AEPD Resolves GDPR Breach: 492 Individuals' Data Published

1/12  Expediente N.º: EXP202414050 RESOLUCIÓN DE PROCEDIMIENT O SANCIONADOR Del procedimiento instruido por la Ag encia Española de Protección de Datos y en base a los siguientes ANTECEDENTES PRIMERO: Con fecha 23 de agosto de 2024, A.A.A. (en adelante, la parte reclamante) interpuso reclamación ante la Agencia Española de Protección de Datos por una posible infracción imputable a la CONSEJERÍA DE HACIENDA Y ADMINISTRACIÓN PÚBLICA DE LA JUNT A DE EXTREMADURA con NIF S061 10 01I (en adelante, la parte reclamada o la Consejería). Los motivos en que se basa la reclamación son los siguientes: La parte reclamante manifiesta que sus datos personales (nombre, apellidos y DNI completo) han sido publicados por la Consejería de Hacienda y Admini stración Pública de la Junta de Extremadura en su página web ***URL.1. Los datos controvertidos han sido publicados en el seno de un procedimiento selectivo convocado por la parte reclamada para la cobertura de puestos de trabajo de personal laboral, grupo I V, cat egoría encargada de mozo de almacén y figuran publicados en el mencionando sitio web en una lista de cuatrocientos noventa y dos aspirantes que, tras haber superado la fase de oposición del mencionado proceso selectivo, conforman la bolsa definitiva de trabajo. Según afirma el reclamante, dichos datos se encuentran publicados desde septiembre de 2019, pudiendo ser utilizados para realizar fraudes y suplantaciones. El reclamante refiere que en el citado sitio web no sólo han sido publicados sus datos personales sin su consentimiento, sino también los de muchas otras personas. Junto a la reclamación aporta: - Captura de pantalla con el recorte de la publicación de los datos personales de carácter identificativo (nombre, apellidos y DNI completo) de varias personas en la plataforma Scribd (biblioteca digital de archivos). - Captura de pantalla de aviso de Google que muestra dos r esultados de búsqueda respecto a la indicación de un número de DNI (el sitio web de la Junta de Extremadura (Juntaex.es) y de la plataforma Scribd), en los que se habrían publicado los datos controvertidos. SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

2/12 adelante LOPDGDD), se dio traslado de dicha reclamación a la Consejería de Hacienda y Administración Pública, para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos. La notificación del traslado de la reclamación, que se practicó conforme a las normas establecidas en l a Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LP ACAP), fue realizada en fecha 24/10/2024 como consta en el acuse de recibo que obra en el expediente. Cabe indicar que no se ha recibido en esta Agencia escrito de respuesta de la Consejería de Hacienda y Administración Pública. TERCERO: Con fecha 23 de noviembre de 2024, de conformidad con el artículo 65 de la LOPDGDD, se admitió a trámite la reclamación. CUAR TO: Con fecha 3 de febrero de 2025 la Presidencia de la Agencia Española de Protección de Datos acordó inicia r procedimiento sancionador a la part e reclamada, con arreglo a lo dispuesto en los artículos 63 y 64 de la Ley 39/2015, de 1 de oct ubre, del Procedimien to Administrativo Común de las Administraciones Públi cas (en adelante, LP ACAP), por la presunta infracción del Artículo 5.1.c) del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), tipificada en el Artículo 83.5.a) del RGPD. QUINT O: Notificado el citado acuerdo de inicio conforme a las normas establecidas en la Ley 39 /2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LP ACAP), la part e reclamada presentó escrito de alegaciones que se analizan en el Fundamento de Derecho III de la presente resolución. SEXT O: Con fecha 22 de diciembre de 2025 se dictó propuesta de resolución en la que se proponía que por la Presidencia de la Agencia Española de Protección de Datos se declare que CONSEJERÍA DE HACIENDA Y ADMINISTRACIÓN PÚBLICA DE LA JUNT A DE EXTREMADURA, con NIF S061 1001I, ha infringido lo dispuesto en el Artículo 5.1.c) del RGPD, tipificada en el Artículo 83.5.a) del RGPD. Dicha propuesta de resolución fue notificada con fecha 6 de enero de 2026 de acuerdo con la LP AC y tal y como consta en el expediente. T ranscurrido el plazo otorgado al efecto, no consta la presentación de alegaciones a la misma. De las actuaciones practicadas en el presente procedimiento y de la documentación obrante en el expediente, han quedado acreditados los siguientes: HECHOS PROBADOS PRIMERO: Los datos personales (nombre, apellidos y DNI completo) del reclamante han sido publicados en el ámbito de un procedimiento selectivo para la cobertura de puestos de trabajo de personal laboral, grupo IV, categoría encargada de mozo de C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

3/12 almacén por la Consejería de Hacienda y Administración Pública de la Junta de Extremadura, en su página web ***URL.1. SEGUNDO: Con fecha 22 de diciembre de 2025 se comprueba que la citada página web ya no está disponible. FUNDAMENT OS DE DERECHO I Competencia De acuerdo con los poderes que el artículo 58.2 de l Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada autoridad de control y según lo establecido en los ar tículos 47, 48.1, 64.2 y 68.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), es competente para resolver este procedimiento la Presidencia de la Agencia Española de Protección de Datos. Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarr ollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos." II Cuestiones previas El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, establece las norm as relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos. La Co nsejería de Haci enda y Administración Públ ica, como cua lquier otra entidad pública, está obligada al cumplimiento del reglamento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de est os datos -RGPD-, y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales -LOPDGDD- con respecto a los tratamientos de datos de carácter personal que realicen, entendiendo por «dato de carácter personal», “toda información sobre una persona física identificada o identificable”, conforme a lo establecido en el artículo 4.1 del RGPD. A tenor del precepto mencionado en el párrafo anterior, se considera «persona física identificable» aquella “cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un id entificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

4/12 propios de la identidad física, f isiológica, genética, psíquica, económica, cultural o social de dicha persona”. Asimismo, de conformidad con el artículo 4.2 del RGPD, debe entenderse por “«tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, ut ilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”. T eniendo en cuenta lo anterior, y de acuerdo con lo establecido en los artículos 4. 1 y 4.2 del RGPD, consta la realización de un tratamiento de datos personales, toda vez que la Consejería de H acienda y Administración Pública real iza, entre otros tratamientos, la recogida, registro, conservación y difusión de datos personales de personas físicas (nombre, apellidos y DNI completo). En el caso que nos ocupa y de forma concreta, la Consejería de Hacienda y Administración Pública ha efectuado un tratamiento de datos personales, a través de la publicación, en su página web, y en abierto, del listado de aspirantes que, t ras haber superado la fase de oposición en el seno del proceso selectivo, forman parte de la bolsa definitiva de trabajo, revelando en el mismo datos personales de carácter identificativo (nombre, apellidos y DNI completo) de cuatrocientos noventa y dos aspirantes que conforman dicho listado. Conforme a lo expue sto con anterioridad, se ded uce que la actividad de la part e reclamada est á relacionada con el tratamiento de datos personales, quedando ésta, por tanto, sujeta a la normativa de protección de datos. La parte reclamada realiza esta actividad en su condición de responsable del tratamiento, dado que es quien determina los f ines y medios de tal actividad, en virtud del artículo 4.7 del RGPD que dispone que, a efectos del presente Reglamento se entenderá por «responsa ble del tratamiento» o «responsable» a “ la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con o t ros, determine los fines y medios del t ratamiento; si el Derecho de la Unió n o de los Estados miembros determina los fines y medios del t ratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros.” Por lo tanto, en el caso particular examinado y de acuerdo con lo expuesto anteriormente, es la Consejería de Hacienda y Administración Pública, la responsable del tratamiento de los datos personales que efectúa, de acuerdo con lo indicado en el citado artículo 4.7 del RGPD. IIl Alegaciones al acuerdo de inicio En respuesta a las alegaciones presentadas por la entidad reclamada se debe señalar lo siguiente: C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

5/12 1. Afirma la CONSEJERÍA que no dio respuesta a la reclamación trasladada por entender que se trataba de un error, ya que en la reclamación no se identificaba más que una relación de personas publicada en una web ajena a esa Administración, en la que no aparecían los datos del reclamante que sí figuran en el acuerdo de inicio, lo que, a su juicio: “pone de manifiesto las carencias en la información tr asladada y pone a esta Administración en una situación de indefensión por ca recer de la información que ahora se recoge en el Acuerdo de inicio de sancionador ”. Afirma asimismo que dicha falta de información en el traslado de la reclamación impedía el análisis del tratamiento del que se trata y también la retirada de la publicación de la web, haciendo posible la inadmisión de la reclamación. Informa, por último, que en fecha 06/03/2025 esta Administración ha procedi do a eliminar la lista de la publicación referida de la página web. Al respecto cabe contestar, en primer lugar, que al traslado de la reclamación no se recibió respuesta de la CONSEJERÍA, ni siquiera informando del supuesto error que entendía se había cometido. En segundo lugar, si bien es cierto que en el traslado no se remitieron a la CONSEJERÍA los datos del reclamante, sí se le aportó información sobre e l tratamiento. En concreto, se le indicó que los datos del reclamante (nombre, apellidos y DNI completo) figuraban publicados en su página web, la fecha desde la que estaban publicados y un extracto del listado publicado con datos de diferentes personas. La localización de dicha información en la web de la CONSEJERÍA solo precisaba de la introducción de alguno de esos datos en un buscador para obtener como resultado la publicación en la web de la CONSEJERÍA. Por ot ro lado, los datos de ese listado de personas se corresponden con un proceso gestionado por la CONSEJERÍA, por lo que no cabe aceptar el argumento de que no era posible identificar el tratamiento al que se refería la reclamación. En cualquier caso, al margen de lo anterior, cabe recordar que el trasl ado de la reclamación no es parte del procedimiento sancionador, sino un t rámite no pr eceptivo, como establece el artículo 65.4 de la LOPDGDD señala que esta Agencia “ podrá ” remitir la reclamación al responsable o a su delegado de protección de datos antes de la admisión o inadmisión a trámite de esta. En ese sentido, no cabe hablar de indefensión, ya que se trata de un trámite no preceptivo y previo al inicio de este procedimiento sancionador. 2.Sobre los “ FUNDAMENT OS DE DERECHO” indicados en el Acuerdo de I nicio de Procedimiento Sancionador afirma la CONSEJERIA lo siguiente en relación con los Fundamentos «IV Obligación incumplida. Minimización de datos: ar t ículo 5.1.c) del RGPD: “Esta CONSEJERIA tiene implantados los controles necesarios en cuanto a la publicación y acceso a las listas de espera, exclusivamente a t ravés del apartado Mi espacio del portal web, opción Mi empleo público ”. Al respecto cabe cont estar que el conjunto de datos personales publicado en el sitio web contiene identificadores directos (nombre, apellido y número de DNI completo), lo C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

6/12 que permite que se identifique o que pueda identificarse a las personas físicas que en él figuran. De est a manera se deduce la exposición de datos de carácter personal no sólo del reclamante, sino también del conjunto de aspirantes que f iguran en el listado publicado, quedando finalmente afectados por esta exposición de datos de carácter personal un total de cuatrocientas noventa y dos personas. De est a manera, al no habe r aplicado el principio de minimización de datos en la publicación, la misma ha tenido como consecuencia el conocimiento de los dat os de carácter personal de casi 500 personas, incluido el reclamante. De conformidad con lo expuesto anteriormente, se desprende que el tratamiento de los datos personales efect uado por la parte reclamada no ha sido realizado conforme a la legislación en materia de protección de datos, en concreto, conforme al RGPD, dado que mediante la publicación en abierto de los datos cont rovertidos se deduce la no aplicación efectiva de los princi pios de protección de datos i ndicados en el ci tado Reglamento, en particular, el p r incipio de “minimización de datos” que propugna el artículo 5.1 c) del RGPD. IV Obligación incumplida. Minimización de datos El artículo 5.1.c) del RGPD, “Principios relativos al tratamiento”, señala lo siguiente: "1. Los datos personales serán: (…) c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);" En el caso examinado en este expediente sancionador, la parte reclamada, en el seno de un procedi miento selectivo convocado por la misma para la cobertura de puestos de tr abajo de personal laboral, habría procedido a la publicación en abierto, a través de su página web, (***URL.1), de un listado formado por cuatrocientas noventa y dos personas que han superado la fase de oposición y que, por tanto, pasan a configurar la lista de aspirantes de la bolsa def initiva de trabajo, figurando en el menci onado listado los datos personales de car ácter identificativo (nombre, apellidos y DNI completos) de todos ellos. El conjunto de datos personales publicado en el sitio w eb contiene identificadores directos (nombre, apellido y número de DNI completo), lo que permite que se identifique o que pueda identificarse a las personas físicas que en él figuran. De conformidad con lo expuesto anteriormente, se desprende que el tratamiento de los datos personales efect uado por la parte reclamada no ha sido realizado conforme a la legislación en materia de protección de datos, en concreto, conforme al RGPD, dado que mediante la publicación en abierto de los datos cont rovertidos se deduce la no aplicación efectiva de los princi pios de protección de datos i ndicados en el ci tado C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

7/12 Reglamento, en particular, el p r incipio de “minimización de datos” que propugna el artículo 5.1 c) del RGPD. En relación con esta cuestión, resulta necesario destacar que el principio de publicidad y transparencia de los procesos selectivos no excluye la aplicación de los principios de protección de datos que recoge el artículo 5 del RGPD. A este respecto cabe citar el inform e del Gabinete Jurídico de la A EPD 0002/2022 que analiza cuál ha sido el criterio de la AEPD con ocasión de conjugar los principios de publicidad y transparencia en el acceso a la función pública y el derecho a la protección de datos: “Dicho lo anterior pr ocede analizar cuál ha sido el criterio de esta Agencia con ocasión de conjugar los principios de publicidad y transparencia en el acceso a la función pública y el derecho a la protección de datos. Resolución R/2593/2017 de f echa 29/09/2017 recaída en el procedimiento de declaración de Infracción AP 2_2017 en el que se denuncia la publicación en abierto a través de internet, en un proceso selectivo, de las listas de admitidos y excluidos y de los listados con las calificaciones provisionales, y de la posibilidad de descargar el correspondiente documento PDF, dónde se indica lo siguiente: En cuanto al objeto de la materia propiamente denunciada, una vez publicada la convocatoria y recibidas las solicitudes de participación en la misma, comenzaría el proceso de concurrencia compet itiva, que como dice la palabra, debe predicarse de y para todos los integrantes del grupo que aspiran a superar las pruebas convocadas, que compiten en méritos y en capacidad unos contr a otros. Una vez publicada la convocatoria y las bases, los trámites siguientes van a af ectar a un círculo específ ico y cualificado. La exposición de datos dentro de dicho círculo es adecuada, proporcionada y obedece a sus finalidades. Estas finalidades son las de los a f ectados por el proced imiento, para por ejemplo impugnar los actos que consideren son ar bitrarios o lesionen sus intereses, así como para computar plazos de subsanaciones y/o reclamaciones. Pret ender que debe prevalecer la transparencia y publicidad por el hecho de que el acceso a los datos de los admitidos/excluidos provisionales o de los calificados provisionalmente se da con carácter general y en concreto en este caso, carece de justificación y excede por mucho de la finalidad propia del tratamiento de datos de los af ectados. Por consiguiente, el resto del público, los que no se someten a dichas pruebas, carecen de una base legitima para que puedan acceder a los datos de apellidos y nombre junto al NIF de cada aspirante o a sus calificaciones. Ello no es proporcionado con la finalidad del pr oceso, y no af ecta a la transparencia, pues terceros que no se van a examinar, no concurren. Ese acceso por cualquier persona a los datos resulta invasivo, y es contrario al principio de minimización y calidad de datos en el tratamiento de los mismos (artículo 4.1 de la LOPD). Así, terceros ajenos al procedimiento no deben tener acceso desde el princi pio a documentos o datos de la tramitación en el que no ostentan ninguna posición jurídica definida. La lista provisional de admitidos y excluidos provisionales es un acto referente a la tramitación interna del proceso selectivo. El derecho de un no participante C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

8/12 en el procedimiento puede, en su caso, promoverse caso a caso, como derecho de acceso con reglas de acceso especificas relacionadas con la Ley de T ransparencia (…) Sería menos intrusivo y más acorde con lo previsto con la norm ativa de protección de datos que su publicación afectara y pudiera ser visualizada solo por los que concurren, no al público en general”. En este mismo sentido cabe citar lo señalado en la Resolución R/1600/2018 r ecaída en el Procedimiento de Declaración de Infracción AP _45/2018, dictada por la presente autoridad, en la que en términos simi lares se es t ima adecuado acceder a dichos listados mediante previa identificación circunscrita a los participantes. “En conclusión, como puede observarse el criterio de esta Agenci a ha sido que de acuerdo con el principio de proporcionalidad previsto en el artículo 4 de la hoy derogada LOPD, se est ablecieran medidas que impi dieran qu e t erceros ajenos a los procedi mientos en cuestión pudieran acceder a la información personal de los participantes.” (el subrayado es nuestro). Asimismo, se añade que el principio de responsabilidad proactiva (artículo 5.2 del RGPD), impone a los responsables y encargados del tratamiento el deber de tener en cuenta la protección de datos desde el diseño y por defecto, lo que conlleva la obligación de analizar el riesgo para los derechos y libertades de los participantes que supone la aplicación del principio de transparencia. No consta que la parte reclamada, con carácter previo a dicha publicación, hubiera realizado un análisis de los posibles riesgos para los derechos y libertades del reclamante. T ampoco que ponderase, a la vista de las circunstancias que concurrían en el caso particular, cómo conjugar adecuadamente la publicidad y t ransparencia con el respeto del derecho fundamental a la protección de datos del reclamante. T eniendo en cuenta dichos fundamentos, en el presente caso, la publicación abierta y sin restricciones del listado de aspirantes que han superado la fase de oposición, que incluye identificadores personales directos como el nombre, apellidos y número de DNI completo, vulnera de forma manifiesta el principio de minimización de datos recogido en el artículo 5.1.c) del RGPD. La publicación se dirigió al público en general, a pesar de que en su gran mayoría eran terceros ajenos al proceso selectivo, lo cual carece de justificación en relación con las finalidades del procedimiento selectivo. Si bien los principios de transparencia y publicidad resultan esenciales en este t ipo de procesos selectivos, la publicación en abierto del listado de los aspirantes, incluyendo su número de DNI, resulta desproporcionada e innecesaria. Por otro lado, la publicación en Internet de estos datos identificativos al acceso del público en general y sin anonimi zar expone a los aspirantes a riesgos adicionales, como tratamientos ulteriores ilícitos, que podrían comprometer sus derechos y libertades fundamentales. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

9/12 Por tanto, se considera que los hechos conocidos son const itutivos de una infracción, imputable a la CONSEJERÍA DE HACIENDA Y ADMINISTRACIÓN PÚBLICA, por vulneración del artículo 5.1 c) del RGPD transcrito anteriormente. V T ipificación de la infracción del artículo 5.1.c) del RGPD y calificación a efectos de prescripción De confirmarse, la citada infracción del artículo 5.1 c) del RGPD podría suponer la comisión de las infracciones tipificad as en el artículo 83.5 del RGPD que baj o la rúbrica “Condiciones generales para la imposición de multas administrativas” dispone: “5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como m áximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía: a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9;” Por su parte, la LOPDGDD en su artículo 71, “Infracciones”, señala que: “Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley orgánica”. A efectos del plazo de prescripción de las infracciones, la infracción señalada en el párrafo ant erior se considera muy gr ave conf orme el artículo 72.1 de la LOPDGDD, que indica lo siguiente: "En f unción de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran m uy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos m encionados en aquel y, en particular, las siguientes: a) El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679”. VI Declaración de infracción El artículo 83 “Condiciones generales para la imposición de multas administrativas” del RGPD, en su apartado 7, establece: “Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado m iembro podrá establecer normas C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

10/12 sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro.” Asimismo, el artículo 77 “Régimen apl icable a determinadas categorías de responsables o encargados del tratamiento” de la LOPDGDD dispone lo siguiente: “1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados: a) Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos. b) Los órganos jurisdiccionales. c) La Administración General del Es tado, las Administraciones de las comunidades autónomas y las entidades que integran la Admi nistración Local. d) Los organismos públicos y ent idades de Derecho público vinculadas o dependientes de las Administraciones Públicas. e) Las autoridades administrativas independientes. f) El Banco de España. g) Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público. h) Las fundaciones del sector público. i) Las Universidades Públicas. j) Los consorcios. k) Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales. 2. Cuando los r esponsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de est a ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución declarando la infracción y estableciendo, en su caso, las medidas que proceda adoptar para que cese la conducta o se corr ijan los efectos de la infracción que se hubiese cometido, con excepción de la prevista en el artículo 58.2.i del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016. La resolución se notificará al responsable o encargado del tratam iento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

1 1 /12 3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaci ones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación. Asimismo, cuando las infracciones sean imputables a autor idades y directivos, y se acredi te la existencia de informes técnicos o recomendaci ones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín O ficial del Estado o autonómico que corresponda. 4. S e deberán comunicar a la autoridad de protección de d atos l as resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores. 5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades aut ónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo. 6. Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta publicará en su página web con la debida separación las resoluciones referidas a las en tidades del apartado 1 de este artículo, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción. Cuando la competencia corresponda a una autoridad autonómica de protección de datos se estará, en cuanto a la publicidad de estas resoluciones, a lo que disponga su normativa específica.” Este precepto establece que los procedimientos que tengan causa en infracciones en materia de protección de datos personales cometidas por las categorías de responsables o encargados del tratamiento enumerados en su apartado 1 se resolverán, en todo caso, declarando la infracción. Así, al conf irmarse la citada i nfracción, corresponde dictar resol ución declarando la infracción de la CONSEJERÍA por la infracción del artículo 5.1 c) del RGPD, tipificada en el artículo 83.5 a) del RGPD. Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones cuya existencia ha quedado acreditada, la Presidencia de la Agencia Española de Protección de Datos RESUEL VE: PRIMERO: DECLARAR que la CONSEJERÍA DE H ACIENDA Y ADMINISTRACIÓN PÚBLICA D E LA JUNT A DE EXTREMADUR A, con NIF S061 1001I, ha infr ingido lo dispuesto en el Artículo 5. 1.c) del RGPD, infracción tipificada en el Artículo 83.5.a) del RGPD. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

12/12 SEGUNDO: NOTIFICAR la presente resolución a la CONSEJERÍA DE HACIENDA Y ADMINISTRACIÓN PÚBLICA DE LA JUNT A DE EXTREMADURA. TERCERO: COMUNICAR la presente resoluci ón al Defensor del Pueblo, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD. CUAR TO: Esta resolución será ejecutiva una vez finalice el plazo para interponer el recurso potestativo de reposición (un mes a contar desde el día siguiente a la notificación de esta resolución) sin que el interesado haya hecho uso de esta facultad. De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública. La publicación se realizará una vez la resolución sea firme en vía administrativa. Contra est a resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acue rdo con lo establecido en el artículo 123 de la LP ACA P, los interesados po drán interponer, potestativamente, r ecurso de reposición an te la Presidencia de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/ 1998, de 13 de juli o, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley. Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LP ACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Ag encia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [https://sedeaepd.gob.es/sede- electronica- web/], o a través de alguno de los restant es registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. T ambién deberá trasladar a la Agencia la documentación q ue acredite la interposición efectiva del recurso contencioso- administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el dí a siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar. 938-101025 Lorenzo Cotino Hueso Presidente de la Agencia Española de Protección de Datos C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es