L’article 53.1 de la Llei 39/2015, d’1 d’octubre, del procediment administratiu comú de les administracions públiques, conté el catàleg de drets de la persona interessada en el procediment administratiu, entre els quals es troba el dret “a no presentar dades i documents […] que ja estiguin en poder de les administracions públiques o que hagin estat elaborats per aquestes” (lletra d). Aquest dret es coneix també com el “principi d’una sola vegada, i consisteix en la idea de no molestar la persona interessada més enllà del que és estrictament necessari, de manera que no s’ha de requerir l’aportació de dades o de documents que la persona interessada ja hagi aportat prèviament, o que estiguin en poder de les administracions, amb independència de qui hagi elaborat les dades o els documents.
En l’àmbit de Catalunya, la Llei 26/2010, del 3 d’agost, de règim jurídic i procediment de les administracions públiques de Catalunya, ja havia establert aquest dret en els mateixos termes recollits després per la Llei 39/2015. Així, en l’article 22.1.e de la Llei catalana es configura el dret de la mateixa manera que en l’article 53.1.d de la Llei estatal, en el sentit de “no aportar les dades o els documents que estiguin en poder de les administracions públiques o dels quals aquestes puguin disposar”. Aquest dret també s’ha inclòs, més endavant, en els articles 70 i 71 del Decret 76/2020, de 4 d’agost, d’Administració digital.
Aquest dret, recollit en l’article 53.1.d de la Llei 39/2015, s’ha de posar en connexió amb l’article 28 de la Llei 39/2015, que porta per títol “Documents aportats pels interessats al procediment administratiu”, i que va ser modificat per la disposició final dotzena de la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (LOPDGDD). El fet que la regulació del dret a no aportar documents i dades en poder de l’Administració hagi estat modificat per la normativa reguladora del dret a la protecció de dades, evidencia la vinculació que hi ha entre els dos drets.
En aquest apunt em centraré en els apartats 2 i 3 de l’article 28 de la Llei 39/2015, que són els que ha modificat la LOPDGDD.
L’article 28.2 reitera el dret a no aportar documents que ja estiguin en poder de l’Administració actuant o que hagi elaborat qualsevol altra administració, i afegeix que “l’Administració actuant pot consultar o obtenir aquests documents tret que l’interessat s’hi oposi. No escau l’oposició quan l’aportació del document s’exigeixi en el marc de l’exercici de potestats sancionadores o d’inspecció”.
Sobre com s’han d’obtenir o consultar aquests documents, afegeix el precepte que s’ha de fer “electrònicament a través de les seves xarxes corporatives o mitjançant una consulta a les plataformes d’intermediació de dades o altres sistemes electrònics habilitats a aquest efecte”, com és el cas de la Plataforma d’Integració i Col·laboració Administrativa (PICA).
L’article 28.3 de la Llei 39/2015, també modificat per la LOPDGDD, en el segon paràgraf disposa que “les administracions públiques no han de requerir als interessats dades o documents […] que han estat aportats anteriorment per l’interessat a qualsevol Administració. A aquests efectes, l’interessat ha d’indicar en quin moment i davant quin òrgan administratiu va presentar els documents esmentats, i les administracions públiques els han de sol·licitar electrònicament a través de les seves xarxes corporatives o d’una consulta a les plataformes d’intermediació de dades o altres sistemes electrònics habilitats a aquest efecte […], llevat que al procediment consti la seva oposició expressa o que la llei especial aplicable requereixi un consentiment exprés. […] Excepcionalment, si les administracions públiques no poden obtenir els documents esmentats, poden demanar novament a l’interessat que els aporti”.
Un cop vist el tenor literal dels dos preceptes esmentats, entro a analitzar-los des de la perspectiva de l’afectació en el dret a la protecció de dades. I en aquesta anàlisi tinc en compte el criteri de l’Autoritat Catalana de Protecció de Dades (APDCAT), en particular el que s’expressa en el Dictamen CNS 26/2020.
Si les dades o els documents obtinguts o consultats per l’Administració contenen informació personal estem davant d’un tractament de dades personals, que ha de complir el principi de licitud, tal com exigeix l’article 5.1.a del Reglament general de protecció de dades (RGPD). I aquest tractament només és lícit si compleix, almenys, una de les bases jurídiques enumerades en l’article 6.1 del RGPD, entre les quals hi ha les que fan referència que el tractament és necessari per complir una obligació legal (lletra c), o per complir una missió efectuada en interès públic o en l’exercici de poders públics (lletra e). Aquesta última base jurídica, molt present en els tractaments que fan les entitats del sector públic, requereix l’exercici d’una competència atribuïda per una norma amb rang de llei (art. 8.2 de la LOPDGDD).
Doncs és l’article 28 de la Llei 39/2015 (apartats 2 i 3) el que esdevé la norma amb rang de llei que permet obtenir o consultar documents amb dades personals, a l’empara de la base jurídica de l’article 6.1.e del RGPD, sense que es requereixi el consentiment de la persona interessada. Ara bé, si la consulta inclou dades de categoria especial, en aquest cas és necessari també que concorri algun dels supòsits establerts en l’article 9.2 del RGPD, que aixequen la prohibició general de tractar aquest tipus de dades personals. En particular, es podria recórrer al supòsit del consentiment explícit (art. 9.2.a del RGPD) o que l’obtenció o la consulta del document respongués a raons d’interès públic essencial, sobre la base d’una norma amb rang de llei o del dret de la Unió, que ha de ser proporcional a l’objectiu perseguit, respectar el dret a la protecció de dades en el que és essencial i establir mesures adequades i específiques per protegir els interessos i els drets fonamentals de l’interessat (art. 9.2.g del RGPD).
Cal precisar, però, que el fet que l’Administració pugui consultar dades sense el consentiment de les persones afectades no l’eximeix del deure de facilitar la informació sobre protecció de dades, en compliment del principi de transparència (art. 5.1.a i 12 del RGPD). Atès que les dades obtingudes o consultades mitjançant plataformes d’intermediació no s’obtenen directament de la persona interessada, cal informar-la sobre la categoria de les dades consultades i la font de procedència, a banda de la resta d’informació exigida per l’article 14 del RGPD.
Pel que fa a la possibilitat que té la persona d’oposar-se a la consulta (excepte en els procediments d’inspecció o sancionadors), és recomanable facilitar-ho tant com es pugui, com ara una casella en la qual pugui indicar la seva oposició. Però, també cal informar de manera clara que, si la persona s’oposa a la consulta, ha d’aportar les dades o els documents corresponents. Sobre aquesta oposició eventual, convinc plenament amb el criteri de l’APDCAT (diferent del de l’Agència Espanyola de Protecció de Dades –AEPD–), en el sentit que no s’ha d’entendre com un exercici del dret d’oposició regulat en l’article 21 del RGPD, de manera que no cal dictar una resolució sobre això, sinó simplement no efectuar la consulta, i esperar que la persona interessada aporti les dades o els documents.
Aquest criteri consistent a no qualificar l’oposició a la consulta com un dret d’oposició de l’article 21 del RGPD és corroborat, d’una banda, pel fet que l’article 28 de la Llei 39/2015 permet a la persona interessada oposar-se a la consulta sense necessitat d’invocar els motius relatius a la seva situació particular que exigeix el dret d’oposició del RGPD. I, d’una altra, pel fet que l’oposició a la consulta la poden efectuar també les persones jurídiques, i no només les persones físiques, que són les úniques legitimades a exercir el dret d’oposició del RGPD.
I em queda per analitzar una última qüestió, la referent a la determinació de l’article 28.3 de la Llei 39/2015, conformement que la consulta de dades o de documents no és possible en cas que la llei especial aplicable requereixi un consentiment exprés de la persona interessada. Aquesta excepció a l’habilitació a la consulta també s'establia en el redactat inicial de l’article 28.2, però arran de la modificació duta a terme per la LOPDGDD s’ha mantingut només en l’article 28.3, la qual cosa permet considerar que la supressió d’aquesta determinació de l’article 28.2 no és un error o un oblit, sinó una decisió conscient del legislador.
Aquesta qüestió té molta incidència en la consulta de dades tributàries, perquè l’article 95 de la Llei 58/2003, de 17 de desembre, general tributària (LGT) exigeix l’autorització (el consentiment) de la persona interessada per cedir dades a altres administracions per desenvolupar les seves funcions. Cal preguntar-se, doncs, si per consultar dades tributàries es requereix sempre el consentiment de la persona interessada, atès que hi ha una llei especial (LGT) que requereix el consentiment exprés. I la resposta a aquesta pregunta és negativa, ja que aquest consentiment només s’exigeix per consultar dades o documents “que hagin estat aportats anteriorment per l’interessat a qualsevol administració” (art. 28.3 de la Llei 39/2015). Per contra, la base jurídica de l’article 6.1.e del RGPD serveix, sense necessitat de consentiment, per consultar dades de naturalesa tributària que constin en documents que ja estiguin en poder de l’Administració actuant o que hagi elaborat qualsevol altra administració (art. 28.2 dela Llei 39/2015).
En aquest punt cal fer notar que les dades de transcendència tributària no estan incloses en les dades de categories especials de l’article 9 del RGPD, de manera que el seu tractament, consistent en la consulta mitjançant plataformes d’intermediació, es pot considerar habilitat per la base jurídica de l’article 6.1.e del RGPD, en connexió amb l’article 28.2 de la Llei 39/2015, sense necessitat de fonamentar-se també en una de les circumstàncies establertes en l’article 9.2 del RGPD.
A l’últim, també cal tenir ben present la disposició addicional vuitena de la LOPDGDD, en la qual s’habilita les administracions públiques que, en exercici de les seves competències, puguin efectuar les verificacions necessàries per comprovar (mitjançant la consulta de les dades personals que tenen les administracions públiques) l’exactitud de les dades que la persona interessada declari en les seves sol·licituds. Aquesta potestat que s’atribueix a les administracions públiques està relacionada també amb el principi d’exactitud de les dades (art. 5.1.d del RGPD). Així, aquestes funcions de comprovació les podria fer l’Administració, sense necessitat de consentiment, quan una persona presenta una sol·licitud en la qual declara estar al corrent de les seves obligacions tributàries o de la Seguretat Social, o també per verificar dades sobre la seva residència, la titulació acadèmica, etc. En tot cas, sembla que també aquí cal informar la persona interessada d’aquesta potestat de verificació, per acomplir el principi de transparència establert al RGPD.