La Agencia Española de Protección de Datos (AEPD) ha dirigido un apercibimiento a PRAEDIUM PROJECT S.L., empresa responsable del directorio web profesional, por publicar datos personales de un psicólogo jubilado sin base jurídica que legitimara el tratamiento, vulnerando el artículo 6.1 del RGPD.
¿Qué ocurrió?
Un profesional retirado descubrió en octubre de 2023 que sus datos personales (nombre, dirección y teléfonos) aparecían sin su consentimiento en el directorio “médicos especialistas en emergencias” de la web URL.1.
El reclamante señaló que:
- Ya no estaba en ejercicio profesional
- No era “médico especialista en emergencias”
- Uno de los números de teléfono móvil publicados no le pertenecía
- No había autorizado la inclusión de sus datos
La solicitud de supresión ignorada
El 28 de octubre de 2023, el reclamante envió un correo electrónico a la dirección de contacto del directorio solicitando:
- La retirada inmediata de sus datos
- Confirmación por escrito de la supresión
- Advirtiendo que, de no obtener respuesta, acudiría a la AEPD
No recibió ninguna contestación por parte de PRAEDIUM, lo que le llevó a presentar la reclamación ante la Agencia en enero de 2024.
La defensa de PRAEDIUM
La empresa responsable del directorio argumentó en sus alegaciones:
Sobre la naturaleza de los datos:
- Se trataba de datos “estrictamente profesionales” obtenidos de fuentes públicas
- Los datos fueron extraídos de otros directorios profesionales y webs de acceso público
- Consideraban que estos datos profesionales quedaban fuera del ámbito de aplicación de la LOPDGDD según su artículo 19
Sobre el tratamiento:
- Solo publicaban datos mínimos: nombre, dirección y teléfono de contacto
- La finalidad era dar publicidad gratuita a profesionales y empresas
- Disponían de un formulario en la web para ejercer derechos
- Nunca recibieron comunicación directa del reclamante (aunque sí envió un correo)
Sobre la actualización:
- Era “materialmente imposible” saber si un profesional había cesado en su actividad
- El reclamante aún aparecía en otras webs profesionales cuando verificaron el incidente
El análisis de la AEPD
La Agencia rechazó todos los argumentos de PRAEDIUM y estableció los siguientes criterios:
El artículo 19 LOPDGDD no es una autorización general
El artículo 19 de la LOPDGDD presume amparado en el artículo 6.1.f) del RGPD el tratamiento de datos de contacto profesionales, pero esta presunción se rompe cuando la persona deja de ejercer su actividad profesional.
En ese momento, sus datos dejan de estar vinculados a un ámbito estrictamente laboral y pasan a considerarse datos personales que requieren una base jurídica legítima para su tratamiento.
Responsabilidad proactiva del responsable del tratamiento
Era responsabilidad de PRAEDIUM verificar que el reclamante continuaba en activo antes de difundir sus datos personales. El principio de responsabilidad proactiva del artículo 5.2 del RGPD exige que el responsable se asegure de que existe legitimación para el tratamiento.
La solicitud de supresión fue ignorada
El reclamante había enviado un correo electrónico el 28 de octubre de 2023 indicando expresamente que:
- No estaba en activo
- Solicitaba la supresión de sus datos
PRAEDIUM no respondió a esta solicitud ni eliminó los datos hasta que recibió el primer requerimiento de la AEPD, varios meses después.
La base jurídica inexistente
El artículo 6.1 del RGPD establece que el tratamiento solo será lícito si se cumple al menos una de estas condiciones:
- Consentimiento del interesado
- Ejecución de un contrato
- Cumplimiento de una obligación legal
- Protección de intereses vitales
- Misión en interés público
- Interés legítimo del responsable que no prevalezca sobre los derechos del interesado
En este caso, PRAEDIUM:
- No tenía consentimiento del reclamante (lo reconoció expresamente)
- No demostró ninguna de las otras bases jurídicas del artículo 6.1 RGPD
- La presunción del artículo 19 LOPDGDD no aplicaba porque el profesional había cesado su actividad
Riesgos de la publicación sin base jurídica
La AEPD señala que la difusión de información personal (nombre, apellidos, dirección y teléfono) sin consentimiento o base jurídica adecuada:
- Vulnera el artículo 6.1 del RGPD
- Compromete la privacidad y seguridad del afectado
- Incrementa el riesgo de usos indebidos de la información personal
- Al ser accesible públicamente en internet, el impacto es mayor
La resolución de la AEPD
La Agencia ha dirigido un apercibimiento a PRAEDIUM PROJECT S.L. por infracción del artículo 6.1 del RGPD, tipificada como muy grave en el artículo 83.5 del RGPD.
No se imponen medidas correctivas adicionales porque la web ya fue desactivada por la propia empresa durante la tramitación del procedimiento.
La AEPD valora positivamente esta desactivación, pero subraya que la conducta infractora ya había tenido lugar y, por tanto, procede el apercibimiento.
Tipificación de la infracción
La infracción del artículo 6.1 del RGPD se considera muy grave según el artículo 72.1.b) de la LOPDGDD y prescribe a los tres años.
Este tipo de infracciones pueden sancionarse con multas de hasta 20.000.000 EUR o el 4% del volumen de negocio anual global, aunque en este caso se optó por el apercibimiento atendiendo a las circunstancias del caso.
Referencia: Resolución PA/00004/2025 – Expediente N.º EXP202403454
Documento completo: https://www.aepd.es/documento/pa-00004-2025.pdf