La modificación o reestructuración de listados públicos publicados en un Boletín Oficial exige permiso de cada afectado

La simple disponibilidad pública de datos de las Administraciones Públicas no habilita a terceros para su reestructuración, modificación y nueva publicación sin una base legal adecuada, como el consentimiento del interesado. tal y como establece la Audiencia Nacional, en sentencia de 23 de mayo de 2025.

La ponente, la magistrada Busián García, determina que en estos casos se debe atender al artículo 4.2 del Reglamento General de Protección de Datos (RGPD), que define como tratamiento cualquier operación sobre datos personales, incluyendo su organización, estructuración, adaptación o modificación.

La sentencia da por probado que el recurrente realizó un tratamiento de datos al ordenar a los participantes de un concurso público por puntuación, en lugar de por orden alfabético, y al crear tres listas distintas: una de Acceso Libre, otra de Discapacidad General y una de Promoción Interna.

La ponente razona que estas listas "específicamente preparadas" suponen un tratamiento de datos personales, ya que el recurrente utilizó, ordenó y creó nueva información a partir de la originalmente publicada en el Diario Oficial de Galicia. En definitiva, "modificó y reestructuró la información original, un hecho que la sentencia considera una infracción grave".

Anonimización de datos

El recurrente alegaba que los nombres y apellidos, por sí mismos, no son datos de carácter personal y que la información había sido previamente anonimizada. Sin embargo, la sentencia rechaza este argumento, afirmando que los nombres y apellidos son, por antonomasia, el identificador más importante de una persona y encajan plenamente en la definición de dato personal del Artículo 4.1 del RGPD.

La sentencia concluye señalando que la denunciante "en ningún caso, había dado su consentimiento para que sus datos fueran publicados en las nuevas listas creadas y ordenadas". Esta actuación constituye una vulneración del Artículo 6.1 del RGPD, que exige una base legal para el tratamiento de datos personales, siendo el consentimiento una de ellas.