Aquesta és una qüestió que potser t’has plantejat alguna vegada.
No hi ha cap dubte que l'intercanvi de dades i documents és un dels serveis digitals fonamentals en el desplegament de l'Administració digital, que ha permès alleujar la ciutadania de càrregues administratives. En gran manera, l’objecte d’aquest intercanvi són dades personals, per la qual cosa la normativa de protecció de dades també entra en joc.
La Llei 39/2015, d'1 d'octubre, del procediment administratiu comú de les administracions públiques (LPAC), va establir el dret de la ciutadania a no aportar dades i documents que ja estiguessin en poder de les administracions públiques o que haguessin estat elaborats per aquestes. En concordança amb aquest dret, exigeix a les administracions públiques que obtinguin els documents electrònicament, a través de les seves xarxes corporatives o mitjançant una consulta a les plataformes d'intermediació de dades o altres sistemes electrònics habilitats a aquest efecte (art. 28 de la LPAC). És a dir, són les administracions públiques les que, per complir un dret de les persones, passen a intercanviar-se internament les dades i a reutilitzar-les. D’això, en diem "interoperabilitat", la capacitat de compartir dades i intercanviar informació.
El Decret 76/2020, de 4 d’agost, d’Administració digital, disposa que les dades que es poden consultar o obtenir són les que formen part del “Catàleg de dades i documents interoperables”, que està publicat a la seu electrònica de l’Administració de la Generalitat. En aquest catàleg es recullen les dades i els documents electrònics que actualment ja estan a disposició de les administracions públiques, per garantir el dret de la ciutadania a no aportar la documentació de nou (art. 17 del Decret 76/2020).
D’aquesta manera, la persona interessada deixa de ser el vehicle transportador d’aquestes dades i documents entre una administració pública i una altra, alhora que s’estalvia paper i, de retruc, s’és més respectuós amb el medi ambient.
Cal tenir present que, des del punt de vista de la protecció de dades, aquesta interoperabilitat és un tractament de dades i, com a tal, requereix una base jurídica que el legitimi. Això ens porta a analitzar el següent: les administracions públiques poden intercanviar totes les dades personals de què disposen? En relació amb això, és convenient parar atenció al que estableix l’article 28.2 de la LPAC:
“Els interessats tenen dret a no aportar documents que ja estiguin en poder de l’Administració actuant o que hagi elaborat qualsevol altra administració. L’Administració actuant pot consultar o obtenir aquests documents tret que l’interessat s’hi oposi. No escau l’oposició quan l’aportació del document s’exigeixi en el marc de l’exercici de potestats sancionadores o d’inspecció.”
Com a premissa, ja es pot avançar que la base jurídica per a l’intercanvi d’informació establerta a l’article 28.2 de la LPAC no és el consentiment de les persones afectades. Respecte d’això, l’article 6 del Reglament general de protecció de dades (RGPD) estableix que, perquè un tractament sigui lícit, ha de complir almenys una de les condicions que s'hi estableix. Entre aquestes, a part del consentiment de la persona interessada (art. 6.1.a del RGPD), també s’hi recull com a base jurídica que el tractament s’efectuï en compliment d’una missió en interès públic o en l’exercici de potestats públiques (art. 6.1.e del RGPD).
Al seu torn, l’article 8 de la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (LOPDGDD), estableix que els tractaments de dades personals només es poden emparar en la base jurídica establerta a l’article 6.1.e del RGPD quan es tracti de l’exercici d’una competència atribuïda per una norma amb rang de llei.
Per tot això, l’aplicació de l’article 28.2 de la LPAC fa innecessari articular el tractament a què es refereix aquest article (consultar o recollir documents en poder de l’Administració) a través del consentiment de la persona afectada. En aquests casos, la base jurídica que empara l’Administració pública per tractar les dades és que actua en compliment d’una missió en interès públic o en l’exercici de potestats públiques, competències que li han estat atribuïdes en una norma en rang de llei, en aquest cas la LPAC.
Per tant, si una administració pública ha elaborat una informació relativa a una persona (per exemple, el DNI, les dades del cadastre, el títol de família nombrosa, etc.), que és necessària per a un procediment que tramita una altra administració pública, aquesta última pot consultar o obtenir les dades necessàries de la primera, llevat que la persona afectada s’hi oposi.
Òbviament, el fet que no calgui el consentiment de la persona interessada no exclou que l’Administració pública, quan efectuï el tractament basat en l’intercanvi de dades personals, no hagi de complir, a part del principi de licitud de les dades (art. 5.1.a del RGPD), la resta de principis relatius al tractament establerts al RGPD; en especial, el principi de minimització (art. 5.1.c del RGPD), que comporta que la comunicació de les dades sigui l’estrictament necessària per assolir la finalitat perseguida.
Ara bé, no totes les dades personals es poden intercanviar entre les administracions públiques sobre la base de l’habilitació jurídica del compliment d’una missió en interès públic, o en l’exercici de potestats públiques (art. 6.1.e del RGPD).
El RGPD estableix una sèrie de dades a les quals, per la seva naturalesa, atorga una categoria especial i, en un principi, en prohibeix el tractament (art. 9 del RGPD). Aquestes dades són les que revelen l’origen ètnic o racial, les opinions polítiques, les conviccions religioses o filosòfiques o l’afiliació sindical, dades genètiques, dades biomètriques destinades a identificar de manera unívoca una persona física i dades de salut o relatives a la vida sexual o l’orientació sexual d’una persona. Perquè l’Administració pública pugui tractar aquesta tipologia de dades, hi ha de concórrer alguna de les circumstàncies establertes a l’article 9.2 del RGPD, com ara el consentiment exprés de les persones afectades.
Per tant, si l’Administració actuant vol consultar o obtenir dades que tinguin la naturalesa d’especials, cal que, a més de l’habilitació jurídica establerta a l’article 6.1.e del RGPD i d’actuar en exercici de les competències atribuïdes per llei, hi concorri també alguna de les circumstàncies establertes a l’article 9.2 del RGPD.
D’altra banda, l’article 28.3 de la LPAC regula l’accés o la consulta de l’Administració actuant als documents ja aportats per la persona interessada a qualsevol administració pública, que és un supòsit diferent de l’establert a l’article 28.2 de la LPAC. En aquest precepte, s’inclou la determinació que, si una llei especial aplicable requereix el consentiment exprés, l’Administració pública que vulgui obtenir electrònicament aquesta informació abans ha de tenir el consentiment exprés de la persona interessada. Una de les maneres que l’Administració actuant podria articular el compliment d’aquest requisit seria incloure al formulari corresponent una casella que permetés a la persona interessada deixar constància expressa de si atorga o no el consentiment perquè es consultin dades o documents aportats per ella mateix a l’Administració pública.
Per acabar, cal esmentar la possibilitat que té la persona d’oposar-s'hi, que es recull en ambdós apartats referenciats de l’article 28 de la LPAC. Aquesta oposició no es pot exercir quan l’aportació del document s’exigeix en el marc de l’exercici de potestats sancionadores o d’inspecció (art. 28.2 de la LPAC) i no s’ha de confondre amb el dret d’oposició regulat a l’article 21 del RGPD.
Per a la resta de casos, la persona interessada ha de tenir la facultat de poder-s’hi oposar i decidir si prefereix aportar ella mateixa la informació necessària per dur a terme el tràmit administratiu. Però, per fer-ho, d’acord amb el principi de transparència, cal que abans hagi estat informada de manera concisa, transparent, intel·ligible i de fàcil accés, i amb un llenguatge clar i senzill (art. 12 del RGPD), d’aquesta possibilitat i de la resta de qüestions sobre el tractament de les seves dades personals.
Per fer efectiu el dret d’informació, cal tenir en compte si la informació s’ha obtingut de la persona interessada o no. En el primer cas, l’Administració pública responsable del tractament ha de facilitar tota la informació indicada a l’article 13 del RGPD, mentre que si no s’obté de la persona interessada, cal que informi de tot el que indica l’article 14 del RGPD. En aquest últim cas, cal valorar si és aplicable alguna de les excepcions establertes a l’apartat 5 d’aquest article. I, en qualsevol cas, sempre resultarà oportú ser transparents respecte del tractament de dades personals, especialment quan es produeix un intercanvi d’informació entre diferents entitats, que per definició comporta més pèrdua de control de la persona sobre les seves dades personals.
Tota aquesta informació hauria d’estar inclosa al formulari emès per l’Administració pública. Sobretot, cal incloure-hi la casella relativa a la possibilitat d’oposar-se a la consulta de les dades i, si escau (en relació amb les excepcions a les quals ens hem referit), la casella on es reculli el consentiment de la persona afectada perquè la consulta o l'obtenció de les dades personals es pugui vehicular a través de la interoperabilitat de les dades.
Si us interessa, podeu trobar informació sobre aquesta qüestió en el dictamen CNS 26/2020, que podeu consultar al web de l’APDCAT.