato, interés legítimo e interés público. Las EIPD admiten un posible desequilibrio entre Universidad y alumno en la prestación del consentimiento. Se acreditan medidas de seguridad, auditorías y certificaciones, así como que la segunda cámara no implica tratamiento biométrico.

Respecto a la licitud, la UIV alegó que el tratamiento solo consistía en autenticación 1:1, no almacenaba plantillas, amparándose en el consentimiento y, subsidiariamente, interés público esencial. A sus alegaciones, la AEPD manifiesta que la finalidad de identificación unívoca convierte el tratamiento en datos de categoría especial; y la ausencia de almacenamiento no exime de la calificación jurídica. Además, el consentimiento no fue libre ni opcional, constituyendo requisito indispensable para matricularse, examinarse y continuar estudios, sin que existiera alternativa equiparable. Respecto al interés público alegado, el uso de biometría para el control de exámenes carece de habilitación legal en España, ni el RIA ni la legislación universitaria prevén el uso de biometría en evaluaciones ni delimitan su necesidad o garantías. No obstante, la AEPD imputó la culpabilidad a partir de la publicación de la Guía de Biométricos de la AEPD, pues en aplicación del principio de confianza legítima, no fue hasta noviembre de 2023 que la AEPD acogió el criterio contenido en el Dictamen 05/2022 de abril de 2023, en el que se entendía que la identificación 1:1 se incluía como datos biométricos, no siendo previsible hasta entonces que esta Agencia mantuviera el criterio contrario.

De otro lado, en relación con el Principio de Minimización de, se considera que el tratamiento no respetó el principio de minimización, al no limitarse a los datos estrictamente necesarios para el fin. UIV sostuvo que era necesario y proporcional para verificar la identidad y prevenir fraude, descartando alternativas menos intrusivas, como revisiones humanas, exámenes orales, evaluaciones a libro abierto, basándose en criterios de oportunidad y eficiencia, sin análisis exhaustivo de derechos. Y si bien el sistema era idóneo para alcanzar dicha finalidad, no era necesario ni proporcional: existían alternativas menos intrusivas, conocidas por UIV, que podían lograr los fines con eficacia. Además, la ponderación de beneficios y perjuicios fue sesgada, priorizando intereses institucionales sobre los derechos de los alumnos. La negligencia grave se evidenció en la implantación en 2015 sin EIPD previa, la tardía EIPD de 2020 y la continuidad del tratamiento pese a conocer alternativas menos intrusivas desde 2020.

A.A.A., en nombre propio y de la Fundación Éticas Data Society, presentó reclamación ante la AEPD contra AENA, S.M.E., S.A., por el sistema de reconocimiento facial implantado en el proyecto piloto del Aeropuerto Josep Tarradellas Barcelona-El Prat. La reclamación se basaba en que, tras ejercer el derecho de acceso, AENA informó de cuatro tratamientos de datos personales, incluyendo el proyecto piloto biométrico, destinado a mejorar la seguridad y eficiencia del tránsito y embarque mediante reconocimiento facial automatizado. La Fundación solicitó información pública sobre el proyecto, obteniendo el RAT, pero se le denegó la EIPD y consultas a la AEPD por razones de interés económico y secreto profesional. AENA indicó que el sistema facial valida la identidad comparando la imagen del pasajero con documentos oficiales y tarjeta de embarque, con finalidades de seguridad y mejora de la experiencia, de manera voluntaria y coexistiendo con métodos tradicionales. Aportó EIPD previas y posteriores, documentación sobre medidas de seguridad (cifrado AES256, desarrollo seguro) y señaló que datos de proyectos piloto anteriores fueron eliminados, aplicándose actualmente solo a pasajeros con consentimiento expreso. El Plan Estratégico 2022-2026 incluye un Programa de Reconocimiento Facial (PRF) con proyectos piloto en Menorca, Madrid-Barajas y Barcelona-El Prat, seguido de implantación gradual en ocho aeropuertos. Las EIPD y consultas previas se tramitaron entre 2019 y 2021, incorporando análisis de riesgo, necesidad, idoneidad y proporcionalidad, describiendo datos tratados (identificativos, biométricos y tarjeta de embarque) y finalidades de gestión del acceso, tránsito y embarque. El sistema operaba en cuatro pasos, incluyendo Self Bag Drop opcional. La base de datos biométrica es única, bajo responsabilidad de AENA, sin cesión a aerolíneas, con conservación limitada: biométricos del vuelo, 24 horas; identificativos, hasta dos años; tarjetas de embarque, 24 horas tras cierre de vuelo. Se aplicaron medidas de seguridad, protocolos HTTPS, procedimientos de incidencias y análisis de riesgos (69 riesgos en 2021, 816 páginas en 2023) con medidas de mitigación. Tras la paralización en junio de 2024, AENA bloqueó o suprimió los datos, manteniendo copias cifradas de los últimos tratamientos.

Amparó la licitud del tratamiento biométrico en el consentimiento expreso, libre, específico, informado e inequívoco, con posibilidad de métodos tradicionales, acreditado mediante política de privacidad, señalización en el aeropuerto y formularios específicos. Sin embargo, AENA no elaboró previamente una EIPD válida conforme a los artículos 35 y 36 del RGPD, pese a haber implantado proyectos piloto entre 2019 y 2022 y un piloto en El Prat finalizado en 2023. De otro lado, las consultas previas realizadas por AENA fueron contestadas por la AEPD señalando que las EIPD no cumplían los requisitos normativos y requerían análisis más completos. Las versiones aportadas carecían de firma y sello de tiempo, no describían sistemáticamente operaciones ni fines, ni incluían análisis adecuado de necesidad, proporcionalidad o riesgos para los derechos de los interesados, ni evaluaban el riesgo global residual tras medidas de mitigación. Los análisis presentados carecían de rigor metodológico, confundían riesgos residuales con inherentes, y las medidas previstas se limitaban a aspectos técnicos, sin abordar gobernanza, protección desde el diseño y por defecto ni gestión de brechas, contraviniendo los principios de responsabilidad proactiva del RGPD. El sistema de reconocimiento facial 1:N, con almacenamiento centralizado, presentaba riesgos superiores a métodos menos intrusivos sin medidas adecuadas de mitigación. Las EIPD no documentaban la necesidad ni proporcionalidad del tratamiento biométrico frente a alternativas menos intrusivas, ni ponderaban ventajas y desventajas frente a métodos tradicionales, centrando los argumentos en beneficios estratégicos y de eficiencia sin evaluar impactos sobre derechos fundamentales.

A raíz de diversas reclamaciones de clientes de XFERA MÓVILES, S.A.U, ante la AEPD se advierte de un incidente de seguridad que comprometieron datos personales, incluyendo nombre, DNI, dirección, número de teléfono, información bancaria y datos de servicios contratados. Los reclamantes informaron haber recibido correos electrónicos notificando que terceras personas accedieron sin autorización a sus datos, lo que dio lugar a intentos de phishing dirigidos, cargos desconocidos en facturas y riesgo de suplantación de identidad. Las capturas de pantalla aportadas y la documentación adicional confirmaron la afectación de múltiples líneas y cuentas, evidenciando exposición de información sensible y uso indebido potencial.

Previamente, XFERA notificó a la AEPD la quiebra de seguridad relacionada con el incidente, señalando que los datos no estaban cifrados ni anonimizados, y proporcionando información sobre el alcance de la brecha, el número aproximado de personas afectadas y las fechas de inicio, detección y resolución. La Agencia llevó a cabo actuaciones de investigación para recabar información sobre las medidas implementadas, la extensión del acceso no autorizado y los riesgos derivados.

Durante el procedimiento, XFERA alegó diligencia, indicando que detectó la actividad anómala mediante sus sistemas de monitorización interna, desactivó inmediatamente la cuenta implicada, trató el incidente como posible exfiltración de datos, notificó a la AEPD y a los clientes, y adoptó medidas correctivas y mejoras en sus políticas de seguridad. Además, XFERA cuestionó la aplicación de dos infracciones: la vulneración del artículo 5.1.f) por pérdida de confidencialidad y del artículo 32 por insuficiencia de medidas de seguridad, alegando que ambas sancionan la misma conducta y vulneran los principios de non bis in ídem y de especialidad.

La AEPD determinó que los artículos persiguen fines distintos: el 5.1.f) protege la confidencialidad e integridad de los datos personales, mientras que el 32 regula la adopción de medidas técnicas y organizativas de seguridad adecuadas al riesgo, siendo posible imputar infracciones independientes por cada artículo. Las medidas adoptadas por XFERA tras la brecha fueron obligatorias y reactivas, por lo que no pueden considerarse suficientes para acreditar la seguridad preventiva requerida por el RGPD.

Respecto a la confidencialidad, ha quedado acreditado que un tercero no autorizado accedió a los datos, lo que motivó la presentación por parte de los reclamantes, de distintas reclamaciones dirigidas a la AEPD, relacionadas con la brecha de datos personales, al haber sido víctimas de phishing y en algunos casos, con cargos desconocidos en la factura del teléfono.

De otro lado, la infracción del artículo 32 del RGPD viene determinada por la insuficiencia de las medidas técnicas y organizativas para garantizar un nivel de seguridad adecuado al riesgo, permitiendo un acceso no autorizado a datos personales sensibles, y que la exposición de la información provocó la presentación de reclamaciones por parte de los clientes, debido a phishing y cargos desconocidos en facturas, evidenciando la afectación de derechos y libertades de las personas físicas. Las medidas reactivas posteriores no compensan la insuficiencia preventiva, ya que no se implementaron controles proactivos adecuados para mitigar riesgos derivados de fallos en autenticación, monitorización y protección de