Jordi Vegueria Ocáriz, abogado en LEXITER Abogados
Abogado derecho administrativo online
La comunicación indebida de datos personales a terceros no es una mera incorrección administrativa ni un simple fallo interno de organización. En nuestro ordenamiento se conecta directamente con el derecho fundamental a la protección de datos del artículo 18.4 de la Constitución, que, según la doctrina del Tribunal Constitucional, reconoce a la persona un verdadero poder de control sobre sus datos, su uso y su destino. Ese derecho no protege solo datos íntimos en sentido estricto, sino cualquier dato personal cuyo tratamiento o cesión pueda producir un perjuicio o una pérdida de control sobre la información del afectado.
Desde la óptica del Reglamento (UE) 2016/679, la licitud del tratamiento exige una base jurídica válida y el respeto a principios esenciales como la licitud, lealtad y transparencia, la limitación de la finalidad, la minimización de datos y la integridad y confidencialidad. Esto significa que no basta con que una entidad “disponga” de datos personales: también debe justificar por qué los comunica, a quién, con qué alcance y bajo qué cobertura normativa. Cuando los datos se facilitan a un tercero sin base legitimadora suficiente, o se comunican más datos de los necesarios, puede existir una infracción del artículo 5.1 y del artículo 6 RGPD; y, si además se trata de datos especialmente protegidos, el control jurídico es todavía más estricto conforme al artículo 9 RGPD.
En la práctica, este problema aparece con mucha frecuencia en supuestos aparentemente cotidianos: envío de documentación al destinatario equivocado, revelación de información personal a familiares, vecinos o terceros sin autorización, notificaciones dirigidas a domicilios donde ya no reside el afectado, incorporación innecesaria de datos en comunicaciones visibles para terceros o cesiones internas y externas mal diseñadas. La propia AEPD ha tratado casos de este tipo y ha recordado que la comunicación de datos debe sujetarse no solo a una base de legitimación, sino también al principio de minimización y al deber de confidencialidad. Cuando una organización permite que terceros accedan a datos estrictamente personales sin necesidad ni cobertura bastante, el problema no se agota en el error material: revela una posible deficiencia organizativa y de cumplimiento.
A ello se suma el principio de responsabilidad proactiva. El RGPD no exige únicamente reaccionar cuando ya se ha producido la incidencia, sino acreditar que se habían implantado medidas técnicas y organizativas adecuadas para evitarla. Los artículos 5.2, 24 y 32 RGPD obligan al responsable del tratamiento a poder demostrar el cumplimiento y a garantizar un nivel de seguridad adecuado al riesgo. Por eso, cuando se produce una comunicación indebida de datos, la cuestión jurídica no es solo si existió cesión inconsentida, sino también si el responsable había establecido protocolos razonables de verificación, acceso, envío, custodia y confidencialidad.
Desde el punto de vista de la persona afectada, la primera reacción útil suele ser dejar constancia fehaciente de lo ocurrido. Conviene identificar qué datos se han facilitado, a quién, en qué contexto y qué prueba existe de ello: correos electrónicos, capturas, documentos recibidos por tercero, mensajes, escritos, sobres, registros de envío o cualquier comunicación de respuesta. Esa constancia es relevante porque, si posteriormente se formula reclamación, la AEPD valora de forma muy especial la posibilidad de acreditar tanto los hechos como las gestiones previas realizadas por el afectado. La propia Agencia insiste, en materia de ejercicio de derechos y reclamaciones, en la importancia de acudir previamente al responsable o al delegado de protección de datos por un medio que permita acreditar la presentación y su recepción.
Aquí aparece una cuestión práctica decisiva: conservar el justificante de presentación. Si el afectado remite un escrito al responsable del tratamiento o al Delegado de Protección de Datos denunciando la revelación indebida, solicitando explicaciones, cese de la conducta y adopción de medidas, debe guardar copia del escrito y prueba de su envío y recepción. Ese justificante puede consistir en registro electrónico, burofax, correo certificado, acuse de recibo o cualquier medio equivalente. No es una formalidad menor. En muchos expedientes la viabilidad de la reclamación depende de poder demostrar que se formuló la queja previa, cuándo se hizo y cuál fue la respuesta obtenida, en su caso.
Si la respuesta del responsable es inexistente, insuficiente o abiertamente insatisfactoria, resulta jurídicamente aconsejable acudir a la Agencia Española de Protección de Datos. El artículo 77 RGPD reconoce el derecho a presentar reclamación ante una autoridad de control, y la Ley Orgánica 3/2018 regula la admisión a trámite y tramitación de esas reclamaciones. Además, la propia AEPD distingue entre reclamaciones por vulneración general de la normativa y reclamaciones relativas al ejercicio de derechos, precisando que, en estas últimas, debe haberse acudido antes al responsable o al DPD por un medio acreditable. En consecuencia, cuando existe una posible comunicación ilícita de datos y la entidad no ofrece una solución clara, la vía ante la AEPD no solo es posible, sino muchas veces la más razonable para activar control institucional y dejar constancia formal del incumplimiento.
La relevancia de esta reacción temprana aumenta cuando los datos comunicados pueden causar un perjuicio reputacional, profesional, patrimonial o emocional. La jurisprudencia del Tribunal de Justicia de la Unión Europea ha reiterado que el RGPD impone obligaciones reales de diligencia a los responsables del tratamiento y que las personas afectadas disponen no solo del cauce de reclamación ante la autoridad de control, sino también, cuando concurran los requisitos legales, de acciones judiciales y de reclamación indemnizatoria. Ahora bien, también ha precisado que no toda infracción genera automáticamente indemnización: es necesario acreditar la infracción, el daño y la relación causal. Por eso, desde una perspectiva preventiva y estratégica, documentar bien la incidencia y conservar los justificantes desde el primer momento resulta esencial.
En un plano material, el escrito ante la AEPD debe exponer con claridad los hechos, identificar al responsable del tratamiento, concretar qué datos se han comunicado indebidamente, explicar por qué esa comunicación carecía de cobertura suficiente y acompañar la prueba disponible, incluidos los justificantes de la reclamación previa si proceden. No se trata de redactar una narración extensa y desordenada, sino una exposición precisa que permita apreciar, al menos indiciariamente, una vulneración de los principios de licitud, minimización, confidencialidad y responsabilidad proactiva, o de los derechos del afectado. Si además se aprecia que la comunicación afectó a categorías especiales de datos o a información especialmente sensible, la argumentación debe reforzarse todavía más.
En definitiva, cuando una persona detecta que sus datos han sido facilitados a terceros sin justificación suficiente, no conviene banalizar el incidente ni limitarse a una protesta verbal. La respuesta jurídicamente correcta pasa por documentar el hecho, dirigirse de forma fehaciente al responsable o al DPD, exigir explicaciones y medidas correctoras, y conservar de manera ordenada todo justificante de presentación y respuesta. Si no se obtiene una contestación satisfactoria, la reclamación ante la AEPD es una vía plenamente pertinente y, en muchos casos, necesaria para tutelar eficazmente el derecho fundamental afectado. Actuar con rapidez, orden y prueba suele marcar la diferencia entre una queja estéril y una reclamación jurídicamente sólida.
En LEXITER Abogados analizamos este tipo de incidencias con enfoque práctico y rigor jurídico, valorando tanto la estrategia previa frente al responsable del tratamiento como la preparación de escritos sólidos ante la Agencia Española de Protección de Datos. Si necesitas revisar una cesión indebida de datos, preparar una reclamación o enfocar correctamente la defensa de tus derechos, en LEXITER Abogados podemos ayudarte a plantear la actuación más conveniente en cada caso.