La Xunta vulneró la protección de datos al ceder información de gallegos a una cadena de supermercados
Publicado el jueves, 20 de noviembre de 2025
La AEPD ha confirmado que la Xunta de Galicia vulneró la normativa de protección de datos al permitir que Gadisa accediera a la información personal de 81.000 personas inscritas en el Carné Familiar. El convenio entre ambas entidades no definía adecuadamente las responsabilidades del tratamiento, incumpliendo así el artículo 26 del RGPD, que exige claridad en los roles cuando existen corresponsables.
Además, la Xunta no informó de manera suficiente a las familias sobre los aspectos esenciales del acuerdo, un requisito obligatorio para garantizar la transparencia. Como consecuencia, la AEPD ordena la firma de un nuevo convenio que establezca correctamente las obligaciones de cada parte y exige acreditar su cumplimiento en un plazo máximo de seis meses.
Aunque la Xunta sostiene que se trata únicamente de un defecto formal y que el objetivo del programa sigue siendo beneficiar a las familias numerosas gallegas, expertos en protección de datos ya habían advertido que el formulario del Carné Familiar no especificaba con claridad quiénes tratarían los datos ni con qué fines, lo que podía afectar a los derechos de los usuarios.
Ante esta situación, las familias afectadas pueden ejercer sus derechos de acceso, rectificación u oposición. El caso recuerda que las administraciones solo pueden ceder datos si existe una base jurídica válida y, en todo caso, deben informar siempre al ciudadano. Forlopd continúa apoyando a organizaciones en la adaptación a la normativa y ofrece análisis de cumplimiento sin coste.
20/11/2025 09:11 | Forlopd_Privacidad
SEGURIDAD Y PRIVACIDAD DE DATOS, S.L. (FORLOPD)
URL oficial/canónica: https://ceeivalencia.emprenemjunts.es/?op=113&n=18515