Publicar datos personales en Internet: lo que se puede, lo que no y lo que deberías pensar antes de hacerlo

Hace años, colgar información en Internet era casi un acto de entusiasmo: todo se publicaba. Convocatorias, listados, sanciones, nombres, resoluciones… Sin filtro. Pero cuando los motores de búsqueda empezaron a indexarlo todo y la gente se dio cuenta de que su nombre podía aparecer en Google durante años por una multa o una beca, llegó la reflexión: ¿dónde está el límite entre la transparencia y la privacidad?

La Autoritat Catalana de Protecció de Dades (APDCAT) publicó en 2008 una recomendación muy completa que sigue siendo de referencia. Explica cómo deben difundir datos personales las administraciones y entidades públicas cuando usan Internet. Vamos a desmenuzarla con calma y en cristiano.

1. Publicar no es lo mismo que informar

Lo primero que aclara la recomendación es que difundir datos personales en la red no es un trámite inocente. Antes, la información estaba en tablones físicos o boletines que leía poca gente. En Internet, cualquier dato se convierte en permanente y accesible desde cualquier lugar.

Por eso, la APDCAT dice que cada publicación debe tener una base legal y una finalidad clara. No vale con decir “lo hemos hecho siempre así”. Solo se pueden publicar datos personales cuando sea necesario para cumplir una función pública o para garantizar derechos de los ciudadanos.

2. Principios básicos: proporcionalidad y finalidad

Aquí la idea es simple: publica lo justo y necesario. Si el objetivo es informar de una resolución administrativa, quizá basta con el número de expediente y no hace falta poner el nombre completo de la persona.

Además, los datos solo deben mantenerse el tiempo indispensable para cumplir la finalidad. Una vez pasado ese plazo, toca retirarlos o anonimizarlos. Lo contrario, dice la APDCAT, es una forma de sobreexposición.

3. La información debe ser exacta y actualizada

Otro punto que a veces se pasa por alto: no todo vale con tal de publicar rápido. La administración tiene la obligación de comprobar que los datos que sube a la red son correctos y actualizados. Un error en una resolución, un nombre mal escrito o una dirección que ya no corresponde puede causar un daño real.

También se insiste en la responsabilidad de mantener actualizados los contenidos y en eliminar aquellos que ya no sean pertinentes. Internet no puede ser un archivo eterno de errores.

4. Legitimación: cuándo se puede y cuándo no se puede publicar

La difusión de datos personales debe basarse siempre en alguna de estas situaciones:

  • Una obligación legal expresa (por ejemplo, publicar resoluciones judiciales o convocatorias).

  • El consentimiento del interesado.

  • O la existencia de un interés público claro.

Fuera de esos casos, publicar datos personales en una web pública no es legítimo.

Y ojo con el “copiar y pegar”: muchas veces, la información pasa de un documento administrativo a una web sin revisión, cuando en realidad debería pasar por un proceso de adaptación o anonimización.

5. Los boletines y tablones electrónicos también cuentan

No por ser digitales dejan de tener límites. Si un ayuntamiento publica edictos, listados o anuncios con datos personales en su tablón electrónico, tiene que hacerlo siguiendo los mismos criterios: solo los datos imprescindibles, tiempo limitado de exposición y retirada automática una vez cumplida la finalidad.

Nada de mantener durante años listados antiguos de opositores, sancionados o beneficiarios.

6. Indexación en buscadores: un problema moderno

La APDCAT fue visionaria al anticipar algo que hoy es clave: los buscadores convierten en permanente lo que debería ser temporal.

Por eso recomendó medidas técnicas como:

  • Usar etiquetas “no index” para evitar que Google o Bing almacenen esos datos.

  • Limitar el acceso mediante identificadores o claves temporales.

  • Evitar que los documentos PDF con nombres y apellidos aparezcan en búsquedas generales.

La transparencia no puede significar que tu nombre se convierta en un resultado eterno en Internet.

7. Difusión de imágenes y grabaciones

El documento también toca un punto sensible: la publicación de fotografías, vídeos o grabaciones de voz. Estas también se consideran datos personales.

Si aparecen personas identificables, hay que tener su consentimiento previo o una justificación legal clara. Esto aplica tanto a actos públicos como a material institucional. Y si se difunde en redes sociales o plataformas abiertas, el riesgo de pérdida de control es aún mayor.

8. Medidas de seguridad y responsabilidad

Toda entidad pública que gestione datos personales tiene que adoptar medidas técnicas para protegerlos: control de acceso, contraseñas, logs de consulta, y sobre todo, responsabilidad interna.

No vale con decir “fue un error del informático”. Si los datos están expuestos indebidamente, la administración responde.

También se recomienda designar responsables de contenido web, encargados de revisar periódicamente qué información sigue siendo necesaria y cuál debe eliminarse.

9. Revisión y eliminación periódica

Quizá uno de los apartados más sensatos del documento. Internet no debe ser un cementerio de datos.

La APDCAT sugiere establecer protocolos de revisión periódica para borrar información antigua, obsoleta o que ya no cumpla su función.

Ejemplo: una convocatoria de becas publicada hace cinco años ya no tiene sentido que siga activa con nombres y apellidos de los participantes.

10. Qué hacer si tus datos aparecen en la red

Y si eres tú el afectado, también tienes herramientas. Puedes:

  • Pedir la supresión o anonimización de la información.

  • Ejercer tu derecho al olvido (en la línea del RGPD).

  • Reclamar ante la APDCAT si no obtienes respuesta.

El organismo puede ordenar la retirada del contenido o imponer sanciones si se detecta negligencia.