Protección de Datos amonesta a la Xunta por un convenio con el que dio a una cadena de supermercados la información de gallegos adheridos a un carné familiar

La Agencia Española de Protección de Datos (AEPD) concluye que la Xunta ha infringido el reglamento europeo de tratamiento de datos personales por el convenio a través del cual ha dado acceso a la cadena de supermercados Gadis a la información de las familias que están adheridas a un carné público, denominado carné familiar. Con esos detalles, la empresa envió descuentos a estos ciudadanos. Eso llevó a que apareciesen en prensa noticias sobre la cesión de estos datos y a que el caso fue denunciado ante la AEPD.

La conclusión de la Agencia es que hay una vulneración del artículo 26 del citado reglamento. Ese punto habla de los corresponsables del tratamiento de los datos y señala que, cuando hay dos o más responsables, deben determinar sus responsabilidades respectivas en el cumplimiento de las normas, en particular en lo que se refiere al ejercicio de los derechos de los interesados y sus obligaciones [las de los corresponsables] de suministrarles información. Ese acuerdo debe reflejar “las funciones y relaciones respectivas” en relación con los interesados, a los que se debe dar acceso a los “aspectos esenciales del acuerdo”. El convenio firmado entre la Xunta y Gadisa, razona la AEPD considera que la primera es la responsable del tratamiento y la segunda, la encargada del mismo, cuando en realidad deben considerarse corresponsables.

La resolución argumenta que, al considerarse corresponsables, ese convenio no cumple lo que se le exige al acuerdo entre las partes en estos casos. El texto indica que no se cuestiona la finalidad del tratamiento de los datos, sino el incumplimiento de estas obligaciones impuestas por el reglamento europeo para los corresponsables, que pasan por documentar la relación entre los dos corresponsables y poner a disposición de los afectados por el tratamiento los aspectos esenciales de dicha relación.

Como consecuencia de esta infracción, la autoridad ordena a la Consellería de Política Social que adopte un acuerdo como el que recoge el reglamento y a que lo acredite en un plazo de seis meses desde que la resolución sea firme. La Xunta puede recurrir la decisión, tanto con un recurso de reposición ante la Presidencia de la AEPD como por la vía contencioso-administrativa en la Audiencia Nacional. La Consellería ha replicado a esta redacción que lo que la Agencia ve es “un defecto formal en el convenio de colaboración y solicita su actualización técnica”, pero “sin cuestionar el fondo del programa ni su objetivo social”. El propósito, afirma el departamento, es “beneficiar a las familias numerosas de Galicia, que emplean voluntariamente el carné familiar en una cadena de supermercados gallega”.

Este diario publicó en 2021 que Gadisa tenía acceso a los datos de los gallegos adheridos al carné familiar que gestiona la Consellería de Política Social. Se trata de una tarjeta que no supone coste alguno para la administración gallega y funciona desde 2001 como un gran carné público de descuentos al que se pueden acoger las familias que ya cuentan con el reconocimiento de familia numerosa. Las condiciones para solicitar ese reconocimiento obligaban a la cesión de los datos a dos empresas. Posteriormente, el diario Público, informó de que, en plena precampaña de las elecciones autonómicas de 2024, los datos obtenidos por esta vía se estaban usando para enviar descuentos a estas personas. Es de esta última información que parte la denuncia sobre la que ahora se pronuncia la Agencia de Protección de Datos.