Así lo anunció este lunes la organización de consumidores en un comunicado en el que explicó que esta medida consiste en la expedición de un certificado denominado ‘Carné familiar’ con el que dichos usuarios pueden obtener “beneficios económicos” en forma de descuentos y ofertas a la hora de adquirir los productos y servicios que ofrecen las empresas colaboradoras del programa.

Entre ellas se encuentra Gadisa, dedicada a la distribución alimentaria y propietaria de los supermercados e hipermercados Gadis, Claudio e Ifa Cash y, según precisó la organización, la Xunta habría cedido a este grupo datos personales que constan en el registro de familias numerosas, “todo ello sin contar con el consentimiento expreso de los usuarios inscritos en dicho registro”.

“Así, las familias beneficiarias del programa están recibiendo en sus hogares cheques regalo enviados por Gadisa con un porcentaje de descuento que se calcula en base a las compras efectuadas por los usuarios en los establecimientos de esta empresa”, abundó, para puntualizar que, “en teoría”, las empresas “sólo deben saber si un usuario es beneficiario de la ayuda si presenta físicamente su carné en los establecimientos para lograr el descuento, sin necesidad de recibir ningún dato personal de los consumidores”.

A este respecto, aventuró que el hecho de que las familias inscritas en el programa estén recibiendo en sus hogares documentación de Gadisa “pone de relieve” que la Xunta de Galicia “ha cedido a esta empresa toda una serie de datos personales de los usuarios, sin haber recabado previamente el consentimiento de los afectados”.

DATOS INCORPORADOS A UN FICHERO

Junto a ello, explicó que, según la información de la que dispone, Gadisa habría incorporado estos datos a sus ficheros “sin disponer de autorización o documentación que acredite bien el propio consentimiento, bien la confirmación de la Xunta de que ha sido autorizada para aportar dichos datos personales”.

En este sentido, Facua señaló que, según el artículo sexto del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, el tratamiento de datos sólo será lícito si “el interesado dio su consentimiento”, entre otros supuestos.

Asimismo, agregó que, según el artículo 14 de dicho reglamento, “cuando los datos personales no se hayan obtenido del interesado” se le debe facilitar, entre otra información, “los fines del tratamiento a que se destinan los datos personales” y “los destinatarios o las categorías de destinatarios de los datos personales”.

Además, también se le debe informar del plazo durante el cual se conservarán los datos personales”, “los intereses legítimos del responsable del tratamiento o de un tercero” y “la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado y su rectificación o supresión, o la limitación de su tratamiento y a oponerse al tratamiento”.

Por todo ello, la asociación se ha dirigido a la AEPD para que realice las investigaciones “oportunas” e inicie el correspondiente expediente sancionador contra la Xunta de Galicia y Gadisa por la cesión y tratamiento de datos de los usuarios “sin su consentimiento”.