← Preguntes més rellevants | ← Inici del curs
Preguntes més rellevants
Protecció de dades
La primera edició del curs va coincidir amb l'aplicació plena del nou Reglament general de protecció de dades (Reglament europeu 2016/679, RGPD), la qual cosa va comportar que es formulessin també moltes preguntes sobre aquest reglament, d'aplicació plena i directa a partir del 25 de maig de 2018. Algunes d'aquestes qüestions estaven molt vinculades amb la transparència, com seria el cas de l'anonimització dels documents a publicar, mentre que en d'altres casos la vinculació amb la transparència era menor. A continuació es fa un recull de totes aquestes qüestions.
Anonimització/dissociació de dades
Adobe PDF Creator té una eina per aplicar censures, és segur utilitzar-la? És a dir, un cop aplicada, la informació oculta és irrecuperable amb altres eines informàtiques?
Pel que m'han dit els experts en tecnologia, l'eina informàtica de censura d'aquesta versió de l'Adobe (no passa el mateix amb altres versions més senzilles) és segura, atès que la part censurada seria irrecuperable, com a mínim a través del mateix Adobe. Una altra cosa és que amb els avenços tecnològics constants és difícil descartar que pugui aparèixer alguna eina capaç de revertir el text. Malauradament, el risc zero no existeix. En tot cas, a hores d'ara sembla que podem utilitzar amb una certa tranquil·litat aquesta eina de censura concreta.
Anonimització/dissociació parcial
Està molt bé ser transparents però a vegades es traspassen els límits. Una treballadora va sol·licitar un ajut econòmic (establert per conveni). En aquests casos, el comitè d'empresa hi dona el vistiplau i recursos humans tramita l'ajut. En aquest cas l'Ajuntament no va pagar el 100% com havia estipulat el comitè, fet que va donar lloc a un seguit de discussions a la taula de negociació. El tema és que, quan es va publicar l'acta de la mesa de negociació, oberta a tots els treballadors, en un dels punts apareixia el nom i cognom de la persona que havia sol·licitat l'ajut, però el pitjor és que apareixia el motiu pel qual l'havia sol·licitat i era una dada altament protegida, ja que tenia a veure amb la seva salut. Tan bon punt ens vam adonar, vam fer retirar i rectificar l'acta però el mal ja estava fet.
Gràcies per aportar un cas que va resultar problemàtic, i que malauradament no és únic. De vegades, en publicar actes que contenen molta informació no es té en compte la necessitat d'ocultar la informació que no es pot publicar sense consentiment de la persona afectada, perquè la legislació de transparència no ho empara.
Caràcter autònom del dret a la protecció de dades
Què significa que el dret a la protecció de dades és un "dret autònom"? Vol dir que n'hi ha d'altres drets que no ho són?
Em refereixo al fet que el dret a la protecció de dades personals és diferent al dret a la intimitat, amb el qual té alguna vinculació. Per això es diu que és autònom en el sentit que té un contingut i un abast diferent. El dret a la intimitat és més aviat reactiu davant d'eventuals intromissions en la intimitat personal; mentre que el dret a la protecció de dades és un dret que atorga un conjunt de facultats per tenir un control sobre les nostres dades personals.
Adequació al RGPD en blogs i butlletins
A la meva feina treballem amb blogs adreçats als ciutadans i enviem butlletins de notícies sobre els nostres serveis, etc. Tinc diverses preguntes sobre què s'ha de modificar ara amb el RGPD:
1. Blogs
- S'ha de canviar l'avís de privacitat al blog? Hi ha models amb les característiques noves?
- En els formularis de contacte s'ha de modificar alguna cosa?
- En els formularis d'inscripció als butlletins s'ha de modificar alguna cosa?
2. Butlletins
- Es torna a demanar el permís als usuaris per seguir enviant-los els butlletins?
- Els peus informatius dels butlletins a partir del 25 de maig s'han de modificar?
3. Fitxer de registre d'activitats de tractament: A l'AEPD diuen que s'ha de fer un fitxer. Només és per a empreses, blogs personals o també afecta l'Administració pública?
Efectivament s'havien d'adequar els formularis als quals et refereixes pel que fa a la part dels blogs. Pensa que les clàusules informatives són més completes amb el nou RGPD. Al web de l'APDCAT hi ha publicada una guia elaborada per totes les autoritats de control de l'Estat espanyol, en què trobaràs models a aquest respecte.
En la part dels butlletins també s'han d'adequar les clàusules informatives. Sobre si cal demanar permís (consentiment), calia obtenir-lo si s'envia el butlletí sobre la base d'un consentiment tàcit, perquè aquesta mena de consentiment va passar a ser invàlid a partir del 25 de maig de 2018. Quant al registre d'activitats del tractament (RAT), les administracions públiques estan obligades a tenir-lo, s'ha de publicar a través de mitjans electrònics i ha de ser accessible a través del Portal de la Transparència, tal com determinen la LOPDGDD i la Llei 19/2013.
Dades dels empresaris individuals
El Reial decret 1720/2007 (RLOPD) excloïa de l’àmbit d’aplicació de la protecció de dades les relatives a empresaris individuals, quan feien referència com a comerciants, industrials o naviliers. El Reglament (UE) 2016/679 de protecció de dades (RGPD) no en fa cap exclusió, per tant, hem d’entendre que a partir del 25 de maig aquestes dades que fins ara estan excloses passaran a estar protegides per la protecció de dades? Per tant, sí que s'aplicaria als autònoms, professionals liberals, comerciants, industrials i naviliers individuals, però restaria legitimat el tractament de les dades de contacte i únicament per entaular relacions professionals?
La situació anterior al RGPD era que la Llei orgànica 15/1999 (LOPD) no havia exclòs els autònoms de la protecció del dret, però el RLOPD va afegir el que tu comentes, que no deixava de ser discutible, ja que un reglament no pot restringir un dret reconegut en una llei orgànica.
El RGPD certament no preveu excloure de la protecció els autònoms, de manera que queden protegits al mateix nivell, ja que estem parlant de dades personals en la mesura que és informació vinculada a una persona física. De fet, l'article 19 de la LOPDGDD (Llei orgànica 3/2018) disposa que es poden tractar les dades dels autònoms (i també les dades de contacte dels qui actuen en representació d'una persona jurídica), per concórrer un interès legítim, com a base que justificaria el tractament (art. 6.f del RGPD). I en cas que el tractament el faci una administració púbica, el precepte determina que la base jurídica pot ser el compliment d'una obligació legal o que el tractament sigui necessari per a l’exercici de les seves competències (compliment d'una missió en interès públic o l'exercici de poders públics).
Dades de salut
Ahir en un curset que vaig fer sobre estudiants amb necessitats educatives especials, es plantejava com modificaria el RGPD la informació d’alt nivell, atès que estem parlant de dades relacionades amb la salut. Algú té informació sobre aquest aspecte?
Entenc que si parlem d'un estudiant que té necessitats educatives especials estem parlant de dades de la seva salut, ja que el concepte d'aquesta tipologia de dades és molt ampli i, com tu dius, el RGPD inclou aquesta dada entre les categories especials (art. 9), tal com ja succeïa en la normativa anterior (Llei orgànica 15/1999), en què tenia la consideració de dada especialment protegida. Això reforça les garanties i en restringeix el tractament, que no prohibeix, ja que hi ha alguns casos habilitats.
Identificació amb inicials de nom i cognoms, més NIF parcial?
Quan parlem de subvencions, podríem parlar també d’un procés selectiu, d’una sanció de trànsit, llistats d’admesos i exclosos per accedir a l’educació pública, i un llarg etcètera. A l’hora de fer pública aquesta informació al portal de la Transparència, en lloc de fer-hi constar nom i cognoms i NIF (matrícula del vehicle en cas de sancions), es podria recórrer a altres opcions, com per exemple fer-hi constar només les inicials del nom i cognoms de la persona interessada, i en el cas del NIF que aparegui com el número de compte bancari per fer transferències bancàries a altres entitats, posar-hi asteriscs i fer constar només les últimes xifres i lletra. És a dir, per exemple, el senyor Pepito Fulanito Menganito, amb NIF 12345678T, constaria com el senyor P.F.M. amb NIF *678T.
El problema de fer-ho com dius (inicials més NIF parcial) és que en determinats contextos impediria la identificació de la persona i, en ocasions, és necessària la identificació clara per complir les exigències de transparència, com ara en el cas d'atorgament de subvencions, adjudicació de contractes o llistes d'aspirants en processos selectius.
En qualsevol cas, la disposició addicional setena de la LOPDGDD determina com s'han d'identificar les persones interessades en les notificacions per mitjà d’anuncis i publicacions d’actes administratius.
En la publicació d'un acte administratiu s'ha d'identificar la persona mitjançant el seu nom i cognoms, amb l’afegit de quatre xifres numèriques aleatòries del document nacional d’identitat, el número d’identitat d’estranger, el passaport o un document equivalent. D’acord amb les orientacions provisionals aprovades per les autoritats de protecció de dades, aquestes xifres són les que ocupen les posicions 4 a 7 en el cas del DNI i NIE. Al meu parer, només caldria afegir les quatre xifres del document identificatiu quan hi ha risc de confusió (és a dir, dues persones que comparteixin el mateix nom i cognoms), de manera que si el nombre de persones afectades no és molt elevat n'hi hauria prou d'identificar les persones interessades a través del seu nom i cognoms. Val a dir que l'Agència Espanyola de Protecció de Dades també s'ha pronunciat en aquest sentit.
En els supòsits de notificació per mitjà d’anuncis o notificació edictal (art. 44 Llei 39/2015), la persona interessada s’ha d’identificar exclusivament mitjançant el número complet del seu DNI o un document equivalent.
Cessió de dades personals entre administracions públiques
Un tema interessant crec que és la cessió de dades entre administracions públiques. Nosaltres necessitem dades per poder certificar fons europeus, i hi ha administracions que es neguen a cedir aquestes dades, i per tant necessitem la col·laboració de l'APDCAT perquè ens les facilitin. Com es poden conscienciar les administracions?
La cessió de dades entre administracions públiques era establerta per l'article 21 de la Llei orgànica 15/1999 (LOPD), que l'habilitava sempre que es fessin servir per a les mateixes competències o en les mateixes matèries, a banda d'altres possibles usos per a finalitats històriques, estadístiques o científiques.
Amb el RGPD, l'eventual cobertura ja no pot ser aquesta, sinó que cal acudir a l'article 6 del RGPD. En concret, una opció seria obtenir el consentiment de la persona afectada, però en molts casos no caldria, com ara quan l'Administració pública que requereix o a qui es comuniquen les dades personals, les necessita per a una missió d'interès públic o en l'exercici de poders públics (art. 6.1.e del RGPD), és a dir, que les necessita per exercir una competència atribuïda.
A manca de consentiment de les persones afectades o d’una norma amb rang de llei que prevegi la comunicació, cal analitzar si la finalitat ulterior amb la qual es tractarien les dades objecte de comunicació, és compatible amb la inicial.
Per tal de considerar lícita la comunicació de dades, és necessari que la finalitat del tractament a què es destinaran les dades sigui compatible amb la finalitat per a la qual es varen recollir inicialment. Així es desprèn dels articles 5.1.b i 6.4 del RGPD.
Aquest darrer precepte estableix que, per determinar si el tractament ulterior és compatible amb la finalitat per a la qual el responsable del tractament va recollir inicialment les dades, aquest ha de tenir en compte el següent:
a) Qualsevol relació entre les finalitats per a les quals s'han recollit les dades personals i les finalitats del tractament posterior previst.
b) El context en què s'han recollit les dades personals, en particular respecte de la relació entre els interessats i el responsable del tractament.
c) La naturalesa de les dades personals, en especial quan es tracten categories especials de dades personals, de conformitat amb l'article 9, o dades personals relatives a condemnes i infraccions penals, de conformitat amb l'article 10.
d) Les conseqüències que el tractament posterior previst pot tenir per als interessats.
e) Si hi ha les garanties adequades, que poden incloure el xifrat o la pseudonimització.
En termes similars, l’article 155 de la Llei 40/2015, que es refereix a les transmissions de dades entre administracions públiques, disposa que les dades comunicades no es poden tractar ulteriorment per a fins incompatibles amb la finalitat per a la qual es van recollir inicialment les dades personals.
D’altra banda, cal tenir en compte que el RGPD disposa que els tractaments posteriors amb finalitats d’arxiu en interès públic, amb finalitats de recerca científica i històrica o amb finalitats estadístiques no es consideren incompatibles amb les finalitats inicials (art. 5.1.b del RGPD).
Adequació del consentiment al Reglament (UE) 2016/679 de protecció de dades (RGPD)
Voldria preguntar si amb el nou RGPD els ajuntaments hem de demanar el consentiment informat a totes les persones interessades que s'hagin de veure afectats per un procediment urbanístic, per exemple que sigui un propietari inclòs en un projecte de reparcel·lació, abans de crear el llistat de propietaris afectats i redactar el projecte? Igualment, els fitxers creats per fer les notificacions als propietaris s'han de conservar durant tot el procediment i mentre l'expedient estigui obert i en tràmit? He sentit moltes opinions diverses sobre l'aplicació del nou reglament, i voldria saber la teva opinió.
En primer lloc, sobre el procediment urbanístic com és el cas de la reparcel·lació, en la mesura que existeix una obligació de donar audiència a les persones interessades, requereix el tractament de les seves dades personals, i per tant seria un tractament amb la base jurídica de l'article 6.e del RGPD, de manera que no caldria el seu consentiment. Però que no es requereixi el consentiment (cosa habitual sempre que l'Administració pública actua en una missió d'interès públic o en exercici d'un poder públic), no significa que no s'hagi d'informar, ja que sempre s'ha de facilitar a la persona afectada tota la informació exigida per l'article 13 del RGPD, ja sigui en el moment de la recollida de les dades si és aquesta qui ens les facilita, o en la primera comunicació que li fem quan les dades les hem recollides per un canal diferent. Aquesta informació es pot facilitar per capes en els termes establerts a l'article 11 de la LOPDGDD.
Quant a la pregunta sobre la conservació de les dades, cal aplicar el principi de limitació del termini de conservació (art. 5.1.e del RGPD), en virtut del qual les dades personals -que permetin la identificació de les persones- s'han de conservar només durant el temps necessari per assolir les finalitats perseguides en la recollida. D'acord amb aquest principi, cal conservar-les efectivament durant la tramitació del procediment administratiu, fins i tot un temps més enllà, davant la possibilitat d'impugnacions i/o exigència de responsabilitats. En l'àmbit de les administracions públiques, sobre el termini de conservació dels documents (tant en suport paper com electrònic) cal tenir en compte el que s'hagi fixat a la TAAD (taula d'accés i avaluació documental) corresponent sobre la sèrie documental en qüestió, aprovada per la Comissió Nacional d'Accés, Avaluació i Tria Documental, adscrita al Departament de Cultura (CNAATD). Aquí teniu el web on es poden consultar les TAAD.
En tot cas, si es considera que és procedent la conservació permanent, per exemple perquè hi ha una finalitat d'arxiu en interès públic (valor històric de la documentació), l'article 89 del RGPD recorda l'aplicació del principi de minimització, de manera que es podria conservar la documentació però sense dades personals (anonimització) o bé amb la pseudonimització.
Intervenció del delegat de protecció de dades en la publicació de dades
Amb l'entrada en vigor del Reglament de protecció de dades i de la creació del delegat de protecció de dades en el sector públic, quina incidència té aquesta figura a l'hora de decidir quines dades poden ser públiques? Pot establir limitacions en la publicació de dades de tercers en una sol·licitud de petició de dades?
La figura del delegat de protecció de dades, que efectivament és una de les novetats més rellevants del reglament europeu, té unes funcions de supervisió i suport al responsable, però no és qui decideix sobre els tractaments. Qui decideix les dades que es publiquen és el responsable del tractament, és a dir la persona titular de l'òrgan o càrrec a qui correspon aquesta decisió (alcaldia, regidoria, direcció general, etc.). El delegat pot assessorar i ajudar a valorar en els tractaments, però insisteixo que la responsabilitat recau sobre el responsable del tractament.
Qüestionari/enquesta "anònim"?
Per detectar riscos de la salut ens han fet arribar als empleats un qüestionari d'avaluació de riscos psicosocials en què s'informa que és confidencial i anònim. Quan s'inicia el qüestionari, tot i que no pregunten el nom i cognoms, el primer que et pregunten són les quatre xifres finals del teu NIF i la lletra, el sexe, l'edat i la subdirecció del territori on treballes. Aquesta informació podia donar peu a identificar la persona física en concret (dades identificables). Què en penseu?
Si és tal com expliques, sembla clar que el qüestionari molt probablement no seria anònim, ja que amb tota la informació que faciliteu és relativament senzilla la identificació de la persona que el fa, sobretot tenint en compte la informació acumulada per part de l'òrgan que suposadament el recull. En aquest punt cal recordar que és dada personal qualsevol informació (com ara les respostes que es donarien en el qüestionari) vinculada a una persona física identificada "o identificable", i per les raons que he dit en aquest cas sembla que, almenys en molts casos, es podria identificar la persona que dona les respostes -i per tant facilita informació sobre la seva persona- "sense esforços desproporcionats".
Consulta de dades de la unitat familiar
En les sol·licituds de subvencions, el ciutadà que la presenta autoritza l’Administració a consultar en altres administracions les seves dades econòmiques i socials i les de la resta de membres de la unitat familiar. Atès que són dades protegides, cal una autorització expressa de cada membre de la unitat familiar o és suficient amb la d'un membre dient que disposa d'autorització dels altres?
El dret a la protecció de dades és un dret personalíssim, de manera que la facultat de consentir sobre el tractament de la informació de cadascú, només la té cadascú. Així, si en una unitat familiar formada pel pare, la mare i dos fills, el pare demana un ajut en el seu nom, ell no pot consentir en nom de la seva dona o qualsevol altra persona de la unitat familiar, tret que siguin menors d'edat i per tant el pare ho fa en representació del fill o filla menor.
Una altra cosa és que aquesta comprovació tingui per finalitat verificar que es compleixen els requisits exigits per l'ordenament per obtenir la subvenció, com podria ser el cas de no superar un nivell de renda de la unitat familiar. En tal cas es podria fer aquesta verificació, però no pel consentiment que dona el sol·licitant respecte de la resta, sinó que la base jurídica de la verificació seria la missió en interès públic o exercici d'un poder públic (art. 6.1.e del RGPD), ja que l'Administració pública té la potestat (o obligació) de comprovar el compliment dels requisits. En aquest sentit, aquesta potestat de verificació s’ha recollit expressament a la disposició addicional vuitena de la LOPDGDD.
El que aquí explico cal posar-ho en relació amb l'article 28 de la Llei 39/2015, que al seu torn s'ha d'interpretar sempre tenint en compte el supòsit habilitador de l'article 6.1.e del RGPD. Ara bé, aquesta opció només és possible en el cas que una administració pública actuï en exercici de les seves funcions, com és el cas de l'atorgament de subvencions, però no en altres àmbits, com podria ser el cas de la fixació del preu de determinats serveis o activitats en funció del nivell de renda familiar, en els quals, en puritat, no actua en exercici de les seves funcions pròpies. Aquest podria ser el cas d'un gimnàs de titularitat municipal, una piscina, etc., en allò referent a la determinació dels preus públics per poder utilitzar aquestes instal·lacions.
En qualsevol cas, sí que caldria informar sobre el tractament de les seves dades personals a totes les persones afectades (resta de membres de la unitat familiar). A aquest respecte, l’APDCAT considera que una manera de dur a terme el compliment de l’obligació d’informar-les pot ser incloure una clàusula en què la persona que emplena el formulari declari que la resta de persones afectades han accedit a la informació sobre protecció de dades.
Dret a l'oblit en la informació publicada
El dret a l'oblit que s'inclou al reglament que afecta les publicacions i informacions incloses a Internet, com es pot entendre exactament? Es refereix a totes les informacions o a algunes de concretes?
El dret a la supressió o dret a l'oblit comporta el dret a demanar que se suprimeixin les dades que ja no són necessàries per a la finalitat per a la qual s'havien recollit inicialment. No es refereix només a Internet, sinó a qualsevol tipus de context. Una altra cosa és que, en l'àmbit del sector públic, cal conciliar-lo amb el deure de conservació durant els terminis que resultin exigibles.
Divulgació d'imatges d'activitats al carrer
La consulta en aquest cas està referida a com s'ha de tractar el tema de la protecció de la imatge en la filmació d'activitats culturals que es duen a terme al carrer, de les quals vol fer divulgació l'Ajuntament, ja que hi ha interès de promocionar el municipi en relació amb les activitats folklòriques. S'ha de demanar un permís especial en aquest cas o en ser activitats que es realitzen al carrer i se'n fa divulgació entra dins del dret de difusió que té l'Ajuntament?
Les persones que participen en actes que es fan a la via pública, com seria el cas dels exemples que parleu, haurien de suportar que la seva imatge pugui ser capturada i difosa si es divulga l'activitat o l'acte dut a terme al carrer, però sempre que la imatge aparegui de manera accessòria. Si, per contra, s'enfoca una persona concreta de manera principal, el tractament i la divulgació d'aquesta imatge requeriria el seu consentiment. En aquest cas caldria tenir en compte el que estableix la Llei orgànica 1/1982, del dret a l'honor, la intimitat i la imatge.
Publicació de dades personals en diaris oficials
Treballo en un ajuntament i sovint hem de publicar acords en el tauler edictal únic (TEU) dirigits a persones físiques i jurídiques que no podem localitzar. Les dades de les persones jurídiques que publiquem són el nom, el NIF i el municipi; i les de les persones físiques són les inicials del nom complet, el NIF i el municipi. Ara bé, el RGPD diu que es pot publicar el nom complet i les quatre últimes xifres del NIF. Nosaltres creiem que l'opció millor és indicar les inicials del nom complet i les quatre últimes xifres del NIF, p. ex., A.B.C. (NIF *1234). Què és legal? Són dades personals que podrien identificar a algú? I si no es poden identificar, com sabrà la persona interessada que va dirigit a ella?
Preciso que la norma que determina que en les notificacions edictals (BOE, DOGC, BOP) s'ha de publicar el NIF de la persona interessada (i res més), no és el RGPD, sinó la disposició addicional setena de la LOPDGDD. Aquesta mateixa norma disposa, en canvi, la identificació amb el nom i cognoms i les quatre últimes xifres del NIF en publicació d'actes, com seria el cas de llistes d'oposicions o semblants, tot i que al meu entendre les quatre últimes xifres del NIF només caldria en cas de coincidència en el nom i cognoms de dues persones. Tornant a les notificacions per edictes, la mateixa disposició addicional setena de la LOPDGDD determina que la persona interessada s’ha d’identificar exclusivament mitjançant el número complet del seu DNI o un document equivalent. Per tant, és aquesta procés el que s'ha de seguir.
En el cas de les persones jurídiques cal precisar que aquestes no són titulars del dret fonamental a la protecció de dades personals.
Accés a informació per telèfon (1)
Des de la nostra unitat ens truquen els usuaris que tenen oberta una sol·licitud de reconeixement del grau de discapacitat. Els envien una carta de citació però a vegades no els arriba o no han pogut anar a buscar-la a correus. Els identifiquem amb NIF i adreça i els diem el dia que tenen visita. Això seria donar dades protegides de la persona? Podríem tenir problemes?
Tu mateixa ets conscient dels riscos, en efecte el NIF i l'adreça d'una persona els poden conèixer altres persones, a banda de la persona interessada i/o afectada. Penso ara només en casos d'excònjuges, però n'hi pot haver d'altres. De manera que si reveleu la informació que confirma que s'està tramitant un procediment de reconeixement de discapacitat, podeu estar revelant dades de salut a una persona diferent de l'afectada. Per això intentaria assegurar-me millor, per exemple demanant a qui truca que indiqui el número de registre d'entrada de la sol·licitud, dada que en principi només hauria de saber qui l'ha presentada i n'ha guardat la còpia.
Accés a informació per telèfon (2)
Treballo en un departament on rebem moltes trucades de proveïdors de l'Ajuntament que volen saber l'estat de tramitació de les seves factures. A l'hora de facilitar-los la informació, és correcte que, tot i que la majoria són SL i SA, no facilitem la informació per telèfon al·legant protecció de dades? El que els diem és que ens enviïn un correu electrònic en què indiquin el número i l'import de la factura.
Com tu dius, si la informació es refereix a persones jurídiques, des del punt de vista de la protecció de dades no hi hauria cap inconvenient a facilitar informació sobre l'estat del pagament. Ara bé, si es tracta d'informació sobre un procediment administratiu, deixant de banda el tema de protecció de dades, el dret a saber l'estat de tramitació correspon només a l'interessat, i per telèfon resulta difícil tenir constància que qui et truca és representant legal de l'empresa interessada. Així doncs, seria una bona pràctica establir un sistema més segur de comunicació d'informació sobre procediments en tràmit.
El NIF a la signatura digital
L’altre dia em comentava un agent de policia local que, en els informes que signen digitalment, apareix el seu nom i NIF complets, i que per protecció de dades voldria un certificat digital que no fessin públiques aquestes dades, per protegir la seva identitat. Sabeu si aquest certificat existeix? (a CATCert diria que no). Penseu que el que demana té sentit? Com a treballador públic que signa informes públics, el seu nom i el NIF han de ser visibles?
Cada titular de la targeta de signatura pot configurar-la de manera que no es visualitzi el NIF en la signatura que apareix en el document. Una altra cosa és que quan s'envia el document electrònicament en PDF, el receptor pot accedir al NIF si va a les propietats del document. En un dictamen de l'APDCAT ja es va evidenciar aquest problema, i de moment no s'ha resolt. De totes maneres, confio que aviat es pugui solucionar aquesta situació.
D'altra banda, es pot sol·licitar al Consorci d'Admnistració Oberta de Catalunya un certificat T-CAT pseudònim. Segons s'explica al seu web, la T-CAT de pseudònim és un certificat qualificat d’empleat públic amb pseudònim de nivell alt del Catàleg de certificats del Consorci AOC, específic per a casos on no es poden mostrar les dades del titular. Les dades personals i d’identificació (nom, cognoms, DNI) no apareixen en el certificat, ja que són substituïdes pel pseudònim indicat. Per això, els potencials titulars de la T-CAT de pseudònim són les persones que, dins de la seva organització, ja disposen de pseudònim regulat: els funcionaris de presons, Mossos d’Esquadra, etc.
El consentiment i la comprovació de requisits per part de les administracions públiques
El Reglament (UE) 2016/679 de protecció de dades (RGPD) disposa que el consentiment s’ha de donar mitjançant un acte afirmatiu clar que reflecteixi una manifestació de voluntat lliure, específica, informada i inequívoca de la persona interessada d'acceptar el tractament de dades de caràcter personal que l’afecta, com ara una declaració per escrit, incloent-hi els mitjans electrònics, o una declaració verbal. Això genera alguns dubtes respecte de l'article 28 de la Llei 39/2015, el qual sembla que estableixi un supòsit de consentiment tàcit.
Certament, en la seva redacció inicial, semblava que l'article 28.2 de la Llei 39/2015 pensava en una mena de consentiment tàcit quan es referia al fet que "es presumeix" que existia el consentiment. El cas, però, és que si del que es tractava era que l'Administració pública competent comprovés determinats documents o el compliment de requisits, ho podia fer sense necessitat de presumir el consentiment de la persona afectada, i la base jurídica per a aquest tractament seria l'article 6.1.e del RGPD (missió en interès públic o exercici de poders públics).
Així mateix, el dret dels ciutadans a no aportar documents que ja obren en poder de l'Administració pública, es podria entendre com un deure de l'Administració pública de recollir i tractar aquests documents, també a l'empara de l'article 6.1.e del RGPD.
A aquesta qüestió de l'article 28 de la Llei 39/2015 es va referir el dictamen de l'APDCAT CNS 35/2017, que podeu consultar en aquest enllaç.
En qualsevol cas, cal tenir present que l'article 28 de la Llei 39/2015 va ser modificat per la LOPDGDD i, en la seva redacció vigent, ja no s'efectua cap presumpció. En relació amb aquest precepte legal i la seva relació amb la protecció de dades també podeu consultar l'article 1 i l'article 2.
Consentiment i dret d'informació
Les administracions públiques, per a l'exercici de les funcions que li són atribuïdes per llei, necessiten el consentiment de les persones interessades per tractar les seves dades personals? Arran de l'entrada en vigor del reglament, les administracions s'han d'adreçar a les persones de les quals tenen dades per donar-los la informació de les dades de què disposen, d'acord amb les exigències del nou reglament?
En primer lloc, era recomanable informar les persones afectades, de qui ja s'havien recollit les dades, sobre els nous aspectes que exigeixen els articles 13 i 14 del RGPD i que abans l'article 5 de la Llei orgànica 15/1999 (LOPD) no exigia. Aquesta informació addicional es podia facilitar amb motiu de qualsevol comunicació, o si era senzill i no implicava gaire esforç (p. ex., per correu electrònic), es podia fer una comunicació només amb aquesta finalitat.
Sobre si calia recollir a partir del RGPD el consentiment respecte de dades personals prèviament recollides, en la majoria de casos les administracions públiques no ho requerien perquè la base jurídica del tractament no és el consentiment, sinó la missió en interès públic o exercici de poders públics (art. 6.1.e del RGPD).
Sobre el cas concret de les llistes de distribució de tramesa d'informació sobre actes, jornades i equivalents, caldria analitzar si es disposava del consentiment previ (en tal cas no caldria tornar-lo a recollir). També caldria valorar si es podria esgrimir l'interès legítim com a base jurídica, que està prohibida a les administracions públiques només en el cas d'exercir les seves funcions (art. 6.1.f del RGPD).
L'encarregat -contractista- de l'Administració pública com a delegat de protecció de dades?
Tinc un dubte sobre com s'ha d'interpretar el RGPD en relació amb l'obligació de disposar de la figura del delegat de protecció de dades. Tota Administració ha de tenir designat aquest delegat per imperatiu de l'article 37.1.a del RGPD. Però tractant-se d'un contractista adjudicatari d'un concurs públic, que s'encarrega de tractar les dades personals per encàrrec del responsable (l'Administració pública), pel sol fet de ser-ho ja està obligat a designar a la vegada un delegat de protecció de dades? O només l'ha de designar si compleix els requisits que determina l'article 37.1 b i c?
L'empresa adjudicatària, si accedeix a dades personals per executar el contracte, ocuparia la posició d'encarregat del tractament. En tal cas, pel fet de ser un encarregat del tractament de l'Administració pública, no necessàriament hauria de tenir designat un delegat de protecció de dades, sinó que aquesta obligació dependria de si encaixa en els supòsits establerts en l'article 37.1.b o c del RGPD o l'article 34 de la LOPDGDD.
Accés a dades de professionals que consten en expedients
Entenc que en l'accés per part de tercers a un expedient acabat en què figuren dades de persones físiques professionals (arquitectes, autònoms de la construcció, advocats, etc.), no és necessari esborrar les dades de contacte (adreça electrònica, nom, adreça postal, telèfon, número de col·legiat, etc.) si són dades que ells mateixos tenen publicades a Internet fent referència a la seva activitat professional, i que l'únic que caldrà eliminar és el NIF. En aquest cas seria convenient, al meu entendre, guardar l'evidència de les dades trobades a Internet dins l'expedient.
Certament és una bona pràctica la que comentes, ja que les dades a facilitar serien dades de contacte que els mateixos professionals segurament publiciten. Per contra, el NIF pertany a l'esfera privada de les persones, i a més resulta del tot sobrer facilitar-lo en el context d'una sol·licitud d'accés.
Publicació de notes d'estudiants en portals educatius
Plantejo uns dubtes que ens apareixen tot sovint en els entorns educatius públics:
1) Els llistats de notes d'accés a la universitat i el llistat de notes d'una assignatura es poden publicar, o afecten límits d'intimitat (surten les notes de les persones afectades)?
2) No publicar els llistats podria infringir la llei de transparència, en el supòsit que tots els companys d'una classe o promoció voldrien saber les notes de la classe (per saber si un company ha obtingut una nota que teòricament no es correspon amb el seu esforç o coneixements).
Sobre la consulta relativa a la publicació de les notes dels alumnes, en l'àmbit universitari la llei general universitària habilitava expressament la identificació dels alumnes en la publicació de les notes. En concret, la disposició addicional 21 de la Llei orgànica 4/2007, de modificació de la Llei orgànica 6/2001, d'universitats, disposava el següent:
"3. No será preciso el consentimiento de los estudiantes para la publicación de los resultados de las pruebas relacionadas con la evaluación de sus conocimientos y competencias ni de los actos que resulten necesarios para la adecuada realización y seguimiento de dicha evaluación."
Per tant, estava expressament habilitada per una llei estatal la publicació de les dades personals identificadores dels estudiants universitaris amb motiu de la publicació de les notes. Ara bé, tal publicació es pot fer amb el nom i cognoms però sense utilitzar també el NIF, el qual seria clarament sobrer. Em consta, però, que moltes universitats utilitzen per a la identificació els codis interns (NIP-NIA, etc.), cosa que certament sembla que s'ajusta millor al principi de minimització. Cal tenir en compte que en principi, quant a les notes dels alumnes, no estem davant d'un procediment de concurrència competitiva o selectiu, i per tant no sembla necessari identificar totes les persones afectades.
No obstant això, la Llei orgànica 6/2001 i la Llei orgànica 4/2007 han estat derogades per la Llei orgànica 2/2023, de 22 de març, del sistema universitari. Aquesta norma no preveu la publicitat de les notes, segurament perquè les universitats ja disposen de mecanismes per permetre que cada persona estudiant pugui accedir a la seva qualificació a través de mitjans electrònics, cosa que eximiria de la necessitat de publicar les notes.
Pseudonimització i anonimització de dades
En el RGPD es parla del concepte de pseudonimització de les dades. Quina diferència hi ha entre aquest concepte i l'anonimització? En pots donar algun exemple, si us plau?
L'anonimització o dissociació és quan es trenca el vincle de manera que una informació no es pot vincular a una persona determinada, és a dir quan no es pot fer reversible. En canvi, la pseudonimització no impedeix que seguim parlant de dades personals. Consisteix a atribuir una codificació (p. ex., un número) a una persona de manera que qui està tractant les dades amb el codi desconeix qui és la persona a la qual es refereix la informació, però el responsable del tractament té sota la seva custòdia la informació que permet vincular un codi a una persona.
Un exemple en seria el número d'identificació que tenen els funcionaris de presons, o per exemple el codi que s'atribueix a l'examen de cada opositor, de manera que qui corregeix l'examen desconeix la persona autora de l'examen.
Requeriments de dades per l'Administració tributària o pels serveis d'inspecció
Treballo a recaptació executiva d'impostos i altres ingressos de dret públic i sovint ens trobem que, quan fem requeriments d'informació, les persones requerides al·leguen la protecció de dades per no facilitar íntegrament la informació sol·licitada.
Certament hi ha molts casos en què es posa com excusa la protecció de dades, quan el que pertoca és facilitar la informació. En aquest cas, la col·lisió no és amb la transparència, sinó amb l'exercici d'una potestat pública que correspon a les administracions tributàries, i per tant estaria habilitat de manera genèrica per l'article 6.1.e del RGPD. La Llei general tributària autoritza expressament la comunicació de dades quan les requereix l'Administració tributària, sempre que les dades sol·licitades siguin necessàries, de manera que cal evitar peticions genèriques i massives. Però, fins i tot en el cas de requeriments de dades molt concretes i del tot justificades, de vegades equivocadament s'hi posen impediments.
El mateix es pot dir quan el requeriment d'informació el fan els òrgans que exerceixen potestats d'inspecció i control. Per a aquest supòsit concret es podria afegir també el que estableix l'article 18 de la Llei 39/2015, que obliga expressament a facilitar la informació requerida que inclogui dades personals, tret que afectin l'honor o la intimitat, i en algun cas més molt específic, com ara la garantia de confidencialitat en relacions metge-pacient o advocat-client).
Ús de l'adreça electrònica per a notificacions electròniques
A la nostra base de dades de gestió i recaptació de tributs, entre les dades personals que hi consten hi ha les adreces electròniques i els telèfons dels contribuents que han consignat en fer una sol·licitud (per exemple, en una sol·licitud de fraccionament de pagament o d'un benefici fiscal) o han facilitat presencialment a l'Oficina d'Atenció al Ciutadà. Encara que no tinguem en la majoria de supòsits un consentiment exprés i signat pel ciutadà que n'autoritzi l'ús per a qualsevol tipus de notificació que els dirigim, es podria fer?
Sobre la possibilitat d'utilitzar l'adreça electrònica o el mòbil per a notificacions electròniques de l'Administració pública, el punt de partida és que en el cas de persones físiques no existeix l'obligació de suportar aquest mitjà (art. 14.2.a de la Llei 39/2015), de manera que només es pot tractar aquesta dada de contacte si es compta amb el consentiment de la persona afectada, tret que la persona física en qüestió pertanyi a algun dels col·lectius esmentats a l'article 14.2 de la Llei 39/2015 com a col·lectius que estan obligats a relacionar-se electrònicament.
Sobre aquesta base, només podem utilitzar aquesta dada (adreça electrònica o mòbil) si tenim el seu consentiment. Com ja he dit en apunts anteriors, si exigim el consentiment exprés o explícit implicaria haver de marcar una casella específica per consentir la notificació per aquests mitjans, opció que segurament és la més recomanable, però no és estrictament obligada. En efecte, el consentiment per a aquest tractament no caldria que fos exprés o explícit, sinó que el que exigeix el RGPD és que sigui inequívoc, i això descarta el consentiment tàcit però permet l'implícit. És a dir, si una persona presenta un escrit en relació amb un tribut (p. ex., per modificar el número de compte corrent) i indica en el seu escrit la seva adreça electrònica i/o número de mòbil, es podria entendre que està donant el seu consentiment inequívoc perquè se li notifiqui per aquest mitjà el que correspongui sobre aquella sol·licitud. Una altra cosa seria que es disposi de l'adreça electrònica perquè l'havia facilitada en un altre tràmit que no tenia res a veure amb l'actual, com seria el cas d'haver-se donat d'alta per rebre un butlletí d'activitats culturals de l'ajuntament.
Divulgació d'una sentència amb dades personals
Em sembla increïble la manca de sensibilitat en casos com la sentència dictada per l'Audiència Provincial de Navarra (en el cas de La Manada). Aquesta sentència deixa al descobert les dades personals de la víctima…
El cas que cites de la divulgació de la sentència de La Manada certament és una mostra de poca sensibilització amb el dret a la protecció de dades. A més, en casos com aquest la vulneració d'aquest dret pot implicar també posar en risc altres drets fonamentals.
Per si algú no ho sap, es va divulgar la sentència als mitjans de comunicació amb les dades personals (de la víctima i dels condemnats) ocultes, però es va deixar el codi segur de verificació (CSV) visible, de manera que qualsevol podia accedir al document íntegre si acudia a la seu electrònica. Per sort, es va mantenir el problema durant només unes hores, però òbviament suficients perquè hi hagués accessos indeguts.
Si això hagués passat un cop era aplicable el RGPD, seria un exemple clar de violació de seguretat que hauria posat en risc els drets i les llibertats de les persones, i per tant caldria notificar-ho a l'autoritat de control competent, que en aquest cas seria l'AEPD i també el Consell General del Poder Judicial.
Vigència de contractes de l'encarregat del tractament
Estem redactant un plec de clàusules i no sabem quina clàusula sobre protecció de dades hem de posar.
La norma de referència i que has de tenir en compte en la redacció dels plecs dels contractes, i citar-la, és el RGPD, que és d'aplicació directa. Precisament el tema de la relació entre el responsable del tractament i l'encarregat està regulat pel RGPD, per tant no hi ha cap dubte que és aquesta la norma de referència.
Els contractes que s'havien formalitzat abans de l'aplicació del RGPD (25 de maig de 2018), ja no són vigents, de conformitat amb la disposició transitòria cinquena de la LOPDGDD, que estableix que els contractes d’encarregat del tractament subscrits abans del 25 de maig de 2018 a l’empara del que disposa l’article 12 de la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal, mantenien la seva vigència fins a la data de venciment que assenyalin i, en cas que s’hagués pactat de manera indefinida, fins al 25 de maig de 2022.
Accés a dades de menors del padró d'habitants
La meva pregunta es planteja en el cas de divorci amb sentència judicial i fills menors. El domicili dels fills menors del matrimoni dissolt és el domicili de la mare on es troben empadronats. El pare pot demanar full d'empadronament? Necessita el permís de la mare, amb custòdia absoluta dels nens? En cas d'haver de preguntar a la mare es podria fer per telèfon? I en cas de custòdia compartida?
Certament genera alguns dubtes, en el cas de matrimonis separats i amb fills, la possibilitat que un progenitor pugui accedir a les dades del padró que consten respecte de l'altre progenitor. En cas de custòdia atorgada a un dels progenitors, si el progenitor no custodi demana accés a la informació del fill (i per tant del progenitor custodi), s'hauria de donar audiència a la persona afectada (progenitor custodi), i si no manifesta res en contra o s'hi oposa però sense motius que ho justifiquin, al meu entendre seria procedent facilitar-hi l'accés, atès l'interès legítim evident de l'altre progenitor a saber el lloc de residència del seu fill quan aquest està amb el progenitor custodi. De fet, en les sentències de divorci s'acostuma a exigir l'obligació de comunicar-se aquestes adreces entre els progenitors. Però si no ho fan i es vol accedir via padró municipal, caldria tramitar-ho en la forma que he esmentat, de conformitat amb la llei de transparència. D'aquesta audiència al tercer afectat (progenitor custodi), caldria deixar-ne constància escrita, i per tant no sembla idoni fer-ho per telèfon.
El que no és procedent és que l'ajuntament contesti al progenitor que demana la informació que no se li donarà si no porta l'autorització expressa i escrita de l'altre progenitor. Una cosa és donar audiència i una altra diferent és exigir al sol·licitant que porti l'autorització de l'altre afectat, cosa que no té cap sentit perquè, si li dona l'autorització, seria més lògic que ja li faciliti directament la informació que demana. El que he explicat entenc que serviria també per al cas de custòdia compartida.
Format de l'adreça electrònica de policies i altres col·lectius equivalents
Tinc una pregunta sobre la protecció de les dades personals constitucionalment protegides dels cossos de seguretat, com la Policia Nacional o els Mossos d'Esquadra. Si l'Administració ha de tenir una cura especial amb aquestes dades…, com pot ser que les adreces electròniques d'aquests funcionaris continguin el seu nom i cognoms? No és una vulneració directa d'aquest dret?
En efecte, són col·lectius que requereixen una protecció especial, per les seves funcions en l'àmbit de la seguretat pública, com també passa amb els funcionaris de presons. Per això normalment en les seves actuacions no fan constar el seu nom i cognoms, sinó el número de la targeta d'identificació personal (TIP).
Seria un exemple de dada personal pseudonimitzada. Conec casos de correus electrònics d'agents de policia i l'adreça no permet identificar-los, en ser un codi numèric. Pel que dius, intueixo que no és així en tots els cossos policials. Al meu entendre en aquest cas està justificat evitar la identificació amb el nom i cognoms, com també passaria amb els inspectors quan van a fer una inspecció, els quals també d'entrada es podrien identificar amb un codi.
Abús del permís d'accés a dades, en teoria necessari per a les funcions encomanades
Conec funcionaris que han fet abús de l'accés de dades personals d'altres persones, encara que no per divulgar-les, sinó pel simple fet de conèixer-les. Voldria saber si aquest fet es podria regular d'alguna manera, simplement per poder estar tranquil·la que una persona pel simple fet de ser funcionària pugui tenir accés a dades personals d'altres persones.
Malauradament existeixen casos d'empleats d'una organització que tenen un perfil -o permisos- d’accés als sistemes d’informació que els permet accedir a moltes dades, i a vegades aprofiten aquesta situació per accedir a dades sense que hi hagi una justificació per les seves funcions.
Podem tenir dos problemes. Un primer problema seria una assignació de perfils defectuosa, per permetre l'accés a dades personals quan no seria necessari per a les funcions encomanades. Durant la vigència de la Llei orgànica 15/1999 (LOPD) i el Reial decret 1720/2007 (RLOPD), s’exigia com a mesura de seguretat que els usuaris dels sistemes d’informació (empleats de les organitzacions) només accedissin a les dades necessàries per a les seves funcions, de manera que si es detectaven perfils amb accessos injustificats, s’incomplia una mesura de seguretat. Aquesta idea aniria en línia del principi de minimització de les dades establert a l’article 5.1.c del RGPD. Per la seva banda, quan el RGPD regula les mesures de seguretat a l’article 32, ho fa de manera àmplia, però caldria entendre que també s’exigeix aquesta idea de permetre només els accessos justificats per les funcions de cada usuari. De fet, l'article 32.4 del RGPD determina que el responsable i l'encarregat del tractament han de prendre mesures per garantir que qualsevol persona que actua sota l'autoritat del responsable o de l'encarregat i que té accés a dades personals només pot tractar aquestes dades seguint instruccions del responsable, tret que hi estigui obligada en virtut del dret de la Unió o dels estats membres.
Un segon problema és quan una persona que, per les seves funcions, ha de tenir un nivell de permisos amb accés a un conjunt de dades, abusa d’aquesta potestat per accedir en algun cas que no està justificat. Algú pot pensar que si, d'una banda, un usuari està habilitat pel seu perfil i, d'una altra, està sotmès al deure de confidencialitat o secret, no hi hauria problema. Però sí que n'hi ha, perquè des del moment que un usuari aprofita els seus permisos per consultar dades de manera aliena a les seves funcions, la vulneració del dret ja es comet, amb independència que després comuniqui o no la informació a un tercer -cosa que en cas de produir-se seria una altra vulneració.
Per evitar aquestes situacions, en les dades sensibles, com ara de salut, s’exigien mesures de seguretat de nivell alt que implicaven disposar d’un registre d’accessos que permet identificar tots i cadascun dels accessos a la informació, la qual cosa permet detectar aquests eventuals accessos indeguts. El mateix precepte que exigia aquesta mesura (art. 103 del RLOPD), en l'apartat 5 exigia al responsable de seguretat revisar els accessos i fer-ne un informe mensual.
Accés de l'empresa al motiu d'incapacitat (baixa) del treballador
El departament de personal d’una administració pública pot demanar a un treballador la còpia de la baixa laboral per al treballador (no la còpia per a l’empresa), al·legant que així ho recull el conveni col·lectiu pactat entre Administració i sindicats?
Hi ha convenis i/o normes laborals que han establert la possibilitat de mantenir el 100% de les retribucions en determinats supòsits de baixes, vinculats a unes malalties o situacions de salut. En tal cas, per verificar que efectivament es troba en una d’aquestes situacions, és lícit que l’empresari ho verifiqui.
Ara bé, per conciliar bé el dret de l’empresari a verificar si correspon el 100% i el dret a la intimitat del treballador, hi ha solucions. Per exemple, elaborar un model perquè el treballador el presenti al metge i que aquest el signi, on s’indiqui simplement que la persona està en una de les situacions que li permeten mantenir el 100% de les retribucions.
Reacció davant de la divulgació de dades personals excessives
Si un ens publica una llista d'admesos amb el NIF complet més les inicials de cada persona participant, qualsevol ciutadà, interessat o no en el procediment, pot demanar que es retiri aquesta publicació per excessiva? Si algú accedeix a aquestes dades i després en fa una difusió posterior, podria incórrer en alguna responsabilitat?
Qualsevol persona pot denunciar una possible vulneració del dret a la protecció de dades, encara que afecti altres persones. A aquest respecte, cal tenir en compte com defineix l’article 62.1 de la Llei 39/2015 la denúncia: “l’acte pel qual qualsevol persona, en compliment o no d’una obligació legal, posa en coneixement d’un òrgan administratiu l’existència d’un fet determinat que pugui justificar la iniciació d’ofici d’un procediment administratiu”.
Davant d'això, seria l’autoritat de control competent la que hauria d’ordenar la retirada de la informació personal excessiva. En un cas com aquest, en realitat el problema seria utilitzar unes dades personals inadequades, ja que el correcte seria identificar els aspirants pel nom i cognoms (no inicials), sense cap dada personal més. Posar les inicials amb el NIF, en un determinat context, el que provocarà és que almenys els aspirants arribin a conèixer el NIF dels seus contrincants, dels qui en un moment o altre sabran la identitat.
Sobre la segona pregunta, en efecte, si un tercer fa una redifusió de la informació, en seria responsable.
Dit això, en preguntes anteriors ja he detallat com s'han d'identificar les persones interessades en la publicació d'actes administratius d'acord amb la disposició addicional setena de la LOPDGDD.
Captació i difusió d'imatges o d'altres dades d'empleats públics
Un ciutadà pot captar imatges d'empleats públics i difondre-les en xarxes socials sense el consentiment dels empleats? Hem d'acceptar que les nostres dades es puguin difondre d'una manera indiscriminada?
En principi, un ciutadà no podria gravar la imatge d’empleats públics i difondre-la en xarxes socials sense el consentiment dels empleats afectats. Ara bé, no descarto que hi hagi algun cas excepcional en què es produeixi alguna situació singular, com ara una protesta pública d'un col·lectiu en edificis públics, o en alguna reivindicació, en la qual incidentalment o d'una manera accessòria aparegui la imatge d’algun empleat.
Al marge d'aquests casos de difusió d'imatges d'empleats, la resta de les dades personals dels treballadors públics no es poden tampoc transmetre ni difondre lliurement. Una altra cosa és que, quan l'article 24 de la Llei 19/2014 regula el límit de les dades personals, en l'apartat 1 identifica les que són merament identificadores que consten en la informació vinculada a l'activitat, l'organització o el funcionament de les administracions, tipologia que inclou les dades dels empleats públics intervinents. En aquest cas, el precepte estableix la regla general d'accés, sens perjudici que en el cas concret prevalgui la protecció de dades o altres drets dels empleats afectats.
Enviament de dades personals a un tercer per error
Un alumne demana un certificat acadèmic (amb el detall de totes les assignatures cursades i notes obtingudes) a la seva universitat i aquesta l’envia erròniament per correu ordinari a una tercera persona, de manera que aquesta tercera persona té accés a les dades acadèmiques detallades d’un altre alumne. En quina responsabilitat incorreria la universitat en qüestió?
Malauradament aquestes coses passen, encara que per sort no sovint. Estaríem davant d’un incident de seguretat que hauria afectat la confidencialitat de les dades, atès que s’hauria consumat un accés per part d’un tercer no autoritzat.
Per a situacions com aquesta, el RGPD incorpora una novetat, com és l’obligació de comunicar aquesta violació de seguretat (forat de seguretat) a l’autoritat corresponent (art. 33), tret que sigui improbable que es generi un risc per als drets i les llibertats de les persones. A banda d’això, cal portar un control intern, com una mena de registre d’incidències. A més, el RGPD afegeix a l’article 34 que si la violació de seguretat genera un risc alt per als drets i les llibertats de les persones afectades, obliga també a comunicar-los la violació.
Un cop notificada la violació de seguretat a l’autoritat, aquesta ha de fer un seguiment i pot requerir l’adopció de mesures per mitigar els riscos per a les persones, i també requerir l’adopció de mesures per millorar la seguretat. No necessàriament implicaria la tramitació d’un procediment sancionador, tret que clarament els fets s’haguessin de qualificar com una infracció de les que estableix el RGPD.
Exigència d'identificació per ser atès a les oficines d'atenció ciutadana
Sé d'oficines d'atenció ciutadana en què si el ciutadà no s'identifica perquè no porta el NIF, per exemple, no se l'até. Això seria lícit per donar una informació general de tràmits generals a realitzar en un procediment? Entenc que seria diferent per accedir a un expedient.
L'exigència del NIF només estaria justificada per als tràmits en què cal acreditar la identificació. Si no és així, seria absolutament desproporcionat i contrari al principi de minimització de les dades (art. 5.1.c del RGPD) requerir el NIF per informar sobre un tràmit general, o sobre els requisits per dur a terme una activitat, informació que ha d'estar disponible en el web institucional i, per tant, consultable per qualsevol persona sense necessitat d'identificar-se.
Divulgació de dades personals dels empleats públics
No sé fins a quin punt les nostres dades personals com a treballadors públics es poden transmetre i se'n pot fer difusió pública a les xarxes socials. Per exemple, si enviem un correu amb la resposta a una consulta, el ciutadà pot fer-la pública mitjançant xarxes socials, fòrums, etc., amb les nostres dades personals (nom, cognoms i càrrec)?
Quan actuem com a empleats públics, com és el cas que tu dius contestant consultes, expedint certificats o signant notificacions, òbviament que la persona destinatària ha de conèixer el nom i cognoms de qui està actuant. Ara bé, això no l’autoritza a divulgar les dades personals que consten en aquell document que se li ha enviat, almenys en el cas de dades d’empleats públics que ocupen llocs tècnics o llocs base. Per tant, una eventual divulgació no consentida podria vulnerar el dret a la protecció de dades dels empleats afectats.
Una altra cosa seria el cas de documents signats per càrrecs electes o alts càrrecs, en aquest cas podríem entendre que han de suportar aquesta mena de publicitat, perquè forma part del càrrec.
Accés a dades publicades a Internet i indexació dels cercadors
Em preocupa que amb les exigències de transparència es publiquen molts documents a Internet que contenen moltes dades personals, als quals en principi pot accedir qualsevol persona que estigui a l'altra punta del món i que tingui connexió a Internet, i serà disponible de manera permanent. Hi ha casos en què això pot estar justificat, per exemple el pla docent d'una assignatura, però en altres documents no hauria de ser així.
Amb la teva consulta planteges un problema que es presenta a causa de la globalitat d’Internet. Un document es publica en un web i certament permet accedir-hi des de molt lluny, en l’espai i en el temps. Ara bé, una cosa és que s’hagi de publicar a Internet, i una altra cosa és que hagi d’estar accessible a tothom i de manera permanent.
El cas del pla docent al qual et refereixes, per exemple, hauria d’estar accessible al col·lectiu que fa aquella assignatura. En aquest cas és evident que resulta necessari que els estudiants puguin accedir al pla docent per poder seguir l’assignatura. Però això es podria fer de manera restringida. Ara bé, també és cert que per publicitar uns estudis, per exemple un màster, la universitat en qüestió podria divulgar informació sobre els estudis, incloent-hi els plans docents, però en tal cas caldria el consentiment dels afectats, com seria el professorat, o la concurrència d'una altra base jurídica que legitimés aquest tractament.
En tot cas, i això serviria per a molta informació publicada a Internet, una cosa és que hi hagi l’obligació de publicar -o que estigui justificat-, per exemple, al portal de la Transparència en webs concrets, incloent-hi dades personals quan hi ha base jurídica, però això no implica que les dades personals incloses siguin indexades pels cercadors d’Internet (Google, etc.) si la cerca es fa pel nom i cognoms dels afectats. Hi ha eines que permeten als responsables del tractament impedir als cercadors que s’indexin aquests documents, de manera que només estan visibles per als qui acudeixen a través del web on està publicat. L'APDCAT ja s'hi referia en una recomanació de l'any 2008, relativa a la publicació de dades a Internet.
Accés a la identitat i la signatura de professionals
He llegit un article d'acord amb el qual davant d'una petició d'accés a informació sobre qui era l'arquitecte en les llicències d'obres atorgades durant un període de temps, s'havia de facilitar aquesta informació. Això és realment així? No s'hauria de ponderar si per a la finalitat de l'accés és necessària o no aquesta informació i, en qualsevol cas, imagino que amb dret d'audiència? A més, tinc entès que cal ocultar la signatura manuscrita.
Certament hi va haver un cas plantejat davant l'APDCAT d’accés a dades dels arquitectes que havien intervingut en els projectes en què s’havia atorgat la llicència d’obres de l’ajuntament, en què es va considerar que prevalia el dret d’accés i calia facilitar la identitat dels arquitectes. En aquell cas es considerava que estava vinculat a la finalitat de transparència conèixer la identitat dels arquitectes en els projectes en què s’atorgava la llicència, ja que era una informació que podria tenir una rellevància des del punt de vista del control de l’Administració (sospita de tractes de favor, etc.).
Ara bé, certament es podria plantejar una altra sol·licitud en uns termes en què no seria necessari facilitar aquesta identitat. Però en aquell cas es va considerar que eren dades vinculades a l’àmbit professional, i no a l’esfera privada.
Quan us demanen accés a un projecte és correcte ocultar la signatura manuscrita, però, pel que fa al nom i cognoms de l’arquitecte, depèn del cas i la finalitat que s’hagués pogut esgrimir en la sol·licitud. En tot cas, si es demana còpia del projecte es podria afectar la propietat intel·lectual, i per tant des d'aquesta òptica també caldria donar audiència al titular d’aquest dret (arquitecte).
Videovigilància a la via pública amb fins policials
Amb l'entrada en vigor del RGPD em sorgeix un dubte sobre els sistemes de videovigilància que instal·len els municipis a la via pública, controlats per la policia local, amb la finalitat de seguretat pública. Entenc que en aquest cas el tractament segueix subjecte a les determinacions de la Llei orgànica 4/1997, desplegada a Catalunya pel Decret 134/1999 i que, per tant, continua sent necessària l'autorització de la Comissió de Control de Dispositius de Videovigilància de Catalunya (CCDVC). Em pregunto si en aquest cas serà exigible l'avaluació d'impacte que disposa el RGPD.
En el cas de tractaments efectuats per sistemes de videovigilància de la policia local amb finalitats de seguretat pública, i en concret per prevenir infraccions penals, no s'aplica el RGPD, sinó que estarien sotmesos a la Directiva 2016/680, aprovada en paral·lel al RGPD, que s'ha transposat a Espanya mitjançant la Llei orgànica 7/2021, que no els disposa per a les instal·lacions de càmeres fixes a la via pública.
Tot i això, el criteri de l'APDCAT expressat en el dictamen CNS 21/2022 és que la instal·lació de videocàmeres fixes també restaria subjecta a la prèvia autorització de la Direcció General d’Administració de Seguretat del Departament d’Interior, previ informe de la CCDVC. En aquest sentit, l'APDCAT argumenta que la Llei orgànica 4/1997 estableix un règim d’autorització prèvia per a la instal·lació de videocàmeres fixes com a garantia en l’ús de sistemes de videovigilància policial inspirada en el principi de proporcionalitat, en la seva doble vessant d’idoneïtat i intervenció mínima (art. 3). I afegeix que la Llei orgànica 7/2021 no considera la derogació expressa d’aquesta norma. Per aquest motiu, la CCDVC en la seva reunió de 7 de juliol de 2021, va considerar que calia entendre que era vigent l’exigència d’autorització per a la instal·lació d'un sistema fix de videovigilància, d’acord amb la Llei orgànica 7/2021 i la Llei orgànica 4/1997.
Així, mentre no hi hagi elements addicionals que permetin aclarir els dubtes interpretatius que es deriven de la interrelació entre ambdues lleis, per tal d’aportar més seguretat jurídica, les autoritats de protecció de dades de l’estat espanyol (AEPD, APDCAT, AVPD i CTBGA), tenint en compte la doctrina del Tribunal Constitucional sobre la necessitat que els límits als drets fonamentals s’interpretin amb criteris restrictius i en el sentit més favorable a l’eficàcia i l’essència d’aquests drets, i que la Llei orgànica 4/1997 ofereix més garanties per a la protecció del dret fonamental a la protecció de dades, també han adoptat un acord que palesa el manteniment de l’exigibilitat de l’autorització per a les càmeres fixes.
Dit això, l'article 16.1 de la Llei orgànica 7/2021 estableix expressament que el responsable del tractament ha d'efectuar una anàlisi de riscos o una avaluació d'impacte de protecció de dades.
Comunicació de dades d'un concessionari a l'Administració pública titular del servei
El meu dubte està relacionat amb les sol·licituds dirigides pels usuaris d'un servei públic gestionat per una empresa concessionària. Si la persona usuària sol·licita expressament que les seves dades facilitades amb la sol·licitud dirigida al concessionari, siguin preservades i no es facilitin a l'Administració titular del servei públic, la concessionària les pot difondre als tècnics municipals tot i l'advertiment exprés de la persona usuària?
Pels termes en què planteges la pregunta, entenc que no et refereixes a un cas de sol·licitud d'accés a informació que gestiona la concessionària en la prestació del servei adjudicat per l'Administració pública, sinó que el cas seria que una persona usuària del servei dirigeix un escrit o una sol·licitud a la concessionària, però no vol que es posi en coneixement de l'Administració pública titular del servei.
A aquest respecte, cal atenir-se al cas concret, però si per exemple la persona ha fet una queixa a la concessionària, els plecs del contracte formalitzat entre l'Administració pública i el concessionari, el poden haver obligat que traslladi a l'Administració pública titular del servei qualsevol queixa que formuli una persona usuària. Ara bé, també podria passar que perquè l'Administració pública tingués coneixement de la queixa, es podria traslladar però evitant la identificació de la persona, sobretot si aquesta havia sol·licitat expressament que no facilitessin les seves dades a l'Administració pública.
També el resultat final podria dependre de si la concessionària actua com a encarregada del tractament o com a responsable, cosa que de vegades pot variar. En tot cas, en el moment en què la persona va facilitar les seves dades a la concessionària amb motiu de la seva sol·licitud, se l'hauria hagut d'informar de manera clara sobre el que estableix l'article 13 del RGPD, i en concret sobre les comunicacions establertes.
Accés a dades personals del compte general de l'ajuntament en exposició pública
Seria obligatori penjar al portal de la Transparència tot l'expedient del compte general de l'ajuntament que es troba en tramitació, dins del període d'exposició pública?
A l'APDCAT es va plantejar un tema semblant, ja que s'havia denunciat que, en el tràmit d'exposició pública del compte general d'un ajuntament, qualsevol persona podia accedir a les dades personals que incloïa. Es va dictar resolució d'arxiu perquè es va considerar que no s'havia acreditat un accés il·lícit a dades personals.
En la resolució s'argumentava que el tràmit d'informació pública, segons el que regulava la legislació de procediment, no permetia l'accés a l'expedient complet incloent-hi totes les dades personals que hi constaven, sinó que calia tenir en compte les restriccions establertes a la legislació de transparència. Igualment, també es recordava l'aplicació del principi de qualitat, en la vessant de proporcionalitat (anomenat principi de minimizació al RGPD, article 5.1.c).
Us facilito l'enllaç a la resolució per si voleu accedir a l'argumentació completa de l'APDCAT.
Divulgació de dades d'empleats públics
Sobre les nostres dades personals com a treballadors públics, no entenc per què es poden transmetre i fer-ne difusió.
Les dades personals dels treballadors públics no es poden transmetre ni difondre lliurement. Una altra cosa és que quan l'article 24 de Llei 19/2014 regula el límit de les dades personals, en l'apartat 1 identifica les que són merament identificadores, que consten a informació vinculada a l'activitat, l'organització o el funcionament de les administracions, i que inclou les relatives als empleats públics que hi intervenen. En aquest cas, el precepte disposa la regla general d'accés, sens perjudici que en el cas concret prevalgui la protecció de dades o altres drets dels empleats afectats.
Dades d’avaluació de professorat universitari
Un dels temes recurrents a les universitats és si es poden fer públics els resultats de les avaluacions, tant dels estudiants com dels professors. En el cas dels estudiants, s'ha passat de posar les llistes amb noms i qualificacions a la porta del despatx, a fer-ho amb DNI, i actualment es fan arribar als estudiants mitjançant el seu portal.
En el cas dels professors, hi ha diversitat de posicions: universitats que les fan públiques i d'altres que no. Com pots ponderar el dret d'un estudiant de conèixer els resultats de les avaluacions del seu professorat (que es recullen mitjançant enquestes als estudiants) i el dret del professor que no se sàpiga aquesta informació? Són dades personals? L'estudiant pot justificar que vol conèixer els resultats del professorat per saber si el tria en una propera matrícula i els professors tenen dret que aquestes dades siguin confidencials si afecten la seva reputació.
Quant a la nota dels alumnes, transcric aquí el que ja vaig contestar a una pregunta en la primera edició del MOOC, i que està recollida en les FAQ. Poso l’accent en el fet que de cap manera s’hauria de publicar el nom i cognoms i el DNI conjuntament, cosa que s’ha prohibit expressament en la disposició addicional setena de la LOPDGDD.
Pagament per tercer de tributs (accés a dades tributàries d’un tercer)
M'agradaria fer una consulta de tipus tributari. D'acord amb l'article 33 del Reglament general de recaptació, és possible que un tercer faci el pagament del deute d'un altre contribuent, fins i tot amb el desconeixement d'aquest darrer. Si és així, en principi vol dir que aquest tercer podria sol·licitar una carta de pagament, bé del deute d'un contribuent en concret o bé, per exemple, del d'un immoble.
Entenc que l'Administració està obligada a facilitar aquesta carta de pagament. És una obligació en estar estipulat en un reglament, o podria denegar-ho?
En cas que fos obligat, que així ho entenc, significa que un tercer, encara que sigui amb l'objectiu de fer front el pagament d'un deute, estaria obtenint de manera indirecta informació del deute, o bé d'un altre contribuent o bé d'un immoble. Aquesta darrera informació, la del deute, és protegida?
Aquest dubte em sorgeix per contraposició als requeriments i la necessitat de ser persona interessada quan es demana un certificat o un informe respecte dels deutes d'un contribuent o d'un immoble. Si cal acreditar ser persona interessada en aquest darrer cas, com pot ser que sigui viable obtenir informació similar simplement sol·licitant l'opció que ofereix l'article 33 del RGR? Quina seria la forma més adient per fer possible tots dos drets?
Sobre el pagament per tercer, a l’APDCAT han arribat diverses denúncies. Consulteu aquest enllaç a una resolució en la qual l'APDCAT declarava la comissió d’una infracció a la LOPD.
Molt resumidament, els casos que arriben a l'APDCAT són molt semblants al que aquí es planteja: una persona acudeix a una administració tributària dient que té intenció de pagar el deute d’algú altre, i li donen la carta de pagament perquè el pugui fer. En aquesta carta òbviament hi ha informació personal del tercer afectat. Segurament en la majoria de casos tothom actua de bona fe, i qui demana la carta de pagament (el tercer) ho fa perquè així ho ha acordat amb el deutor, de manera que es fa el pagament i no hi ha més problemes. Però de vegades sembla que no és així, i una persona acudeix dient que vol fer el pagament de tots els deutes d’una persona concreta, i sembla que el que es fa és facilitar-li la carta de pagament amb tots els deutes, sense demanar cap mena de document que n'acrediti la representació. Amb això és evident que es produeix una revelació de dades personals i, si no hi havia consentiment de la persona afectada, es vulnera el dret d’aquesta. A criteri de l’APDCAT en les resolucions dictades en els procediments esmentats, la determinació legal d’acceptar el pagament per tercer significa que l’Administració ha d’admetre que un tercer pagui per compte del deutor, però això s’hauria de ser possible sense revelar dades personals.
Informació personal facilitada per telèfon
Fins a quin punt podríem facilitar informació respecte al pagament o no d'un rebut, liquidació o autoliquidació per telèfon o a través de la recepció d'un correu electrònic (no signat amb certificat digital)? Si s'ha de denegar, quina seria la millor manera de comunicar-ho?
De cap manera s'ha de facilitar informació personal per telèfon o per correu electrònic si no tenim un sistema que permeti assegurar que l'interlocutor a qui li facilitem la informació és la persona interessada. Ara bé, amb això no vull dir que mai no es pugui donar informació personal per aquests canals, perquè hi ha maneres d'assegurar la identificació, com ara preguntar per una determinada informació que només coneix la persona interessada (número de registre de sortida d'un ofici que suposadament contesta, o un número d'identificació d'un determinat procediment, o la combinació de diverses dades, etc.).
Dades identificatives en edictes i anuncis en diaris oficials
Amb referència a la protecció de les dades personals d'una persona interessada, i davant del dret d'accés d'un tercer, es parla sempre de l’anonimització de les dades de tipus personal. En aquest sentit, en el supòsit d'un edicte de publicació a un diari oficial amb l'objectiu de notificar a una persona interessada que no ha estat possible notificar-ho en paper segons el que indica la Llei de procediment administratiu 39/2015, com hauríem d'anonimitzar les seves dades? Podem indicar nom i cognoms, DNI, número d’expedient i tràmit que es vol notificar? Com s'haurien d’anonimitzar? O bé hi hauria camps que podríem ometre, perquè és informació innecessària?
El tema que planteges es va comentar molt a la primera edició del MOOC. Primer de tot, preciso que en moltes ocasions hem de publicar dades sense anonimitzar, perquè en tal cas es perdria la finalitat perseguida. Per exemple, en el cas que comentes de publicar en els diaris oficials notificacions edictals o per mitjà d'anuncis, és evident que s'ha d'identificar la persona afectada, perquè en cas contrari no tindria cap sentit la publicació, i en cas de no identificar correctament la persona afectada podríem estar davant d’una notificació defectuosa. El que cal evitar, però, és publicar dades excessives, com s'ha fet sovint en publicar el nom i cognoms, DNI sencer i més dades (matrícula, adreça, etc.).
Actualment, la disposició addicional setena de la LOPDGDD disposa que en les notificacions edictals (BOE, DOGC, BOP) s'ha de publicar el NIF de la persona interessada (i res més) a l'efecte d'identificar-la. Personalment em sembla una bona opció publicar només el NIF, que s'ajusta al criteri que manté l'APDCAT.
Publicació de DNI i/o signatura (manuscrita i/o electrònica)
Dels documents que s'han de publicar al Portal de Transparència, com per exemple convenis o encàrrecs de gestió, si aquests estan signats electrònicament i el segell de la firma conté el DNI i el nom dels representants de les parts, com haig de publicar aquest document?
Amb el tema de la signatura electrònica tenim un problema que no està ben resolt, des de la perspectiva de la protecció de dades. Segurament sabeu que podeu evitar que en el document electrònic es visualitzi el DNI de qui signa (sens perjudici que el DNI consti en les propietats del certificat, al qual podrà accedir la persona a qui s’enviï el document PDF signat).
Pel que fa a la publicació a través del Registre de convenis de col·laboració i cooperació de la Generalitat, que s'ha d'integrar en el Portal, d’aquests documents que contenen la signatura, és evident que en cal ometre el DNI. A aquest respecte, l'article 70.2 del Decret 8/2021 especifica que en els casos en els quals la publicació o l'accés a un document administratiu requereixi la identificació de l'autor, s'han d'eliminar, especialment, les dades de localització, el número del document nacional d'identitat o document equivalent i la signatura manuscrita. Si la signatura és electrònica, s'ha de publicar el document signat electrònicament de manera que no es pugui accedir a les propietats del certificat electrònic emprat per a la signatura. Una solució seria fer una còpia autèntica del document signat electrònicament o publicar el document sense signatures, però fent constar qui són les persones signants i el seu càrrec.
Dret de les persones interessades a conèixer la identitat dels empleats i de les autoritats
Tinc un dubte a aquest respecte, que se'm planteja en altres qüestions que hi ha al fòrum i en algun vídeo. Sembla que no es poden donar dades dels empleats o de les autoritats que intervenen en un expedient. Però això no és contrari a l'article 53.1.b de la Llei 39/2015, en què es reconeix el dret de les persones interessades a identificar les autoritats i els empleats que tramiten els expedients?
En efecte, les persones interessades en un procediment tenen dret a exigir que s'identifiquin els empleats i les autoritats que hi intervenen. En les sol·licituds d’accés a informació pública (en les quals la persona sol·licitant no és persona interessada en el procediment), en general, respecte de les dades identificatives dels empleats públics que intervenen per raó del seu càrrec i consten en un document, preval l'accés, tret que excepcionalment en un cas concret prevalguin altres drets protegits constitucionalment (art. 24.1 de la Llei 19/2014).
Dades personals de pàgines web i altres fonts d’accés públic
L’article 58 bis, apartat 2, de la Llei orgànica 5/1985, de règim electoral general, estableix que “Els partits polítics, les coalicions i les agrupacions electorals poden utilitzar dades personals obtingudes en pàgines web i altres fonts d’accés públic per a la pràctica d’activitats polítiques durant el període electoral”. La referència a “fonts d’accés públic” em fa pensar en l’article 3.j de l’antiga LOPD, que deia:
“j) Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación.
Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.”
Aquell precepte emprava dues expressions (“fonts accessibles al públic” i “fonts d’accés públic”), però en un mateix sentit. No calia el consentiment per tractar i cedir les dades incloses en aquestes fonts (art. 6 i 11 de la LOPD). Trobo a faltar aquest concepte en la Llei orgànica 3/2018. És que ja no existeixen? Imaginem que se sol·licita l’accés a dades dipositades en un arxiu que, abans, eren “font accessible al públic” (p. ex., perquè havien estat fetes públiques en un mitjà de comunicació). Durant la vigència de l’antiga LOPD, haurien estat accessibles. Quin règim d’accés tenen ara?
I encara una altra qüestió: per què l’article 58 bis diu “pàgines web i altres fonts”, si els webs no es consideraven fonts accessibles al públic?
El primer que cal comentar és que l'article 58 bis de la Llei orgànica 5/1985 va ser declarat inconstitucional pel Tribunal Constitucional (Sentència del TC 76/2019, de 22 de maig).
Dit això, la menció que l'article que has transcrit feia a les "fonts d'accés públic" superava la determinació anterior de fonts accessibles al públic de l'antiga LOPD, que es referia a uns supòsits restringits i no comprenia la informació disponible a Internet.
Això no tenia sentit perquè òbviament Internet és una font accessible a tothom sense restriccions. I, com tu mateixa has detectat, cal subratllar que la menció era a "pàgines web i altres fonts d'accés públic", de manera que posava al mateix nivell Internet i qualsevol altra font que contingués dades i a les quals es pogués accedir lliurement, de manera que la referència que ens donava l'antiga LOPD s'ha vist superada i ja no seria aplicable. Actualment, l'APDCAT considera com a font d’accés públic qualsevol conjunt d’informació que és de lliure accés per a la ciutadania.
Sobre el que preguntes quant al règim d'accés a informació que obra en poder d'un arxiu d'una administració pública i que havia estat publicada per mitjans de comunicació, amb la LOPD antiga certament aquest darrer detall permetria encaixar-la en el concepte de fonts accessibles al públic, però insisteixo que ara està superat. Per tant, ara s'aplicaria la LTC, de manera que, si no hi ha cap limitació aplicable, s'hauria de facilitar la informació conforme al que estableix la legislació de transparència. A més, si conté alguna informació afectada pels límits de la LTC, caldria aplicar-los segons el que correspongués, si bé en cas d'haver-hi dades personals del segon nivell (dades de l'article 24.2, perquè no encaixen ni en l'article 23 ni el 24.1) i en el moment d'efectuar la ponderació corresponent, caldria tenir en compte el fet d'haver-se publicat prèviament, cosa que jugaria a favor de l'accés.
Comunicació de dades personals a tercers que tindrien un interès legítim (disposició addicional desena de la LOPDGDD)
En relació amb el dret d'accés, em sorgeix el dubte de si, per resolució judicial o altres resolucions del lletrat de l'Administració de justícia, s'embarga un bé immoble, per exemple, i s'adjudica a un tercer, i aquest tercer vol conèixer qui és l'actual titular d'aquest bé immoble. Es tractaria d'una sol·licitud al dret d'accés a la informació o tindria dret a conèixer la informació derivat de la condició de persona interessada? D'acord amb la llei del procediment administratiu, és persona interessada si és titular d'un dret afectat en el procediment, però si no es tracta d'un procediment administratiu (perquè l'anterior titular ho era, per exemple, per una compravenda), hauríem d'anar per transparència, no? S'hauria de donar audiència a l'anterior propietari del bé? Tot i que sembli clar que el nou titular del bé té tots els drets sobre aquest bé…
En el cas que planteges, relatiu a l'embargament d'un bé i l'adjudicació posterior per resolució judicial a un tercer, sembla clar que aquest tercer i nou propietari legal del bé estaria legitimat a disposar de tota la informació vinculada al bé, com per exemple l'anterior titular, cosa que de fet potser ja va conèixer en el marc del procediment judicial en què l'hi van adjudicar. Però veig difícil que se li reconegui la figura de persona interessada en el procediment administratiu i el consegüent dret d'accés a les persones interessades en procediments en tràmit, ja que no sembla que hi hagi un procediment administratiu en tràmit. Així doncs, podria demanar la informació a l'empara de la legislació de transparència, però en aquest cas concret crec que seria aplicable una solució més ràpida i senzilla que ha incorporat la LOPDGDD en la disposició addicional desena, que en determinats casos permet resoldre de manera més senzilla casos que si ho tramitem conforme a la LTC, en què caldria donar audiència al tercer i seria més complex.
El que estableix la disposició addicional desena de la nova LOPDGDD és el següent:
"Disposició addicional desena. Comunicacions de dades per part dels subjectes que enumera l’article 77.1
Els responsables que enumera l’article 77.1 d’aquesta Llei orgànica poden comunicar les dades personals que els sol·licitin subjectes de dret privat quan tinguin el consentiment dels afectats o apreciïn que hi ha en els sol·licitants un interès legítim que prevalgui sobre els drets i els interessos dels afectats de conformitat amb el que estableix l’article 6.1.f del Reglament (UE) 2016/679."
Aquest precepte s'ha establert per resoldre supòsits que s'anaven donant com ara el següent, específic per a l'àmbit dels ajuntaments. El propietari o la propietària d'un habitatge el té llogat a un inquilí, i en el contracte ha prohibit expressament sotsarrendar habitacions. Però té la sospita, o algú l'alerta, que s'estan llogant totes les habitacions, de manera que s'està incomplint el contracte. Doncs bé, el propietari o la propietària podria esgrimir la disposició addicional desena i sol·licitar l'accés a la informació sobre les persones empadronades en aquell habitatge, i és evident que se li reconeixeria un interès legítim que hauria de prevaldre per sobre dels drets i els interessos del llogater o la llogatera inicial i de la resta que han sotsarrendat, ja que tal informació seria necessària per exercir les accions corresponents (dret de defensa).
Fixeu-vos que la disposició addicional desena es refereix específicament a les entitats del sector públic (les enumerades en l'article 77.1 de la LOPDGDD), les quals no poden utilitzar com a base jurídica del tractament de les dades el seu interès legítim. Però aquí aquest interès legítim no el tindria l'Administració sinó el tercer a qui li comuniquen les dades personals.
Entenc que aquesta solució de la disposició addicional desena també podria resultar aplicable al cas que has plantejat del nou propietari o propietària que assumeix tal condició per resolució judicial, a qui se li podria reconèixer l'interès legítim indicat.
A l'últim, deixo l'enllaç a un apunt que vaig escriure a l'espai temàtic de l'EAPC sobre transparència i protecció de dades en relació amb la disposició addicional desena de la LOPDGDD.
Visualització del DNI en la signatura electrònica
Aprofito per planejar-te dos dubtes:
1. He pogut comprovar que, en alguns casos, en les signatures electròniques (moltes de la Generalitat) juntament amb el nom de la persona que signa apareix el DNI. Entenc que aquesta dada (DNI) no hi ha d'aparèixer, ni en els casos que es tracti d'un càrrec. Amb el nom i cognoms i la data de la signatura ja seria suficient, no?
2. La segona consulta es refereix a l'obligació de transparència, concretament:
- a) S'ha de publicar una relació de la formació que rep el personal i, en cas afirmatiu, s'ha d'identificar (amb nom i cognoms) la persona o les persones que la reben?
- b) En la publicació de les taules retributives anuals, és suficient de publicar la de l'any en curs o, per contra, s'ha de mantenir la publicació dels anys anteriors?
Disculpa aquesta acumulació de qüestions! A mesura que vaig avançant, van sorgint dubtes!
No em sorprèn que s'acumulin les preguntes sobre aquest tema del DNI en la signatura amb la T-Cat, perquè ha despertat moltes inquietuds i queixes. A aquest respecte, només us puc dir que l’APDCAT és conscient que és un tema que genera molta preocupació en el col·lectiu d'empleats públics, i que cal cercar una solució satisfactòria, però no és fàcil, perquè té condicionants que venen d'Europa i/o de l'Estat espanyol.
En l'informe de l’APDCAT publicat sobre l'auditoria dels portals de transparència (disponible al web), s'inclou específicament una pauta en la qual s'indica el següent, per evitar la publicació del DNI en documents publicats a Internet:
"La forma en què habitualment està definida aquesta signatura fa que, en accedir al document electrònic signat mitjançant el certificat de treballador públic, es pugui accedir també a les propietats de la signatura del document; això permet conèixer el nom i cognoms, número de DNI, càrrec i entitat a la qual pertany el signatari. Per tant, cal evitar que qualsevol persona que descarregui el document amb la signatura electrònica pugui accedir a totes aquestes dades. També pot succeir que la versió del document que es publica al portal no permeti accedir a les propietats de la signatura, però que la signatura electrònica tingui visible, juntament amb el nom i cognoms, el número de DNI de la persona signatària."
En termes similars, l'article 70.2 del Decret 8/2021 ha establert que en els casos en els quals la publicació o l'accés a un document administratiu requereixi la identificació de l'autor, s'ha d'eliminar, especialment, el número del document nacional d'identitat o document equivalent. I afegeix que, si la signatura és electrònica, s'ha de publicar el document signat electrònicament de manera que no es pugui accedir a les propietats del certificat electrònic emprat per a la signatura.
Per tant, caldria evitar la publicació als portals dels DNI que puguin ser visibles en la signatura, o en les propietats del document.
Al marge de la seva visibilitat als portals, pel que fa a la visualització en el document signat, que en moltes ocasions s'envia a terceres persones, ja en els dictàmens CNS 17/2017 i CNS 1/2019 de l’APDCAT s'indicava que la difusió del número de DNI en la signatura electrònica és una dada innecessària, ja que no millora la identificació del treballador o de la treballadora per als ciutadans, perquè no disposen dels mitjans adequats per contrastar la veracitat d’aquesta informació.
En la nota publicada el 15 de juliol de 2019 per la Secretaria Tècnica de la Junta Consultiva de Contractació Administrativa de la Generalitat de Catalunya, s’indica que “ha evolucionat l’eina corporativa de Còpia Autèntica i Digitalització (eCòpia), de manera que les còpies autèntiques dels documents fetes amb aquesta eina ja no incorporen els DNI de les persones signatàries”. Aquesta eina permet evitar, doncs, que en les còpies dels documents que es notifiquen o es publiquen figuri el DNI de la persona signatària.
Pel que fa a la segona consulta, en relació amb la pregunta a, la resposta és que sí que cal publicar un llistat que contingui la identificació (amb nom i cognoms) de les persones beneficiades per les activitats formatives en les condicions que determina la normativa de transparència. Així l'article 9.1.g de la LTC estableix la publicació de les llistes que eventualment es creïn per accedir als processos de formació i promoció. Aquest precepte ha estat desenvolupat pel Decret 8/2021 (art. 22), que determina el següent:
1. Als efectes de la lletra g de l'article 9.1 de la Llei 19/2014, del 29 de desembre, s'entén per llistes que eventualment es creïn per accedir als processos de formació i promoció les llistes que continguin personal al servei de les administracions públiques admesos a activitats formatives de recepció no obligatòria, directament relacionades amb la promoció interna, econòmica o professional, que organitzin cadascuna de les administracions públiques.
2. A aquests efectes, les llistes han de publicar les dades relatives a la identificació dels noms i cognoms de les persones admeses, el lloc de treball que ocupen i la unitat orgànica en què s'integra, la unitat que gestiona l'activitat i una descripció de l'activitat formativa, que n'ha d'incloure el codi, l'any i les dates d'inici i de finalització.
3. La informació ha d'estar publicada al Portal de la Transparència de Catalunya en la data d'inici de l'activitat formativa, i ha de romandre-hi durant el termini de dos mesos des de la data de finalització de l'activitat formativa.
En relació amb la pregunta b, s'han de publicar les taules retributives anuals actuals i aquesta informació s'ha de mantenir publicada un mínim de 5 anys des del moment de la seva difusió, tal com estableix l'article 13.6 del Decret 8/2021.
Dret de supressió i dret d’oposició
En relació amb el tema de la protecció de dades, no sé si entenc bé la diferència entre el dret de supressió (art. 17) i el d’oposició (art. 21) del RGPD. Entenc que si un tercer utilitza les meves dades i al seu dia vaig donar el meu consentiment, i ja no volgués que continués utilitzant-les, hauria d'invocar el dret de supressió. I si no vaig donar mai el consentiment perquè les utilitzessin, hauria d'invocar el dret d'oposició. És així?
El dret de supressió atorga a tota persona física la possibilitat de sol·licitar aquesta supressió de les dades, que no implica necessàriament l'eliminació, sinó el bloqueig. Sobre aquesta qüestió he escrit un article publicat en l'apartat d'espais temàtics de l'EAPC, concretament el relatiu a la gestió de les dades, del qual facilito l’enllaç.
Un dels casos en què es podria exercir el dret de supressió de les dades seria respecte a les dades que inicialment es tractaven amb la base jurídica del consentiment de la persona afectada, però que aquesta havia retirat. Així doncs, primer pertocaria retirar el consentiment, i immediatament després, o en el mateix moment, demanar la supressió de la dada.
El dret d'oposició no implica la supressió de les dades concretes, sinó que, si prospera, el que implica és que cessi un determinat tractament per la situació particular de la persona afectada, que justificaria tal oposició. El que implicaria no seria la supressió de les dades sinó cessar el tractament. Per exemple, si una persona està en una situació que justifica que no es publiqui el seu nom en un acte que en general s'ha de publicar, per la seva situació particular, podria implicar que no es publiquessin les seves dades, però no n'implicaria la supressió (el responsable seguiria tractant la dada en els seus sistemes).
Accés a dades mèdiques per exercir el dret de defensa
Alguna vegada m'he trobat amb demandes contra el Departament basades en una prevenció de riscos incorrecta. Per poder defensar el Departament moltes vegades he d'accedir a les dades mèdiques i als informes elaborats pel Servei de Prevenció de Riscos relatius a la matèria reclamada en via judicial.
No obstant això, m'he trobat amb la negativa del Servei de lliurar a l'Assessoria Jurídica aquestes dades si no és per mandat judicial. La meva opinió és que, atès que són informes elaborats per l'Administració mateixa i que només es faran servir per a la defensa processal del Departament i, evidentment, complint totes les garanties de confidencialitat, no hi hauria d'haver cap problema a poder accedir a aquestes dades, però m'he trobat sempre amb la negativa. Hi ha algun pronunciament a aquest respecte?
D'entrada, cal entendre les reserves del Servei de Prevenció, perquè estem parlant de dades de salut (categoria especial de dades –art. 9 del RGPD–) i el personal mèdic que les tracta està sotmès a un deure de confidencialitat molt estricte. Ara bé, com explico en algun dels vídeos, els drets no són absoluts, tampoc els que tenen el caràcter de fonamentals, com és el dret a la protecció de dades personals.
En aquest cas col·lideix amb un altre dret fonamental, com és el dret de defensa del Departament on presta serveis la persona a la qual es refereixen les dades. Davant aquesta col·lisió de drets fonamentals, certament hauria de prevaldre el dret de defensa, si bé caldria ser molt estricte en l'aplicació del principi de minimització de les dades, perquè en l'exercici del dret de defensa només s'accedís a les dades que fossin estrictament necessàries.
Hi ha un precedent semblant, en què l'APDCAT es va pronunciar en el sentit indicat (vegeu l'enllaç a la Resolució).
Accés a dades del padró per part del propietari que no hi viu
Quant a les dades del padró, podria un propietari d'una finca, en la qual no consta empadronat, demanar el nombre de persones que hi consten empadronades? Sense donar dades personals, només el nombre de persones. I, en cas de voler dades personals, es podrien facilitar? O en aquest cas preval el reglament del padró sobre la transparència?
Aquest supòsit es podria resoldre amb la legislació de transparència, però es podria canalitzar per una altra via més adient, que exposaré.
Primer, seria un cas d'accés a informació pública i per tant, d'entrada, encaixaria en la legislació de transparència, i si com dius el propietari de l'habitatge demanés accedir a la informació sobre quantes persones hi viuen, sense identificar-les, en aparença es podria entendre que no hi ha dades personals i per tant no operaria cap límit i hi podria accedir. Però entenc que si el propietari no hi viu és perquè té llogat l’habitatge, i òbviament coneix la identitat del llogater amb qui ha formalitzat el contracte. A partir d'aquí, facilitar la informació sobre el nombre de persones que conviuen amb el llogater, seria una informació relativa a una persona identificada (llogater) i per tant encaixaria en el concepte de dada personal (el nombre de persones que hi conviuen). Conforme a l'article 31 de la LTC, caldria donar audiència al llogater perquè aquest pogués formular les al·legacions que considerés oportunes.
Però, com deia al principi, hi ha una solució més adient, i també més ràpida i senzilla, que ens l'ofereix la disposició addicional desena de la nova LOPDGDD (Llei orgànica 3/2018). El que estableix aquesta disposició addicional és el següent:
"Disposició addicional desena. Comunicacions de dades per part dels subjectes que enumera l’article 77.1. [entitats del sector públic]
Els responsables que enumera l’article 77.1 d’aquesta Llei orgànica poden comunicar les dades personals que els sol·licitin subjectes de dret privat quan tinguin el consentiment dels afectats o apreciïn que hi ha en els sol·licitants un interès legítim que prevalgui sobre els drets i els interessos dels afectats, de conformitat amb el que estableix l’article 6.1.f del Reglament (UE) 2016/679."
Aquest precepte s'ha establert per resoldre supòsits que s'anaven donant, com el que tu planteges, específic de l'àmbit dels ajuntaments. Efectivament, la persona propietària d'un habitatge el té llogat a un inquilí, i en el contracte podria haver prohibit expressament sotsarrendar habitacions. Però podria tenir la sospita que s'estan llogant habitacions, de manera que s'està incomplint el contracte; o pensa que pot haver-hi un cas de sobreocupació.
Doncs bé, la persona propietària podria esgrimir la disposició addicional desena de la LOPDGDD i sol·licitar l'accés a la informació sobre les persones empadronades en aquell habitatge (amb la seva identificació), i és evident que se li reconeixeria un interès legítim que hauria de prevaldre per sobre dels drets i els interessos de la persona inquilina i de la resta que hi conviuen, ja que tal informació seria necessària per exercir les accions corresponents (dret de defensa).
Cal fixar-se que la disposició addicional desena es refereix específicament a les entitats del sector públic (les enumerades en l'article 77.1 de la LOPDGDD), les quals no poden utilitzar com a base jurídica del tractament de les dades el seu interès legítim. Però aquí aquest interès legítim no el tindria l'Administració, sinó el tercer a qui li comuniquen les dades personals.
Informació al sol·licitant d’accés sobre la revelació de les seves dades a un tercer afectat
Al vídeo es recomana incloure un avís al formulari de sol·licitud d'accés a informació pública, per informar que si la sol·licitud afecta tercers se'ls podrà comunicar la identitat de la persona sol·licitant en el tràmit d'audiència. Ho entenc.
Tanmateix, la Generalitat té publicat un tràmit de sol·licitud d'accés a informació pública a través de formularis telemàtics i presencials i en cap trobo aquest avís. Aquest fet té cap transcendència?
En efecte es tracta d'una recomanació, que es basa en el que disposa la normativa de protecció de dades. En concret, l'article 13 del RGPD disposa que en la recollida de dades personals -com és el cas del formulari de sol·licitud d'accés si el fa una persona física- cal informar, entre molts altres extrems, dels "destinataris o les categories de destinataris de les dades personals, si escau". D'acord amb això, si és previsible que es farà una comunicació de les dades del sol·licitant als tercers afectats, seria recomanable informar de tal circumstància al sol·licitant.
De totes maneres, sembla que s'ha anat imposant el criteri de no revelar al tercer afectat la identitat de la persona que sol·licita l'accés, tal com ha recollit com a regla general l'article 62.4 del Decret 8/2021. Per tant, si la tendència és no revelar la identitat del sol·licitant, llavors no pertocaria facilitar la informació sobre la comunicació de les seves dades al tercer afectat, perquè no es revelarien.
Ús de les dades del padró municipal
Voldria saber, ja que a l'Ajuntament on treballo hi ha diferents opinions, si es poden utilitzar les dades del padró per enviar cartes per diferents motius: per informar els pares/mares de la preinscripció a llar d'infants, per enviar una carta informativa als nascuts en una franja d'edat per presentar-se a l'elecció d'hereu i pubilla, als més grans d'una certa edat per convidar-los al dinar de la vellesa, etc.
El que planteges dels usos que es pot donar a les dades del padró és un tema certament controvertit. Hem de partir de la regulació que fa del padró la legislació de règim local. Tant la Llei de bases estatal (Llei 7/1985) com la catalana (Decret legislatiu 2/2003) estableixen l’obligació de tot resident d’inscriure’s al Padró del municipi on ha fixat la seva residència amb una triple finalitat: a) determinar la població d’un municipi; b) ser un requisit per adquirir la condició de veí, i c) acreditar la residència i el domicili habituals (art. 15 i 16 de la Llei 7/1985).
Aquestes són les finalitats establertes en la recollida de les dades del padró, i a partir d'aquí caldrà respectar el principi de finalitat de l'article 5.1.b del RGPD, que prohibeix utilitzar les dades per a unes finalitats incompatibles amb les que específicament es perseguien en la recollida inicial de les dades.
De conformitat amb l'anterior, l'APDCAT admet l'existència de finalitats que permetrien el tractament de les dades del padró, atès que no serien incompatibles amb les finalitats inicials. Entre aquestes finalitats hi hauria totes les vinculades a l'exercici de competències que la legislació atribueix als ajuntaments (art. 25 i 26 de la Llei 7/1985, i art. 66 i 67 del Decret legislatiu 2/2003). Així mateix, en la mesura que es permet cedir les dades del padró a altres administracions per a l'exercici de les seves competències quan la dada del domicili és rellevant (STC 17/2013), òbviament també les pot utilitzar el mateix ajuntament per a aquestes altres finalitats, si el domicili és rellevant.
Sobre aquesta base, dels casos que esmentes entenc que es podria utilitzar el padró per enviar informació als pares i mares dels nens per inscriure's a la llar d'infants municipals, ja que estaria vinculat a l'exercici d'una competència municipal establerta en la legislació (llar d'infants). Sobre els altres casos que comentes, caldria determinar si l'enviament de la informació a les persones afectades es pot vincular a una competència atribuïda a l'ajuntament.
El posicionament de l'APDCAT sobre l'ús de les dades del padró, el trobaràs en diversos dictàmens. Vegeu-ne un que es refereix a molts d'altres anteriors.
I com que has comentat el tema de l'elecció de l'hereu i la pubilla, poso també l'enllaç a una resolució sancionadora contra un ajuntament, tot i que no es va sancionar per utilitzar les dades del padró sinó per difondre les dades dels menors candidats a tots els veïns perquè marquessin el seleccionat o la seleccionada.
Publicació d'ajuts a autònoms
Un departament de la Generalitat publica la informació sobre la concessió dels ajuts per a treballadors autònoms afectats econòmicament pel coronavirus amb nom i cognoms dels beneficiaris i DNI incomplert, així com l'import a cobrar i, si s'inadmet l'ajut, el motiu. Davant d’aquesta situació, se m’han plantejat diferents dubtes:
1. Cal publicar el nom i cognoms sencers? En aquest cas, podem entendre que la finalitat de la notificació és doble? D’una banda, donar a conèixer a les persones interessades que s’ha dictat un acte administratiu que les afecta i, de l’altra, una finalitat de coneixement general per part de tota la població (transparència)?
Entenc que si fos així la publicació del nom i cognoms de la persona afectada i les quatre xifres numèriques aleatòries del número del DNI seria correcta (disposició addicional setena de la LOPDGDD, paràgraf primer de l’apartat primer).
2. En aquest cas, no seria aplicable l’article 15 de la Llei 19/2014, que estableix que en el cas de subvencions i ajuts públics atorgats per motius de vulnerabilitat social, s’ha de preservar la identitat de les persones beneficiàries?
Com tu mateixa apuntes, la disposició addicional setena de la LOPDGDD determina la forma en què s'han d'identificar les persones físiques afectades en actes administratius en què la normativa aplicable exigeix publicitat, com seria el cas de les resolucions que atorguen subvencions. Et preguntes sobre si no seria aplicable l’article 15.3 de la Llei 19/2014, en la qual efectivament es prohibeix la identificació de la persona física perceptora que rep l’ajut per motius de vulnerabilitat social.
El coronavirus va portar situacions desconegudes i va plantejar molts interrogants, com passa en aquests ajuts que es donen amb caràcter excepcional. És veritat que els requisits fixats per a l’atorgament es refereixen al fet de no arribar a un nivell d’ingressos, però entenc que la finalitat no és ajudar persones o famílies en situació de vulnerabilitat, sinó compensar la pèrdua d’ingressos habituals, a conseqüència dels tancaments obligats per tal de respectar les decisions de l’autoritat sanitària. Així i tot, considero que no seria un cas de vulnerabilitat social, i per tant entenc que és correcte identificar les persones amb el nom i cognoms i el DNI parcial, tal com exigeix la disposició addicional setena de la LOPDGDD.
Aprofito per afegir algunes determinacions que conté la legislació estatal sobre publicitat de subvencions i el límit de protecció de dades personals. D’una banda, l’article 20.8.b de la Llei 38/2003, general de subvencions, disposa que no s'han de publicar les subvencions atorgades quan la publicació de les dades de la persona beneficiària pot ser contrària al respecte i la salvaguarda de l’honor, o la intimitat personal o familiar. I el Reial decret 130/2019, que regula la Base de dades nacional de subvencions (BDNS), en l'article 7 complementa l’article 20.8 esmentat, en disposar primer que s’han de publicar només les dades estrictament necessàries per al fi perseguit, i que no s'han de publicar els ajuts a persones físiques quan impliqui revelar dades de categories especials, és a dir, de salut, religió, ideologia, etc. (en consonància amb el límit establert en l'article 5.3 de la Llei 19/2013, de 9 de desembre, de transparència, accés a la informació pública i bon govern), o si la persona física es troba en una situació de protecció especial que es pugui agreujar amb la publicació, i en particular es refereix al supòsit de persones víctimes de violència de gènere.
Divulgació de sessions òrgans col·legiats
L’Administració ha decidit gravar les sessions d’un òrgan col·legiat, conforme a l’article 18 de la Llei 40/2015. Així mateix, vol fer difusió dels enregistraments d’aquestes sessions (p. ex., penjar al web els videoactes).
En cas que no hi hagi una llei que obligui a fer-les públiques, considereu que es podria fer a l’empara de l’article 8.1.m de la Llei 19/2014, si es justifica que tenen un interès públic?
Si fos així, ¿seria suficient d'informar les persones assistents que es difondran aquestes dades personals (imatge i/o veu) per tal que, si s’escau, s’hi puguin oposar, o per contra se'n requeriria el consentiment exprés?
Existeixen molts dictàmens de l'APDCAT que avalen la licitud de l'enregistrament i la divulgació de les sessions del ple dels ajuntaments, i també es fa menció a altres òrgans col·legiats, com seria el cas que planteges, tot i que no concretes quin òrgan seria. Com tu apuntes, la legislació de transparència podria donar cobertura a la difusió de l'enregistrament, en la mesura que es considerés que el contingut de la sessió és informació que té un interès per a la ciutadania en general (art. 8.1.m de la Llei 19/2014). Ara bé, això seria si la normativa que regula aquest òrgan col·legiat al qual et refereixes disposa que les seves sessions són públiques, com succeeix en el cas del ple. Si no és així, es generen més dubtes en allò que es refereix a la divulgació (no en l'enregistrament, que es podria fer de cara a l'elaboració de l'acta, tal com disposa la regulació dels òrgans col·legiats que fan la Llei 26/2010 i la Llei 40/2015).
En tot cas, si existís una base jurídica que permetés divulgar les sessions (obligació legal -art. 6.1.c de l'RGPD- o missió en interès públic o exercici de potestats públiques –art. 6.1.e de l'RGPD-), sempre caldria informar prèviament les persones afectades sobre els extrems enumerats per l'article 13 de l’RGPD, la qual cosa no implica obtenir-ne el consentiment, sinó informar sobre el tractament, i permetre que les persones puguin exercir els seus drets, entre aquests el d'oposició si es dona una situació particular que ho justifiqui (tot i que l’RGPD només el disposa per al cas que la base jurídica sigui l'article 6.1.e ja esmentat, o també l'interès legítim -art. 6.1.f-).
D'altra banda, també caldria incloure el tractament al registre d'activitats de tractament de l'entitat a la qual està adscrit l'òrgan col·legiat, així com l'aplicació de la resta de principis i garanties de l'RGPD (minimització, limitació del termini conservació, etc.).
Cessió de dades del padró d’habitants
Visc en un poble petit i tenim un centre privat els estatuts del qual disposen que s’ha d’estar empadronat per poder-hi accedir. Fa uns quants anys es demanava un cop l'any una llista a l’ajuntament de les persones empadronades al poble per tenir un control de la gent que estava empadronada i la que no. Des de fa uns quants anys, l’ajuntament no proporciona al centre cap dada de padró al·legant la Llei de protecció de dades.
El meu dubte és: si realment es fa un escrit a l’ajuntament on s'explica la finalitat del centre, perquè es volen aquestes dades, i s'assegura que les dades no es divulgarien, l’ajuntament hauria de facilitar aquestes dades? S’hi podria negar?
El teu ajuntament actua correctament negant al centre privat tot el "fitxer" del padró municipal d'habitants, ja que en cas de facilitar-lo seria un exemple de tractament contrari al principi de minimització, a banda que no tindria base jurídica i per tant seria il·lícit. Imagino que només unes persones del municipi es donen d'alta al centre privat i, per tant, quin sentit té que el centre disposi de les dades de la resta de persones empadronades?
A part, que el centre privat es comprometés a no divulgar les dades no serviria per justificar la comunicació de dades de l'ajuntament al centre privat, que seguiria sense tenir base jurídica i per tant esdevindria il·lícita. La clàusula de confidencialitat s'ha d'exigir moltes vegades quan es faciliten dades personals a un tercer, però abans cal valorar si és lícit facilitar les dades al tercer, ja que si no hi ha base jurídica, el compromís de confidencialitat no legitima l'accés a les dades per part de qui es compromet a no divulgar-les.
Entenc que hi hauria una solució que conciliaria el dret a la protecció de dades amb els interessos legítims del centre privat. Així, aquest centre podria demanar a les persones que es volen donar d'alta que acreditessin el seu empadronament. I si això genera problemes, fins i tot podria haver-hi una primera alternativa, com seria que el centre privat sol·licités el consentiment de la persona afectada (si es vol estalviar haver de demanar el certificat) per tal que l'Ajuntament li cedeixi al centre privat aquesta informació personal de la persona sol·licitant.
Fins i tot hi podria haver una altra alternativa, que el centre privat sol·licités a l'ajuntament la confirmació que una persona (la que es vol donar d'alta) està empadronada. Fixa't que em refereixo a una dada, no a tot el fitxer d'empadronats. I quina seria la base jurídica? Doncs, al meu entendre, podria ser la disposició addicional desena de la LOPDGDD, en la qual es disposa que les entitats enumerades a l'article 77.1 de la LOPDGDD (entre aquestes, els ajuntaments) poden comunicar a tercers (com seria el centre privat) dades personals d'una altra persona (la qui es vol donar d'alta) si l'ajuntament aprecia en el sol·licitant (el centre privat) un interès legítim (es podria apreciar en la mesura que els estatuts del centre condicionen l'alta a estar empadronat). De conformitat amb el principi de minimització, l'ajuntament s'hauria de limitar a confirmar o negar la situació d'empadronament de la persona identificada pel centre privat.
Entenc que seria una alternativa que satisfaria a totes les parts implicades i no es vulneraria el dret de ningú.
Cessió de dades personals entre administracions
La cessió de dades entre administracions fruit d'una delegació (p. ex., d'un ajuntament a una diputació per a la recaptació de tributs) estaria emparada en un deure legal per poder prestar el servei corresponent, en el principi de col·laboració interadministrativa o en quina motivació jurídica se sustenta? És necessari el consentiment o la comunicació als titulars de les dades d'aquesta cessió?
En el cas plantejat de cessió de dades d'un ajuntament a un organisme de recaptació de tributs d'una diputació, respecte al tractament de les dades cedides, com actuaria, com a responsable o com a encarregat del tractament?
L'APDCAT va emetre el dictamen (CNS 28/2019), en què precisament es consultava això, i en les conclusions s'indicava que l'ajuntament que delega les competències manté la condició de responsable del tractament, i la Diputació o l'organisme de gestió tributària de la Diputació tindria la condició d'encarregat del tractament. Per tant, quan l'ajuntament cedeix dades a l'organisme de gestió o recaptació no estaríem davant d’una comunicació de dades (art. 33 de la LOPDGDD) sempre que s'hagi formalitzat el contracte o acte jurídic establert en l'article 28 de l’RGPD.
Les conclusions del dictamen esmentat de l'APDCAT són les següents: "L’òrgan o entitat que duu a terme la gestió, liquidació, inspecció, comprovació o recaptació dels tributs i altres ingressos de dret públic propis del municipi, sigui per encàrrec de gestió o per delegació de l’Ajuntament, té la condició d’encarregat del tractament de les dades a les quals tingui accés a conseqüència de la prestació d’aquests serveis."
Accés per part de l’empresari al correu electrònic d'un treballador
Una treballadora té una adreça de correu electrònic corporatiu facilitat per l’empresa, en la que es tramita documentació referent a l'empresa. Hi ha una clau d’accés per a cada treballador, de la qual en té constància el propietari de l’empresa. Resulta que un dia falta a la feina la treballadora i l’empresari accedeix al seu correu electrònic sense autorització.
Pot l’empresari introduir-se en el correu electrònic de la treballadora? Podrien haver-hi qüestions personals (salut, sexe, lloc, nom d’altres tercers, etc.), malgrat tractar-se de la feina? Si l’empresari no està autoritzat a accedir-hi però ho fa indegudament, què hi pot fer la treballadora?
Sobre el possible accés per part de l'empresari al correu d'un treballador que està de baixa o absent, el primer que faig és precisar que l'empresari no ha de conèixer la contrasenya que té el treballador per entrar al correu. Una altra cosa és que l'empresari pugui entrar al correu corporatiu de cada treballador, però no utilitzant la contrasenya de cadascun d'ells, que és personal, intransferible i no ha de ser visible a cap ull humà.
En tot cas, seria convenient que hi hagués unes normes d'ús del correu corporatiu que s'haguessin facilitat als treballadors, per tal que estiguessin informats d'aquest possible control en cas d'absència, si resultava imprescindible. En cas de no existir normes específiques, caldria informar prèviament el treballador per tal de permetre que esborrés els missatges privats.
Accés dels empleats públics a dades personals dels expedients
Qualsevol persona pot fer ús del dret d'accés per accedir a informació pública. Llavors, quan una sol·licitud de dret d'accés ha de recórrer diferents departaments d'una mateixa administració, cal que ho faci amb la identificació de la persona sol·licitant? Al meu entendre és una dada poc rellevant, i per tant es pot fer de manera anonimitzada.
Apuntes una bona eina per complir la protecció de dades, com és la pseudonimització (diferent a l’anonimització). Certament de vegades cal tramitar sol·licituds o peticions a nivell intern entre diverses unitats, les quals no necessiten saber la identitat de la persona afectada, ja que en puritat només ho necessita saber qui haurà de donar-li resposta. Per tant, seria una molt bona pràctica l'opció que comentes, ja que estaria en consonància amb la idea que les persones de l'organització només han d'accedir a les dades personals que siguin estrictament necessàries per complir les funcions encomanades, qüestió vinculada al principi de seguretat de les dades.
De fet, la pseudonimització està configurada com una mesura de seguretat, i em ve al cap un cas que conec que es fa així, com és precisament la GAIP quan tramita les reclamacions, de manera que els membres de la GAIP, quan decideixen el cas concret, desconeixen la identitat de la persona reclamant, que certament no necessiten conèixer per resoldre el cas plantejat, si més no amb caràcter general.
Accés d’un progenitor a les notes universitàries del fill estudiant
Un pare vol accedir a l'expedient universitari del seu fill major d'edat perquè pugui demostrar que ell li paga la matrícula mitjançant el seu número de compte. Tindria accés a l'expedient? Jo crec que per la Llei de transparència sí que ho podria demanar, perquè és part interessada.
Com tu dius, en principi es podria sol·licitar l'accés conforme a la legislació de transparència, però no per això que dius de ser part interessada. Per exercir el dret d'accés no cal acreditar un interès. En tot cas, si s'anés per aquesta via caldria donar audiència al tercer afectat (el fill major d'edat) i no descarto que s'hi oposés, perquè si hi hagués conformitat el pare ja podria conèixer les notes a través del fill, o podria demanar-les a la universitat amb el seu consentiment, i llavors ja no caldria donar trasllat. Preciso en tot cas que l'oposició del tercer afectat no vincula l'òrgan que ha de resoldre la sol·licitud, però en un cas així, si hi ha oposició del tercer, no veig clar que es pogués estimar la sol·licitud. De fet, pensa si aquesta sol·licitud d'accés es pot justificar en la finalitat de transparència, és a dir en el dret a saber què fan i com ho fan els governants. No hi té res a veure, oi?
A la vista de la finalitat, jo crec que seria més viable tramitar-ho per un altra norma diferent a la legislació de transparència, i concretament per la disposició addicional 10 de la LOPDGDD. Aquesta disposició estableix la possibilitat que les entitats del sector públic enumerades a l'article 77.1 de la LOPDGDD (que inclou les universitats públiques) facilitin a un subjecte privat (com seria el cas del pare) informació relativa a un tercer (el seu fill major d'edat) si aprecien en el sol·licitant (el pare) un interès legítim que prevalgui sobre els drets i interessos de l'afectat (el fill). Així d'entrada, jo crec que seria un cas en què es pot apreciar aquest interès legítim.
Ara bé, com sempre, caldria aplicar el principi de minimització de les dades (art. 5.1.c de l'RGPD) i per tant comunicar només les dades que fossin estrictament necessàries per a la finalitat perseguida amb la sol·licitud d'accés. I aquí no em queda clar quina seria. Què vol saber el pare? Si segueix el curs amb normalitat? Quines notes obté? Amb tots els pèls i senyals? Doncs així, d'entrada, jo m'inclinaria per facilitar una informació bàsica o mínima, és a dir, que segueix una evolució normal sense incidències remarcables, però potser seria excessiu i contrari al principi de minimització facilitar les notes o altra informació detallada.
Atenció a la ciutadania i acompanyants
M’agradaria saber si quan rebo presencialment una visita on es tracten dades protegides, i qui fa la consulta disposa de totes les credencials per identificar-se, però es presenta acompanyada de més gent, caldria demanar a aquest/s acompanyant/s alguna mena d'acreditació de qui són, de manera que en quedés constància?
Si facilites la informació a la persona legitimada o autoritzada, i aquesta va acompanyada, certament és possible que els altres hi accedeixin, però com també hi podrien accedir si aquella persona quan surt ho ensenya a qui consideri, cosa que seria de la seva responsabilitat. No crec que puguis impedir que vingui acompanyada de qui ella vulgui, i en tot cas la informació l'has de facilitar a la persona autoritzada.
Accés a llistat d'empresaris
En relació amb la sol·licitud de dades personals, el Departament on treballo disposa del llistat de tots els empresaris ramaders, agricultors, etc., i sovint ens el demanen a efectes prospectius de propaganda o comercials, que deneguem sistemàticament, atès que entenem que precisament no seria la filosofia de la transparència.
Tenim el cas d’una federació de ramaders que ens ha demanat aquest llistat, atès que no el tenen actualitzat i necessiten comunicar-s'hi. Ja se'm generen més dubtes, atès que una de les funcions del Departament és promoure el sector primari, ajudar-lo, etc. En aquest cas faríem bé de facilitar aquests llistats?
Entenc que els llistats als quals et refereixes no formen part de registres amb accés obert o lliure, ja que en tal cas òbviament no us els sol·licitarien.
Si la sol·licitud es vehicula per la Llei de transparència, en puritat estaríem davant d'una informació que pot afectar drets de tercers, i per tant caldria donar audiència als tercers afectats, cosa que es podria fer mitjançant sistemes de publicitat conjunta i no individualment, tot i que fins i tot en el primer cas potser resultaria difícil gestionar-ho. Val a dir que l'article 62.5 del Decret 8/2021 permet en els casos en els quals la notificació individual a un nombre elevat de terceres persones esdevingui desproporcionada en relació amb els recursos materials i humans disponibles en cada cas, excepcionalment i motivadament es pot substituir la notificació individual per notificació als representants dels col·lectius, sectors o àmbits afectats, si escau.
També caldria tenir en compte que —imagino— estaríem davant dades merament identificatives o de contacte de persones empresàries individuals, de manera que, en l'eventual ponderació a fer, jugaria a favor de l'accés el criteri establert en l'article 15.3.c de la Llei estatal 19/2013, que es refereix al "menor perjudici dels drets dels afectats en cas que els documents únicament continguin dades de caràcter merament identificatiu d’aquells".
En tot cas, com tu mateix apuntes, no sembla que la sol·licitud d'accés es pugui justificar en la finalitat de transparència, és a dir en el dret a saber què fan i com ho fan els governants, ja que més aviat qui demana les dades les vol per tal de comunicar-se amb aquests empresaris. Tot i això, l'accés a la informació pública també es pot motivar en un interès superior que ho justifiqui.
En vista de la finalitat, també podria ser viable tramitar la sol·licitud per una via diferent de la de la legislació de transparència, i concretament per la disposició addicional desena de la LOPDGDD. Aquesta disposició estableix la possibilitat que les entitats del sector públic enumerades a l'article 77.1 de la LOPDGDD (com seria l'Administració de la Generalitat) facilitin a un subjecte privat (com seria el cas de la federació de ramaders) informació relativa a un tercer (els empresaris ramaders) si aprecien en el sol·licitant (la federació) un interès legítim que prevalgui sobre els drets i interessos de l'afectat (els empresaris ramaders). Així d'entrada, crec que seria un cas en què es pot apreciar aquest interès legítim.
Ara bé, com sempre, caldria aplicar el principi de minimització de les dades (art. 5.1.c del RGPD) i, per tant, comunicar només les dades que fossin estrictament necessàries per a la finalitat perseguida amb la sol·licitud d'accés, que és la de contactar amb els empresaris.
Accés a dades personals per part de cossos policials
Vam atendre una persona per una ferida incisa, i més endavant ens arriba una patrulla de la policia local i ens pregunta si hem atès a algú, amb un tall important, atès que han seguit el rastre de sang i arriba fins a la porta i segueix a l’interior. Li dic que sí que hem atès a una persona amb aquestes circumstàncies i em diuen que li doni el nom, els contesto que per la protecció de dades dels usuaris no els hi puc donar, que sigui un jutge que demani aquesta informació o que ho demanin per escrit a la direcció del centre. Com que no els hi vull donar em demanen el nom però no els hi dono. Al dia següent —que jo no hi era— tornen a venir i una companya els facilita la informació requerida sobre la identificació de la persona atesa.
Aleshores, jo em pregunto, és correcte no donar a la policia local una informació sobre les dades identificatives d’una persona? Les he de donar pel fet de ser una persona investigada per la policia? O com a Administració són unes dades protegides i jo com usuari no les he de donar?
El dilema que comentes es presenta moltes vegades respecte a peticions d'informació dels membres de cossos policials. Entenc que la policia estava en el marc d'una investigació per un possible delicte i, en tal cas, el tractament de dades personals té una regulació específica, de manera que no se sotmet a les regles del RGPD sinó que existeix una Directiva UE (2016/680), que s’ha transposat a l’ordenament intern espanyol a través de la Llei orgànica 7/2021.
Aquesta darrera norma disposa el deure de col·laboració amb la policia judicial, proporcionant-li les dades, els informes, els antecedents i els justificants que els sol·licitin i que siguin necessaris per a la investigació i l'enjudiciament d'infraccions penals o per a l'execució de les penes (art. 7.1 de la Llei orgànica 7/2021).
En els casos en què els agents de policia no intervinguin en funcions de policia judicial, cal acudir al que disposa l’article 7.2 de la Llei orgànica 7/2021. Aquest precepte estableix el següent:
"2. En los restantes casos, las Administraciones públicas, así como cualquier persona física o jurídica, proporcionarán los datos, informes, antecedentes y justificantes a las autoridades competentes que los soliciten, siempre que estos sean necesarios para el desarrollo específico de sus misiones para la prevención, detección e investigación de infracciones penales y para la prevención y protección frente a un peligro real y grave para la seguridad pública. La petición de la autoridad competente deberá ser concreta y específica y contener la motivación que acredite su relación con los indicados supuestos."
Dret d’accés a documents de l’escola sobre els fills menors
En relació amb adaptacions curriculars d'infants a l’escola, es fa un document de programa individual conjuntament amb la família, amb objectius a treballar de forma trimestral per necessitats educatives. La família pot sol·licitar la còpia de valoració i progrés efectuada per l’escola de forma trimestral o només pot accedir a un informe de forma generalitzat?
Aquest supòsit no aniria per la legislació de transparència sinó per la normativa de protecció de dades, i en concret el dret d'accés regulat en l'article 15 del RGPD. Aquest dret permet a les persones físiques (o als seus representants legals, en cas de menors de 14 anys) d'accedir a totes les dades personals que constin en els fitxers del responsable del tractament.
Així, si l'escola té als seus fitxers, arxius o sistemes informació detallada sobre el menor, els pares com a representants legals tenen dret a accedir-hi, i no només a un informe generalitzat. Aquest dret només es pot restringir pel supòsit establert en el mateix article 15 del RGPD, que disposa que per obtenir còpia de les dades no es pot afectar drets i llibertats d'altres, a banda dels casos establerts en l'article 23 del RGPD, que entenc que no entrarien en joc en el cas plantejat.
Accés a dades del Registre de la Propietat
Els certificats descriptius i els gràfics cadastrals de finques, que qualsevol es pot descarregar de la seu electrònica del Cadastre, consten de dues parts, les dades de la finca i la relació de les finques confrontants, amb la titularitat d’aquestes.
Com a funcionària, quan hem demanen la titularitat d’una finca no la puc donar perquè són dades protegides, però poden demanar aquesta mateixa informació al Registre de la Propietat, que es considera un registre públic.
Em podríeu donar una explicació sobre aquesta qüestió?
Hi ha una creença generalitzada que el Registre de la Propietat, pel fet de ser un registre públic, és un registre obert a tothom, de manera que qualsevol pot accedir a la informació que hi consta. Però aquesta idea és errònia. Que un registre sigui "públic" no significa que estigui "obert al públic", sinó que dona fe dels seus continguts.
La legislació que regula aquest Registre és la legislació hipotecària, i estableix expressament que qualsevol persona que vulgui accedir a informació que consta al Registre de la Propietat ha d'acreditar un interès legítim, com ara que està en tractes amb la propietat per adquirir l'immoble, etc. De fet, fa uns anys es va sancionar registradors de la propietat perquè, en el sistema informàtic que permetia fer consultes en línia, hi havia un apartat on calia explicar quin era aquest "interès legítim". Però resulta que si posaves, per exemple "chorizo con patatas" o "curiosidad malsana", el sistema informàtic intel·ligent (que no n’era gaire) permetia l'accés, perquè sembla que ho validava per l'existència d'algun caràcter en l'apartat "interès legítim". És a dir, que ningú valorava la concurrència d'un interès legítim.
En resum, no és cert que es pugui accedir lliurement a la informació que consta al Registre de la Propietat.
Accés a llicència d’un veí
Respecte a la sol·licitud d'accés a una llicència d'un veí confrontant, se li hauria de donar accés directament a tot l'expedient, o se li podria donar l'accés parcial i, en cas que demanés més informació on hi hagi dades personals, aplicar l'article 52 de la Llei de cadastre? Se li hauria de donar audiència?
Poso un exemple amb el qual sempre tinc dubtes: un ciutadà adquireix un habitatge a un banc, qui a la vegada s'ha quedat amb un habitatge d'un ciutadà que havia sol·licitat la llicència d'obres fa cinc anys. Aquest nou propietari demana còpia de l'expedient a l'Ajuntament. Hem d'anonimitzar les dades del sol·licitant de la llicència? Hem de donar un tràmit d'audiència a l'antic propietari per tal que pugui motivar l'oposició? Podem lliurar-li una còpia íntegra dels documents de l'expedient?
I pel que fa a l'arquitecte? Hem de donar un tràmit d'audiència a l'arquitecte que va fer els plànols? Podem no donar el tràmit d'audiència i anonimitzar les dades? Podem donar una còpia dels plànols íntegra amb la identificació de l'arquitecte?
Entenc que es demana accés a l'expedient d'una llicència d'obres o similar, i per tant no estem parlant d'accés al Registre del cadastre. Partint d'aquesta premissa, estem parlant d'accés a informació pública, però podria haver-hi límits. A banda de les dades personals del veí que ha demanat la llicència, podria concórrer també el límit de propietat intel·lectual si hi ha algun projecte d'un professional.
Sobre si caldria donar audiència, en efecte, en aplicació de la legislació de transparència caldria donar trasllat al veí i a la persona autora del projecte (si n'hi ha) per tal que puguin dir-hi la seva. I a partir d'aquí ponderar, i en aquesta ponderació caldria tenir en compte que qui ho demana no és una persona qualsevol, sinó la persona que viu al costat de l'obra, i per tant això podria fer decantar a favor de l'accés, atès que pot tenir un interès a conèixer detalls de l'obra.
Precisament per aquest interès legítim podria haver la possibilitat d'acudir a la via de la disposició addicional desena de la LOPDGDD, a la qual ja m'he referit en altres respostes:
"Comunicacions de dades per part dels subjectes que enumera l'article 77.1
Els responsables que enumera l’article 77.1 (entitats del sector públic) d’aquesta Llei orgànica poden comunicar les dades personals que els sol·licitin subjectes de dret privat quan tinguin el consentiment dels afectats o apreciïn que hi ha en els sol·licitants un interès legítim que prevalgui sobre els drets i els interessos dels afectats de conformitat amb el que estableix l’article 6.1.f del Reglament (UE) 2016/679."
En el cas que planteges, es podria apreciar aquest interès legítim del sol·licitant d'accés, que podria prevaldre per sobre dels drets i els interessos del tercer afectat, sobretot si només parlem de dades personals i no hi ha un projecte, sinó només un pressupost o similar. Ara bé, si s'opta per donar accés, sempre cal tenir en compte el principi de minimització de les dades, en el sentit de facilitar les dades personals mínimes i imprescindibles per a la finalitat perseguida. Per tant, segurament que en l'accés caldria ocultar algunes dades sobreres, de manera que l'accés seria parcial.
Pel que fa al supòsit concret que també planteges del nou propietari d'un habitatge que vol accedir a l'expedient d'unes obres que s'havien fet feia uns anys i als plànols aportats en aquella obra, es podria resoldre també amb la disposició addicional desena de la LOPDGDD. Al meu entendre el sol·licitant/nou propietari té un interès legítim evident a accedir a la informació que inclou dades de tercers, que preval per sobre dels drets i interessos dels tercers afectats (antic propietari i també l'arquitecte).
Ara bé, caldria aplicar com sempre el principi de minimització, i ocultar les dades que no serien necessàries, com ara les dades de contacte que havia facilitat l'antic propietari. Pel que fa als plànols, i el nom i cognoms de l'arquitecte i les seves dades de contacte professionals entenc que s'haurien de facilitar al sol·licitant, de conformitat amb l'article 19 de la LOPDGDD, ja que també pot haver-hi un interès que el nou propietari pogués contactar amb l'arquitecte responsable de les obres. De fet, els plànols serien documents que entenc que haurien de formar part dels documents que es faciliten en cada transmissió de la propietat.
Accés a dades del cadastre
Pel que fa a l'accés a dades dels titulars cadastrals, els articles 52 i 53 del Reial decret legislatiu 1/2004, pel qual s’aprova el text refós de la Llei del cadastre immobiliari, disposen que es poden facilitar les dades de titulars sense el consentiment exprés, per interessos legítims, entre els quals hi ha la identificació de parcel·les confrontants.
Per tant, quan un propietari vol saber les dades dels seus veïns de segona residència per poder-hi contactar, se li pot facilitar la informació que apareix al Cadastre: nom i cognoms, DNI i domicili fiscal.
El meu dubte és si es poden facilitar més dades, ja que en alguns casos, com en el cas de propietaris estrangers, amb les dades facilitades de la base de dades del Cadastre no és suficient per poder-hi contactar. En aquest cas, seria procedent facilitar el domicili del país de residència habitual?
D’altra banda, en els temps que vivim, el domicili fiscal no acaba de ser una dada de contacte gaire efectiva. Seria excessiu, quan ens sol·liciten dades de contacte dels veïns, facilitar, a més del domicili fiscal, una adreça electrònica o número de mòbil?
Fixa't que el precepte al qual et refereixes exigeix la concurrència d'un interès legítim per part de qui sol·licita la informació, i posa com exemple el cas dels propietaris de les finques del costat. Entenc, però, que caldria una mínima justificació per apreciar aquest interès legítim. En tot cas, si s'aprecia, caldria donar les dades personals mínimes segons la justificació. Per exemple, si es demana per poder contactar amb ells, jo no donaria en cap cas el DNI, sinó el nom i cognoms i una dada de contacte, ja sigui un telèfon, una adreça electrònica, etc.
