Apuntes Mayo 2023
El cumplimiento de los principios en materia de
protección de datos por las administraciones
locales
Los principios generales de la protección de datos
son el conjunto de reglas que determinan cómo han
de recogerse, tratar y ceder los datos de carácter
personal p o r p a r t e d e l o s r e s p o n s a b l e s d e
protección de datos personales. Es decir, se trata de
principios o reglas en materia de protección de datos
personales que toda administración debe tener
presentes si quiere cumplir con el régimen jurídico
vigente.
L a regulación de estos principios la encontramos
r e c o g i d a t a n t o e n l a n o r m a t i v a e u r o p e a,
concretamente en el Capítulo II del Reglamento (UE)
2016/679 del Parlamento Europeo y del Consejo, de
27 de abril de 2016, relativo a la protección de las
personas físicas en lo que respecta al tratamiento de
datos personales y a la libre circulación de estos
datos y por el que se deroga la Directiva 95/46/CE
(en adelante, Reglamento UE 2016/679), en especial
en su artículo 5 el cual recoge todos los citados
principios, como en la normativa española de
protección de datos, específicamente en el Título II de
la Ley Orgánica 3/2018, de 5 de diciembre de
Protección de Datos y garantía de los derechos
digitales (en adelante, LO 3/2018).
1
ADMINISTRACIÓN ELECTRÓNICA
A través de este estudio examinaremos cada uno de
estos principios para su aplicación por parte de la
administración local y profundizaremos con algunos
pronunciamientos sobre ellos de la Agencia Española
de Protección de Datos (en adelante, AEPD), ya que
esta autoridad de control emite resoluciones con
asiduidad a causa del incumplimiento de estos
principios, tanto por entidades públicas como
privadas.
1. El principio de licitud,
lealtad y transparencia
De conformidad con el artículo 5.1 a) del Reglamento
UE 2016/679: «Los datos personales serán tratados
de manera lícita, leal y transparente en relación con el
interesado («licitud, lealtad y transparencia)». Por
tanto, este principio consiste en que los datos deben
ser tratados por parte del responsable del
tratamiento de manera lícita, leal y transparente para
el interesado.
De este principio se desprenden tres rasgos que debe
cumplir todo tratamiento de datos.
En primer lugar, el tratamiento debe ser lícito.
■ APUNTES MAYO 2023
La licitud del tratamiento está expresamente
r e g u l a d a e n e l artículo 6 del Reglamento UE
2016/679, el cual determina que el tratamiento solo
será lícito si se cumple al menos una de las
condiciones que el mismo dispone.
Estas condiciones, por tanto, serán la base jurídica
del tratamiento de datos y están recogidas en el
apartado primero del citado artículo:
«El tratamiento solo será lícito si se cumple al
menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el
tratamiento de sus datos personales para
uno o varios fines específicos;
b) el tratamiento es necesario para la
ejecución de un contrato en el que el
interesado es parte o para la aplicación a
petición de este de medidas
precontractuales;
c) el tratamiento es necesario para el
cumplimiento de una obligación legal
aplicable al responsable del tratamiento;
d) el tratamiento es necesario para proteger
intereses vitales del interesado o de otra
persona física;
e) el tratamiento es necesario para el
cumplimiento de una misión realizada en
interés público o en el ejercicio de poderes
públicos conferidos al responsable del
tratamiento;
El cumplimiento de los principios en materia de protección de datos por las
administraciones locales
f) el tratamiento es necesario para la
satisfacción de intereses legítimos
perseguidos por el responsable del
tratamiento o por un tercero, siempre que
sobre dichos intereses no prevalezcan los
intereses o los derechos y libertades
fundamentales del interesado que requieran
la protección de datos personales, en
particular cuando el interesado sea un niño.
Lo dispuesto en la letra f) del párrafo primero
no será de aplicación al tratamiento realizado
por las autoridades públicas en el ejercicio de
sus funciones».
En idénticos términos se pronuncia la LO 3/2018 en
sus artículos 6 y 8 sobre la base de tratamiento de
los datos personales.
De esta manera, será aplicable a las
administraciones públicas como responsables del
tratamiento y consulta de los datos de los
interesados, el tratamiento de éstos por aplicación
del consentimiento (apartado a del artículo 6 del
Reglamento), el cumplimiento de una obligación legal
o para el cumplimiento de una misión realizada en
interés públicos o en el ejercicio de poderes públicos
conferidas a estas administraciones (apartados c y e
del citado artículo).
Si bien, en relación con la base jurídica del
tratamiento por parte de las administraciones
públicas, tras las numerosas consultas recibidas, la
AEPD en febrero de 2020, publicó un documento que
contiene las orientaciones para la aplicación de estas
disposiciones de la LOPDGDD y la cesión de datos
entre administraciones públicas.
2
■ APUNTES MAYO 2023
Mediante dicho informe se confirma que la base del
tratamiento y consulta de los datos de los
interesados por las administraciones públicas, salvo
que la propia normativa exija un consentimiento
expreso, será interés legal o interés público. Este
interés legal o público tendrá su base legal, la cual
justificará el tratamiento y cesión de los datos.
En segundo lugar, el tratamiento debe ser leal, es
decir, los datos personales deben siempre recogerse
por parte de los responsables del tratamiento a
través de medios legítimos, es decir, no se pueden
utilizar ni engaños ni medios fraudulentos ni
métodos desleales que puedan provocar una
discriminación injusta. Por tanto, en aras de cumplir
con el principio de lealtad del tratamiento de datos
personales, la forma en la que las administraciones
locales recogen los datos de los interesados debe ser
leal, debiendo respetar la normativa de protección de
datos personales.
En tercer lugar, el tratamiento de datos personales
d e b e s e r transparente. P a r a f a c i l i t a r e s t a
transparencia la normativa ofrece al interesado el
derecho de información y el de acceso, ambos deben
cumplirse por la administración local.
Por un lado, el derecho de información consiste en el
derecho del interesado a ser informado acerca del
tratamiento de datos personales por parte del
responsable. Y por el otro lado, el derecho de acceso
es aquel que tiene el interesado de dirigirse al
responsable para saber si se están tratando o no sus
datos personales y, en caso de que así sea, obtener
información detallada sobre el mismo. La
administración local cumplirá con el principio de
transparencia favoreciendo a los interesados en el
cumplimiento de los derechos de información y de
acceso a sus datos personales.
El cumplimiento de los principios en materia de protección de datos por las
administraciones locales
Respecto al cumplimiento de este principio
reconocido en el apartado primero del artículo 5 del
Reglamento UE 2016/679 la AEPD se ha
pronunciado en diversas ocasiones.
1. Resolución de la Agencia de Protección de Datos
del 13 de enero de 2021, Núm. PS/00070/2020
Mediante esta Resolución la AEPD se pronuncia
acerca de la publicación por parte de un Alcalde de
una sentencia referida a un empleado municipal y
demás circunstancias asociadas al asunto con
numerosos datos personales. En este caso, se
exonera la responsabilidad del Ayuntamiento porque
la publicación se dio en el perfil personal del
responsable de la corporación y no en el de la propia
corporación. Si bien, por parte de este se incumple el
principio de licitud, lealtad y transparencia por haber
publicado dichos datos personales. Explícitamente,
la AEPD indica que:
«El uso de los datos del reclamante en
FACEBOOK es un uso que no ha sido
consentido por su titular, y no se acredita
base legitima en el tratamiento de dichos
datos e n r e l a c i ó n c o n l a r e s p u e s t a a l
comentario del reclamante que el reclamado
debería haber ofrecido».
Por tanto, la AEPD impone al Alcalde una sanción de
apercibimiento por infracción del artículo 5.1 a) del
Reglamento UE 2016/679 produciéndose un
incumplimiento del principio de licitud, lealtad y
transparencia, ya que no solamente no se acredita
base legitimadora en incumplimiento del principio de
licitud sino que también son publicados
determinados datos sin ejercitar de forma correcta el
principio de transparencia de los datos.
3
■ APUNTES MAYO 2023
2. Resolución de la Agencia de Protección de Datos
del 28 de junio de 2022, Núm. PS-00313-2021
En este pronunciamiento, la AEPD se pronuncia
concretamente sobre la vertiente de la licitud de este
principio (artículo 6 del Reglamento UE 2016/679).
Este asunto se trata de una reclamación planteada
por los padres de una menor que ha sido grabada
durante los partidos en los que juega sin que exista
base jurídica que legitime el tratamiento de estos
datos personales. La menor juega en un equipo a
cargo de una empresa si bien, los partidos y por
tanto las grabaciones se celebran en instalaciones
municipales. El Ayuntamiento informa de que en
ningún momento se ha suscrito ningún tipo de
acuerdo o convenio con el reclamante para la
grabación, desvinculándose así de cualquier tipo de
responsabilidad. Por lo que, el tratamiento de datos
es realizado sin base jurídica por parte de la citada
empresa, incumpliendo, por tanto, el principio de
licitud en sentido escrito:
«Para que el tratamiento de los datos
personales del reclamante efectuado por el
reclamado pudiera fundarse en la base
jurídica contemplada en el artículo 6.1.f)
RGPD debería cumplir los presupuestos que
integran esa disposición.
El cumplimiento de los principios en materia de protección de datos por las
administraciones locales
Cabe concluir que el tratamiento de datos
concernientes al reclaman- te efectuado por
el reclamado con ocasión de la grabación de
los partidos de competición en los que
participa la hija del reclamante carece de
legitimidad para ello y que atendidas las
circunstancias que concurren en la titular de
los datos y el contexto en el que la grabación
tiene lugar, se considera prevalente, su
derecho a la privacidad frente a los legítimos
intereses del reclamado. En consecuencia, la
conducta del reclamado supone la
vulneración del artículo 5.1 del RGPD, al tratar
los datos personales sin que existiera base
legitimadora alguna que habilitara el citado
tratamiento».
Como consecuencia de ello, la AEPD impone la
correspondiente multa a la citada empresa por
incumplimiento del principio de licitud del tratamiento
de datos personales.
2. El principio de limitación de
la finalidad
El cumplimiento del principio de limitación de la
finalidad implica, por una parte, la obligación de que
los datos sean tratados con una o varias
finalidades determinadas, explícitas y legítimas y,
por otra, que se prohíbe que los datos recogidos con
unos fines determinados, explícitos y legítimos sean
tratados posteriormente de una manera
incompatible con esos fines.Por tanto, los fines por
los que son tratados los datos personales son tres:
● Determinados: d e b e n d e e s t a r c l a r a m e n t e
definidos, no bastando una causa genérica como:
«Para mejorar su experiencia como usuario».
4
■ APUNTES MAYO 2023 El cumplimiento de los principios en materia de protección de datos por las
administraciones locales

● Explícitos: deben estar expresados de una forma Tras una resolución previa que requería al
clara. Ayuntamiento del cumplimiento de estos principios y
● Legítimos: d e b e n e s t a r p e r m i t i d o s p o r e l dado que no se remitió respuesta alguna al
ordenamiento jurídico. reclamante, la AEPD se vuelve a pronunciar sobre
este asunto:
Este principio está reconocido en el artículo 5.1 b) del
Reglamento UE 2016/679:
«De conformidad con las evidencias de las
que se dispone, se considera que los hechos
«Los datos personales serán recogidos con
denunciados, es decir, remitir la dirección de
fines determinados, explícitos y legítimos, y
correo electrónico y el DNI del reclamante sin
no serán tratados ulteriormente de manera
utilizar la opción CCO para efectuar el envío,
incompatible con dichos fines; de acuerdo
supone la vulneración de los principios de
con el artículo 89, apartado 1, el tratamiento
«limitación de la finalidad» e «integridad y
ulterior de los datos personales con fines de
confidencialidad» regulados en el art. 5.1 b) y
archivo en interés público, fines de
f) del RGPD, así como la responsabilidad
investigación científica e histórica o fines
proactiva del responsable del tratamiento de
estadísticos no se considerará incompatible
demostrar su cumplimiento».
con los fines iniciales («limitación de la
finalidad»)»
De esta manera, la AEPD impone una sanción de
apercibimiento al Ayuntamiento y le requiere de
De conformidad con esta regulación, los datos no
nuevo para que actúe de conformidad con los
deben ser tratados posteriormente de manera
principios de «limitación de la finalidad» e «integridad
incompatible con dichos fines, salvo por fines de
y confidencialidad» del art. 5.1 b) y f) de Reglamento
archivo en interés público, fines de investigación
UE 2016/679.
científica e histórica o fines estadísticos.

En relación con este principio, la AEPD también se ha 3. El principio de

pronunciado recientemente. Un ejemplo de ellos lo
encontramos en la siguiente Resolución:
minimización de datos
El principio de minimización de datos consiste en
Resolución de la Agencia de Protección de Datos d aplicar medidas técnicas y organizativas para
el 4 de agosto de 2022, Núm. PS-00120-2022 garantizar que sean objeto de tratamiento
únicamente los datos que sean precisos para cada
En este caso, la AEPD se pronuncia acerca del
u n o d e l o s f i n e s específicos del tratamiento,
incumplimiento por parte de un Ayuntamiento tanto
reduciendo la extensión del tratamiento y limitando a
del principio de limitación de la finalidad como el de
lo necesario el plazo de conservación y su
integridad y confidencialidad por haber remitido la
accesibilidad.
dirección de correo electrónico y el DNI del
reclamante sin utilizar la opción de copia oculta
(CCO) para efectuar el envío.

5
■ APUNTES MAYO 2023
Este principio está regulado en el apartado c) del
artículo 5.1 del precitado Reglamento al regular los
principios relativos al tratamiento de los datos,
indicando que:
«Los datos personales serán:
c) adecuados, pertinentes y limitados a lo necesario
en relación con los fines para los que son tratados
(«minimización de datos»)».
Según este principio de minimización de datos, los
datos personales deben poseer tres características:
● Adecuados: d e b e n a p o r t a r i n f o r m a c i ó n
relacionada con la finalidad por la que son
tratados.
● Pertinentes: deben ser imprescindibles para los
fines del tratamiento. No lo serán si pueden
prescindirse de ellos.
● Limitados a lo necesario: no debe den de tratarse
de datos excesivos.
El cumplimiento de los principios en materia de protección de datos por las
administraciones locales
Por tanto, en aplicación de este principio de
minimización de datos, sólo deben tratarse datos
personales cuando sea necesario para las
finalidades pretendidas y, aún en este caso, sólo
deben tratarse los datos absolutamente
imprescindibles para ese fin, no más. Es por ello por
lo que la aplicación del principio de minimización
implica por parte del Ayuntamiento un análisis
objetivo y racional del tratamiento de datos
personales.
La autoridad española de control del tratamiento de
datos personales también se ha pronunciado acerca
de este principio:
1. Resolución de la Agencia de Protección de Datos
del 9 de marzo de 2021, Núm. PS/00174/2020
En este pronunciamiento, la AEPD se pronuncia
acerca de la falta de cumplimiento de la normativa de
protección de datos en un proceso de participación
ciudadana llevado a cabo por un Ayuntamiento.
Dentro de las actuaciones que se consideran
incumplidas se encuentra el principio de
minimización de datos ya que al comunicar al
departamento correspondiente las alegaciones no
sería necesario que se incluyan todos los datos
personales de las personas que acompañaba cada
una a sus alegaciones; nombre y apellidos, DNI,
dirección de correo electrónico, ya que no resultan
imprescindibles, no son relevantes, adecuados, ni
necesarios para la finalidad para lo que se necesitan
las alegaciones.
6
■ APUNTES MAYO 2023
La citada Resolución indica lo siguiente:
«Sin obviar las competencias que persigue el
CR, no se hace necesario que conozca los
datos personales de las personas que
acompañaba cada una a sus alegaciones;
nombre y apellidos, DNI, dirección de correo
e l e c t r ó n i c o , y a q u e no resultan
imprescindibles, no son relevantes,
adecuados, ni necesarios para la finalidad
para lo que se necesitan las alegaciones. El
hecho de conocer los datos personales no
ayuda a conseguir la finalidad por la que
existe el CR y ejerce sus funciones. Además,
no se garantiza el derecho de esas personas
al trasladarse esos datos a través de un
soporte como memorias USB, cada una un
soporte, no encriptado y susceptible de
copiarse fácilmente y por tanto con salida de
los datos fuera de la órbita del responsable
del tratamiento con consecuencias
indeterminadas para sus titulares. Se acredita
así, la comisión de la citada infracción
imputada».
De esta manera, se le impone al Ayuntamiento una
sanción de apercibimiento por incumplimiento, entre
otras cuestiones, del principio de minimización de
datos personales (artículo 5.1 del Reglamento UE
2016/679).
2. Resolución de la Agencia de Protección de Datos
del 28 de septiembre de 2022, Núm. PD-00057-202
2 vecinos, y desde luego en ningún caso deben
Esta otra Resolución versa sobre una reclamación
p l a n t e a d a a n t e l a A E P D a c a u s a d e q u e un
Ayuntamiento ha publicado un acta plenaria con
datos personales en su página web.
El cumplimiento de los principios en materia de protección de datos por las
administraciones locales
Entre los fundamentos de derecho encontramos la
necesidad de la aplicación del principio de
minimización de datos a la hora del tratamiento y
publicación de datos por parte del Ayuntamiento. En
aplicación de este principio, a la hora de publicar las
actas de las sesiones plenarias, solo serán
publicados los datos personales necesarios e
imprescindibles para el fin pretendido:
«Los principios básicos de protección de
datos vinculan la minimización de datos,
adecuación y necesidad del tratamiento con
l a f i n a l i d a d e n e l a r t í c u l o 5 . 1 c ); N o
concretando cual deba ser ese resumen que
puede ser publicado de las sesiones
plenarias, y no haciendo referencia expresa a
la publicidad de las actas de la Junta de
Gobierno Local, no hay mandato legal para
que dicho resumen deba ofrecer el mismo
contenido que para las actas previene el
artículo 109, y tampoco por lo tanto, la parte
dispositiva de los acuerdos que se adopten, y
por otra, el núcleo esencial del derecho de
información de los vecinos queda intacto en
cuanto los mismos siempre e
independientemente de la publicación de
dicho resumen, pueden ejercer directamente
el derecho de información. El “resumen” al
que hace referencia dicho precepto aconseja
eliminar del mismo aquellos datos de carácter
personal que no sean adecuados, pertinentes
y resulten excesivos con la finalidad de
ofrecer una información “genérica” a los
contener datos de carácter personal
sensibles. Este deber de minimización se
concreta en la disposición adicional séptima
de la LOPDGDD».
7
■ APUNTES MAYO 2023
En definitiva, la publicación de las actas de las
sesiones plenarias debe realizarse previa aplicación
del principio de minimización de datos regulado en la
normativa de protección de datos, cumpliendo las
reglas de ponderación previstas en la normativa de
transparencia, y de acuerdo con los criterios y
doctrina emanada de la AEPD, sin que sea preciso
recoger en la publicación de las actas la literalidad y
el detalle de las deliberaciones.
4. El principio de exactitud
El principio de exactitud obliga a los responsables a
disponer de medidas razonables para que los datos
se encuentren actualizados, se supriman o
modifiquen sin dilación cuando sean inexactos con
respecto a los fines para los que se tratan y fueron
recabados. Es decir, el principio de exactitud se basa
en que los datos sean exactos y estén actualizados,
debiendo en caso contrario adoptar todas las
medidas razonables para que se supriman o
rectifiquen sin dilación ya sea por iniciativa del
responsable o por consecuencia del ejercicio de
rectificación por parte del interesado.
Este principio está regulado de una forma expresa
t a n t o e n e l artículo 5.1 d) del Reglamento
UE 2016/679 como en el artículo 4 de la LO 3/2018.
El artículo 5.1 d) del citado Reglamento establece
que:
«los datos personales serán exactos y, si
fuera necesario, actualizados; se adoptarán
todas las medidas razonables para que se
supriman o rectifiquen sin dilación los datos
personales que sean inexactos con respecto
a los fines para los que se tratan
(«exactitud»)».
El cumplimiento de los principios en materia de protección de datos por las
administraciones locales
En aras de completar la regulación de este principio,
el artículo 4 de la LO 3/2018 hace una remisión al
citado Reglamento y añade un segundo párrafo
incluyendo la inimputabilidad del responsable del
tratamiento de datos en caso de inexactitud de
datos siempre y cuando este haya adoptado todas
las medidas razonables para que se supriman o
rectifiquen sin dilación y siempre que se cumplieran
tres condiciones:
«a) Hubiesen sido obtenidos por el
responsable directamente del afectado.
b) Hubiesen sido obtenidos por el
responsable de un mediador o intermediario
en caso de que las normas aplicables al
sector de actividad al que pertenezca el
responsable del tratamiento establecieran la
posibilidad de intervención de un
intermediario o mediador que recoja en
nombre propio los datos de los afectados
para su transmisión al responsable. El
mediador o intermediario asumirá las
responsabilidades que pudieran derivarse en
el supuesto de comunicación al responsable
de datos que no se correspondan con los
facilitados por el afectado.
c) Fuesen sometidos a tratamiento por el
responsable por haberlos recibido de otro
responsable en virtud del ejercicio por el
afectado del derecho a la portabilidad
conforme al artículo 20 del Reglamento (UE)
2016/679 y lo previsto en esta ley orgánica.
d) Fuesen obtenidos de un registro público
por el responsable».
8
■ APUNTES MAYO 2023 El cumplimiento de los principios en materia de protección de datos por las
administraciones locales

Este principio de exactitud también ha sido analizado

«En el presente caso, el reclamado ha
por la AEPD en ocasiones como la siguiente:
vulnerado la normativa en materia de
protección de datos de carácter personal
Resolución de la Agencia de Protección de Datos d
tanto del principio de exactitud de los datos
el 3 de mayo de 2022, Núm. PS/00473/2021
como del principio de seguridad de los

Este caso se trata de una reclamación planteada mismos. De conformidad con las evidencias

contra una Consejería de Sanidad por haber utilizado de las que se dispone, dicha conducta

de manera inexacta los datos personales de un constituye por la parte reclamada infracción a

paciente, que considera suplantada su identidad. lo dispuesto en los artículos 5.1.d) y 32.1 del
RGPD».
En los fundamentos de derecho de la precitada
Resolución se analizan los principios que han de regir
el tratamiento de los datos personales y menciona
entre ellos el principio de exactitud:

«De la documentación obrante en el

expediente se evidencia que el reclamado ha
vulnerado el artículo 5.1.d), principio de
exactitud, en relación con el artículo 5 de la
LOPGDD, Exactitud de los datos, al confundir
en su identificación los datos de carácter
personal del reclamante con los de un tercero
con el mismo nombre y apellidos sin haber
comprobado el DNI o pasaporte como marca
el protocolo».

De esta manera, la AEPD concluye que s e h a

infringido el principio de exactitud de los datos,
imponiendo a la Consejería una sanción de
apercibimiento por incumplimiento tanto de este
principio de exactitud como el de seguridad de los
datos personales.

9
■ APUNTES MAYO 2023
5. El principio de limitación
del plazo de conservación
Este principio consiste en el mantenimiento de los
datos personales de forma que permitan la
identificación del interesado durante el tiempo
necesario para los fines del tratamiento. Por tanto,
la conservación de esos datos debe limitarse en el
tiempo al logro de los fines que persigue el
tratamiento. Una vez que esas finalidades se han
alcanzado, los datos deben ser borrados,
bloqueados o, en su defecto, anonimizados, es decir,
desprovistos de todo elemento que permita
identificar a los interesados. Este principio está
regulado en el apartado e) del artículo 5.1 del
Reglamento UE 2016/679, el cual indica que:
«Los datos personales serán mantenidos de
forma que se permita la identificación de los
interesados durante no más tiempo del
necesario para los fines del tratamiento de
los datos personales; los datos personales
podrán conservarse durante períodos más
largos siempre que se traten exclusivamente
con fines de archivo en interés público, fines
de investigación científica o histórica o fines
estadísticos, de conformidad con el artículo
89, apartado 1, sin perjuicio de la aplicación
de las medidas técnicas y organizativas
apropiadas que impone el presente
Reglamento a fin de proteger los derechos y
libertades del interesado («limitación del
plazo de conservación»);»
De esta manera, el responsable del tratamiento debe
garantizar la conservación de los datos personales y
la identificación de los interesados únicamente
durante los fines del tratamiento.
10
El cumplimiento de los principios en materia de protección de datos por las
administraciones locales
Únicamente podrán conservarse durante periodos
más largos con los siguientes fines: de archivo en
interés público, fines de investigación científica o
histórica o fines estadísticos.
Esta conservación debe cumplirse por todo
responsable del tratamiento, sin perjuicio de seguir
aplicando las medidas técnicas y organizativas
apropiadas a fin de proteger los derechos y
libertades del interesado.
Un ejemplo de aplicación de este principio por parte
de la autoridad española de control de protección de
datos lo encontramos en el siguiente Informe.
Informe de la Agencia de Protección de Datos del 2
9 de marzo de 2022, Núm. 0002/2022
A través de este Informe, la AEPD se analiza la
cuestión de si la condición de discapacidad en un
proceso selectivo debe ser privada, sin que se
publiciten los citados datos personales o deben ser
públicos en aplicación del principio de transparencia.
Entre los fundamentos jurídicos la AEPD aboga por el
cumplimiento de los principios de protección de
datos e indica que resolviendo la cuestión mediante
la publicación de un código y las iniciales de los
nombres y apellidos de cada participante y el DNI en
los términos de la Disposición Adicional Séptima de la
LO 3/2018.
Entre las cuestiones que se estudian en el citado
Informe se encuentra el cumplimiento de los
diferentes principios de protección de datos, entre
los que se incluye, como hemos visto, el principio de
limitación del plazo de conservación.
■ APUNTES MAYO 2023
En relación con este principio la AEPD indica lo
siguiente:
«En cuanto al plazo durante el que deben
estar accesibles dichos listados, de acuerdo
con el articulo 5.1 e) RGPD sobre limitación
del plazo de conservación, d e b e r á n s e r
accesibles mientras sirvan a la finalidad a la
que sirven, así, por ejemplo, la lista de
admitidos y excluidos se deberá eliminar del
sitio web en tanto venzan los plazos sobre su
impugnación, o las listas sobre la calificación
de un ejercicio concreto, mientras no haya
precluido el trámite para su impugnación».
Por tanto, a la hora de analizar la publicación de los
datos personales de los participantes de los
procesos selectivos es necesario tener en cuenta la
aplicación del principio de limitación del plazo de
conservación debiendo ser eliminados por parte
del responsable del tratamiento de datos en el
momento en el que se cumpla la finalidad por la
que se están tratando.
11
El cumplimiento de los principios en materia de protección de datos por las
administraciones locales
En la citada resolución también se indica que la
Autoridad Catalana de Protección de Datos también
aplicó este criterio en el Procedimiento Sancionador
PS 18/2020 y hace una remisión de los fundamentos
jurídicos de la misma en lo relativo a la aplicación del
principio de limitación del plazo de conservación:
«Atendiendo pues a la finalidad de la
publicación de los listados detallados a los
hechos probados, vinculados a procesos de
selección de personal -lista provisional y
definitiva de personas admitidas,
calificaciones de las diferentes pruebas, etc.-,
estos se tendrían que haber mantenido
durante el tiempo necesario para la
formulación de las correspondientes
alegaciones o recursos, de forma que
finalizado este plazo ya no tendrían que
haber estado accesibles.
Este es el criterio de esta Autoridad recogido
en el informe de ”Auditoría 1/2018, sobre los
portales de la transparencia”, donde se
afirma, en cuanto al tiempo de publicación de
los diferentes actas dictados en el seno de un
proceso selectivo, que:
En conformidad con el principio de limitación
del plazo de conservación de los datos, la
exposición de las listas de admitidos y los
resultados de las pruebas sucesivas se tienen
que limitar en el periodo en que se puedan
formular alegaciones o recursos; por lo tanto,
se tienen que retirar una vez transcurrida
este plazo»
■ APUNTES MAYO 2023
6. El principio de integridad y
confidencialidad: seguridad
Este principio impone a quienes tratan datos, por
tanto, los responsables del tratamiento, al necesario
análisis de riesgos orientado a determinar las
medidas técnicas y organizativas necesarias para
garantizar la integridad, la disponibilidad y la
confidencialidad de los datos personales que traten,
es decir que el tratamiento de datos cumpla con los
estándares de seguridad. El tratamiento de datos
debe ser íntegro y confidencial, por lo que las
medidas tendentes a garantizar este principio deben
estar basadas en dos requisitos:
● Integridad: deben ser medidas que garanticen la
inalterabilidad de los datos almacenados.
● Confidencialidad: d e b e n d e s e r m e d i d a s q u e
impidan acceso no autorizados.
E s t á r e g u l a d o t a m b i é n e n el artículo 5.1 del
Reglamento UE 2016/679, concretamente en el
apartado f), el cual determina lo siguiente:
«Los datos personales serán tratados de tal
manera que se garantice una seguridad
adecuada de los datos personales, incluida la
protección contra el tratamiento no
autorizado o ilícito y contra su pérdida,
destrucción o daño accidental, mediante la
aplicación de medidas técnicas u
organizativas apropiadas («integridad y
confidencialidad»).»
A mayor abundamiento, la seguridad en materia de
protección de datos, como manifestación principal
de este principio también la encontramos en los
artículos 32, 33 y 34 del Reglamento.
12
El cumplimiento de los principios en materia de protección de datos por las
administraciones locales
Además, la LO 3/2018 también ha incluido en el
Título referido a los principios del tratamiento el
deber de confidencialidad en materia de protección
de datos, concretamente en su artículo 5, cuyo tenor
literal es el siguiente:
«1. Los responsables y encargados del
tratamiento de datos, así como todas las
personas que intervengan en cualquier fase
de este estarán sujetas al deber de
confidencialidad al que se refiere el artículo
5.1.f) del Reglamento (UE) 2016/679.
2. La obligación general señalada en el
apartado anterior será complementaria de los
deberes de secreto profesional de
conformidad con su normativa aplicable.
3. Las obligaciones establecidas en los
apartados anteriores se mantendrán aun
cuando hubiese finalizado la relación del
obligado con el responsable o encargado del
tratamiento».
Por tanto, los responsables del tratamiento de
datos deben cumplir en todo caso con este
principio de confidencialidad, i n c l u s o c u a n d o
hubiere finalizado la relación jurídica por la que se da
el precitado tratamiento de datos. Este principio ha
sido muy analizado por la AEPD, debido a los
numerosos incumplimientos del mismo. En este caso
vamos a analizar dos supuestos de vulneración de
este principio por entidades locales.
1. Resolución de la Agencia de Protección de Datos
del 3 de febrero de 2023, Núm. PS-00028-2022
Este es el primer ejemplo de aplicación del principio
de integridad y seguridad por la AEPD.
■ APUNTES MAYO 2023
En el presente caso, un Ayuntamiento, con el objetivo
de poner a disposición la resolución de la
convocatoria de una sesión plenaria, publica por
error un documento Excel con datos personales,
provocando una brecha de seguridad
manifiesta la falta de medidas técnicas y
organizativas apropiadas del Ayuntamiento para
garantizar el nivel de seguridad necesario. La AEPD
acredita que se ha producido el acceso a dichos
datos personales por su publicación por parte del
Ayuntamiento, vulnerando el principio de
confidencialidad:
«En el presente caso, queda acreditado que
se ha producido un acceso no autorizado a
los datos personales de los integrantes del
archivo tipo Excel que se puso en sede
electrónica, al que tuvo acceso el reclamante
y que se mantuvo en el navegador,
vulnerándose el principio de confidencialidad.
La AEPD verifica que al menos, a 1/12/2021,
es todavía posible el acceso al contenido
tecleando la dirección electrónica en el
navegador».
De conformidad con la AEPD, el Ayuntamiento ante la
falta de las medidas de seguridad oportunas vulnera
lo dispuesto en la normativa de protección de datos
en relación con el principio de integridad,
confidencialidad y seguridad, r e g u l a d o e n l o s
artículos 5.1 f) y 32 del Reglamento (UE) 2016/679.
2. Resolución de la Agencia de Protección de Datos
del 28 de septiembre de 2022, Núm. PD-00057-202
2
Esta Resolución, además del principio de
minimización también hace un análisis del estudio
del principio de integridad y confidencialidad.
El cumplimiento de los principios en materia de protección de datos por las
administraciones locales
Siendo competente la AEPD en este asunto, entre los
fundamentos de derecho que alude encontramos
tanto la normativa de régimen local como la de
protección de datos, haciendo constar la necesidad
que de aplicación del principio integridad,
confidencialidad y seguridad del tratamiento y
publicación de datos por parte de precitado
Ayuntamiento. De esta manera, la AEPD hace
referencia a la necesidad de garantizar una
seguridad adecuada de los datos personales en
cumplimiento de lo dispuesto en el artículo 5.1 f) del
Reglamento y las medidas de seguridad dispuestas
en el artículo 32 del mismo cuerpo legal.
En el presente caso, al haberse incumplido estos
principios, la AEPD apercibe al Ayuntamiento para
que adopte las medidas de seguridad adecuadas y
cumpla con el principio de minimización de datos a la
hora de publicar actas de sesiones del pleno:
«Asimismo, procede imponer la medida
correctiva descrita en el artículo 58.2.d) del
RGPD y ordenar a la parte reclamada que, en
el plazo de un mes, establezca las medidas de
seguridad adecuadas para que se adecúen
los tratamientos a las exigencias
contempladas en los artículos 5.1 f) y 32 del
RGPD, i m p i d i e n d o q u e s e p r o d u z c a n
situaciones similares en el futuro»
13
■ APUNTES MAYO 2023 El cumplimiento de los principios en materia de protección de datos por las
administraciones locales

Es por ello por lo que, la LO 3/2018 también dedica el

7. El principio de
Capítulo I de su Título V a describir las medidas de
responsabilidad proactiva o responsabilidad activa. Estas se tratan de las
demostrada obligaciones en materia de protección de datos tanto
del responsable como del encargado del tratamiento
El principio de responsabilidad proactiva o
de los datos personales.
responsabilidad demostrada consiste en la
obligación de los responsables del tratamiento de
De esta manera, el responsable del tratamiento
los datos de mantener la diligencia debida de
debe cumplir con los principios en materia de
manera permanente demostrando y garantizando
protección de datos y ser capaz de demostrarlo,
en cumplimiento de la normativa de protección de
mostrando una responsabilidad activa durante todo
datos en sus tratamientos según los riesgos que
el tratamiento de los datos personales de cualquier
estos pudieran generar, debiendo aplicar las medidas
interesado.
técnicas y organizativas apropiadas.

Por tanto, en aplicación de este principio no basta

Este principio está recogido en el apartado segundo
del artículo 5 del Reglamento UE 2016/679, el cual
indica que:
«El responsable del tratamiento será
responsable del cumplimiento de lo
dispuesto en el apartado 1 y capaz de
demostrarlo («responsabilidad proactiva»).
Además, la LO 3/2018 destaca en su Exposición de
Motivos la importancia de este principio:
con que el responsable cumpla la normativa en
materia de protección de datos (principio de
responsabilidad activa), sino que incluye la
demostración de dicho cumplimiento (principio de
responsabilidad demostrada).
La AEPD se ha pronunciado recientemente sobre
este principio en un Informe de enero de este año por
el que se analiza el código de conducta como uno de
los instrumentos para garantizar el cumplimiento de
este principio.

«Es preciso tener en cuenta que la mayor Informe de la Agencia de Protección de Datos del 2
0 de enero de 2023, Núm. 2022-0032
novedad que presenta el Reglamento (UE)
2016/679 es la evolución de un modelo
A través de este Informe, la AEPD hace una
basado, fundamentalmente, en el control del
valoración de los códigos de conducta previstos en la
cumplimiento a otro que descansa en el
normativa de protección de datos como mecanismo
principio de responsabilidad activa, lo que
de autorregulación tendente a facilitar el
exige una previa valoración por el
cumplimiento de la normativa de protección de
responsable o por el encargado del
datos, vinculado por tanto con el principio de
tratamiento del riesgo que pudiera generar el
responsabilidad proactiva, ya que el mismo también
tratamiento de los datos personales para, a
se trata de cumplir esta normativa de una manera
partir de dicha valoración, adoptar las
diligente.
medidas que procedan»

14
■ APUNTES MAYO 2023 El cumplimiento de los principios en materia de protección de datos por las
administraciones locales

Los códigos de conducta están regulados en la normativa de protección de datos, concretamente en el artículo
40 del Reglamento y en el artículo 38 de la LO 3/2018. Asimismo, han sido analizados por la AEPD poniéndolo en
relación directa con el cumplimiento de responsabilidad proactiva. Concretamente, y en relación con este
principio el Gabinete Jurídico de la AEPD indica que:

«La necesidad de que los códigos de conducta tengan un contenido obligatorio deriva, asimismo, del
propio RGPD y de la importante función que atribuye a los mismos respecto del cumplimiento del principio
de responsabilidad proactiva. Por consiguiente, este Gabinete Jurídico considera que, en el momento en
que se proceda a la aprobación de un nuevo código de conducta o a la adaptación de un código tipo ya
inscrito, dada la importancia adquirida por los códigos de conducta como consecuencia de la introducción
del principio de responsabilidad proactiva, se debe ser especialmente riguroso en cuanto al contenido del
mismo, que debe aportar un “auténtico valor añadido” en los términos anteriormente señalados, así como
en la valoración de la suficiencia de las garantías adecuadas necesarias para su aprobación».

Se revela, por tanto, la importancia de creación o adhesión a un código de conducta de los responsables de
protección de datos en aras de cumplir con la normativa de protección de datos y con el principio de
responsabilidad proactiva.

Como puede observarse, este es un ejemplo muy relevante de la importancia del principio de responsabilidad
activa o responsabilidad demostrada.

Este principio de responsabilidad se basa en un principio de autoanálisis, crítico y continuo. Además, la

responsabilidad proactiva también se basa en el compromiso que debe de tener todo responsable de adquirir
una actitud proactiva, comprometida y responsable.

En definitiva, este último principio abarca todos los principios anteriores, ya que obliga a los responsables a
mantener la diligencia debida de manera permanente cumpliendo y demostrando el cumplimiento tanto de los
principios del tratamiento de datos personales analizados en este estudio como de la normativa de protección de
datos en general en aras de proteger y garantizar los derechos y libertades de las personas físicas cuyos datos
son tratados.

15