Se reclama por un docente de un instituto de ESO que sus datos sobre vacunación del Covid fueron publicados en el tablón de anuncios de la sala de profesores de su centro educativo, constando en el documento el nombre, apellidos y DNI de los docentes que no acudieron a vacunarse en la fecha en la que se les ofreció.

La Consejería de Educación alega, entre otros motivos, que se estaba ante una situación de emergencia nacional, la AEPD la rechaza, declarando que, aunque en una situación de emergencia, la aplicación de la normativa de protección de datos personales permite adoptar al responsable del tratamiento aquellas decisiones que sean necesarias para salvaguardar los intereses vitales de las personas físicas, el cumplimiento de obligaciones legales o la salvaguardia de intereses esenciales en el ámbito de la salud pública.

Lo anterior debe hacerse siempre dentro del respecto a las obligaciones impuestas a los responsables del tratamiento de datos en relación con las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, así como los principios que deben presidir los tratamientos de datos personales.

Y en el presente caso, la publicación en los tablones de anuncios de las salas de profesores de los centros educativos, listados de los docentes que no acudieron a vacunarse, sin anonimizar sus datos personales, no garantiza la confidencialidad, integridad y disponibilidad de los sistemas y servicios del tratamiento ni la finalidad del tratamiento, vulnerándose las obligaciones impuestas a los responsables, así como los principios de los tratamientos de datos.

Dicha publicación supuso la exposición de datos de salud, que podría haberse evitado mediante comunicación de forma individualizada y privada.

Añade la Agencia que los datos de vacunación fueron remitidos, únicamente a las Gerencias de Área correspondientes al objeto de organizar su llamamiento para la vacunación y que disponer de ellos para organizar los llamamientos para la vacunación, en ningún caso, justifica la publicación en el tablón de anuncios de la sala de profesores del centro educativo del listado de los profesores que no acudieron a vacunarse, dispuestos a la vista de todos los docentes y empleados del centro.

En consecuencia, la Consejería de Educación no ha respetado el principio de confidencialidad, puesto que, en vez de realizar el llamamiento para la vacunación y su comunicación de forma individualizada y privada, expuso indiscriminadamente datos de salud, categorizados como categorías especiales de datos personales cualquiera que sea la finalidad de su tratamiento, en el tablón de anuncios de la sala de profesores.

Por otra parte, considera la AEPD que hay una total ausencia de medidas de seguridad, pues en el presente caso, en el momento de producirse la brecha de seguridad, no consta que la Consejería dispusiese de medidas razonables en función de los posibles riesgos estimados.

Desde la Consejería de Educación, como responsable, se deberían haber dado instrucciones precisas del tratamiento de dichos datos, con la finalidad de organizar nuevos llamamientos a la vacunación, de forma individualizada y privada, respetando los principios de finalidad, proporcionalidad y confidencialidad de los datos de salud proporcionados.

Por tanto, la Agencia sanciona a la Consejería con un apercibimiento por infracción de los arts. 5.1 f) y 32 RGPD.

Resolución AEPD 10 de mayo de 2023 PS-00498-2022