La Xunta vulneró la protección de datos al ceder información de gallegos a una cadena de supermercados

FORLOPDnoviembre 20, 2025/inProtecciónDatos

La Agencia Española de Protección de Datos (AEPD) confirma la infracción de la Xunta de Galicia por un convenio que permitió a la distribuidora Gadisa acceder a información personal de 81.000 personas adheridas al Carné Familiar, un programa público de descuentos para familias numerosas. Según la Agencia, este acuerdo no cumple con el Reglamento General de Protección de Datos (RGPD), ya que no define claramente las responsabilidades entre ambas partes.

La AEPD identifica una vulneración del artículo 26 del RGPD: cuando existen dos entidades que tratan los datos (corresponsables), deben establecer con claridad quién se encarga de cada parte del proceso y qué obligaciones tiene cada una. En este caso, la Xunta y Gadisa no han definido adecuadamente sus roles.

Por ejemplo, la normativa exige que se informe a los interesados (las familias) sobre los aspectos esenciales del acuerdo entre los corresponsables. Según la resolución, la Xunta no puso a disposición de los usuarios esa información de forma clara.

Como consecuencia, la AEPD exige que la Xunta firme un nuevo convenio en el que se regulen correctamente las funciones de cada parte. Además, debe acreditar el cumplimiento de estas obligaciones en un plazo máximo de seis meses desde que la resolución sea firme.

La postura de la Xunta

La Consellería de Política Social de la Xunta sostiene que lo señalado por la AEPD se limita a un defecto formal en el convenio, no cuestiona el objetivo social del programa. Aseguran que su propósito es “beneficiar a las familias numerosas gallegas” mediante descuentos ofrecidos por Gadisa

Problemas de compartir la información relevante de familias numerosas

Expertos legales habían advertido previamente que el formulario de solicitud del carné no informaba claramente sobre quiénes tratarían los datos ni para qué fines, lo que podría vulnerar los derechos de los usuarios.

Fuente: eldiario.es

Preguntas frecuentes (FAQ)

¿Qué medidas exige la AEPD ahora?

La AEPD demanda que la Xunta firme un nuevo convenio con Gadisa donde se regulen correctamente las obligaciones de cada parte y que informe a los usuarios sobre esos términos fundamentales. Además, la Xunta debe acreditar ese nuevo acuerdo en un plazo de seis meses.

¿Pueden las familias afectadas reclamar algo?

Sí. Al haberse identificado un incumplimiento en la forma del tratamiento de datos, los afectados podrían ejercer sus derechos de acceso, rectificación o, en su caso, oposición a través de los canales de la Xunta o de la AEPD.

¿Qué derechos tienen los usuarios cuando una administración comparte sus datos con terceros?

Cuentan con los derechos reconocidos en el RGPD: acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad. Además, tienen derecho a recibir información clara sobre quién trata sus datos y con qué finalidad.

¿Puede una administración ceder datos personales sin consentimiento?

Solo es posible si existe una base jurídica válida, como el cumplimiento de una misión de interés público. Aun así, debe informar siempre al interesado sobre el tratamiento.

En Forlopd nos dedicamos a ayudar a empresas, profesionales y entidades a proteger la información y adaptar los procesos a la normativa vigente en materia de protección de datos. Si necesitas saber si tu negocio cumple con la exigencias, puedes solicitarnos un análisis de cumplimiento sin coste a través de nuestro formulario de solicitud.