La informació que gestionem a les administracions públiques és ben farcida de dades personals i hi concorre un entramat de drets i deures que hem de saber conjugar adequadament.
D’una banda, com a pilar fonamental de la transparència, hi ha el dret d’accés a la informació pública, és a dir el "dret a saber" de la ciutadania. S’hi referia Lorena Elvira en dues de les primeres entrades d’aquest espai, i -en principi- permet accedir a qualsevol informació en poder del sector públic; és, per tant, el complement perfecte als portals de la transparència, en els quals es posa a l’abast de la ciutadania molta informació sense necessitat de demanar-la. L’exercici del dret d’accés obliga l’Administració pública a atendre la sol·licitud, cosa que pot implicar que es facilitin dades personals de terceres persones a la persona sol·licitant.
D’altra banda, en relació amb la informació que la ciutadania aporta a les administracions públiques, hi ha el dret a la protecció de dades de caràcter personal i, en particular, a la seguretat i la confidencialitat d’aquestes dades. Així, la simple aportació d’informació personal genera en el sector públic el deure de respectar els principis i les garanties del dret a la protecció de dades personals, consagrats en el Reglament general de protecció de dades (RGPD), i en concret el de confidencialitat (art. 5.1.f del RGPD). A aquest deure de confidencialitat, s’hi refereix també l’article 5 de la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (d’ara en endavant, LOPDGDD), que l’imposa a totes les persones que intervinguin en qualsevol fase del tractament de dades personals, com és el cas de les persones empleades públiques que gestionem informació amb aquestes dades.
Per tant, l’exercici del dret a saber que té la ciutadania origina en els empleats públics el deure de ser transparents i de facilitar la informació sol·licitada. Alhora, el dret a la protecció de dades els imposa un deure de confidencialitat respecte de les dades recollides. Així, si davant d’una sol·licitud d’accés, per prudència, optem per l’opacitat, podem incomplir la legislació de transparència; però si, per contra, som massa transparents, pot ser que vulnerem la legislació de protecció de dades. Probablement t’has trobat en aquest atzucac. I com el resolem? A favor de la transparència? De la protecció de dades?
La meva resposta és sempre la mateixa: cal resoldre’l a favor de la transparència… i de la protecció de dades. En efecte, els drets aparentment enfrontats no són absoluts, de manera que la solució és intentar conciliar-los o conjugar-los, per exemple amb l’accés parcial, prèvia anonimització o pseudonimització de les dades personals. En aquest escenari de complexitat no hi ha solucions apriorístiques, sinó que cal fer una ponderació i un equilibri en cada supòsit concret, i a vegades el sacrifici d’algun dels drets pot resultar inevitable.
En tot cas, la clau que ens permetrà sortir del carreró ens l’ofereix la regulació que la legislació de transparència ha fet del límit al dret d’accés derivat de la protecció de dades personals. Aquest dret fonamental és el límit principal a la transparència i al dret d’accés, tal com s’infereix de l’article 5.3 de la Llei estatal 19/2013 (d’ara endavant, LTE) i de l’article 7.1 de la Llei catalana 19/2014 (d’ara endavant, LTC). La Comissió de Garantia del Dret d’Accés (GAIP) també ha confirmat repetidament que la protecció de les dades personals és el límit que entra més en joc respecte del dret d’accés a la informació. Al seu torn, la normativa reguladora del dret a la protecció de dades també és conscient de la necessitat de conciliar aquest dret amb el dret d’accés a la informació pública (art. 86 del RGPD).
La regulació dels límits al dret d’accés derivats de la protecció de dades, la trobem en els articles 23 i 24, en el cas de la LTC, i en l’article 15, en el cas de la LTE, al qual s’ha de sotmetre la tramitació de les sol·licituds d’accés a informació que contenen dades personals, segons disposa la disposició addicional segona de la LOPDGDD. Per cert, aquests límits inherents a la protecció de dades personals també s’han de tenir en compte en la informació que es publica als portals de la transparència, i respecte d’això recomano la lectura de les pautes i les conclusions que conté l’informe de l’auditoria dels portals de la transparència que ha publicat l’APDCAT recentment, que pots consultar aquí.
Entro, doncs, en l’anàlisi de les regles sobre el límit al dret d’accés derivat de les dades personals. Prèviament cal aclarir, però, que aquest límit es refereix a dades de persones vives, ja que les dades de persones difuntes no generen restriccions, tret que n'afectin la seguretat, l’honor, la intimitat o la imatge; en aquests casos, la protecció de la persona s’amplia fins a 25 anys després de la mort (art. 36.1 de la Llei 10/2001, d’arxius i gestió de documents). Un cop feta aquesta precisió, entro en l’anàlisi de les tres categories de dades personals que hem de distingir com a límit al dret d’accés, ja que la intensitat del límit estarà determinada per la categoria de les dades.
En el primer nivell d’intensitat tenim les dades enumerades en l'article 23 de la LTC i en el 15.1 de la LTE, en relació amb les quals s’havia assumit la denominació utilitzada a la rúbrica de l’article 7 de l’anterior LOPD, “especialment protegides”, que l’article 9 del RGPD substitueix per “categories especials de dades”. Si la informació conté dades de terceres persones relatives a la ideologia, l’afiliació sindical, la religió o les creences, la regla general és que s'hi denegui l’accés, tret que la persona sol·licitant aporti el consentiment exprés i per escrit de la persona afectada, o que aquesta les hagi fet manifestament públiques. D’altra banda, si les dades fan referència a l’origen racial, la salut o la vida sexual, si inclou dades genètiques o biomètriques o conté dades relatives a la comissió d’infraccions penals o administratives que no comporten l’amonestació pública a l’infractor, la regla general de denegació es manté, tret que es disposi del consentiment exprés o que l’accés estigui emparat per una norma amb rang de llei.
Les dades d’infraccions administratives s'establien com a “especialment protegides” en l’article 7.5 de l’anterior LOPD, però no s’han inclòs a la llista de l’article 9 del RGPD de categories especials de dades. Els dubtes que això podia generar, des de la perspectiva del dret d’accés, s’han esvaït amb la redacció que la nova LOPDGDD ha donat a l’article 15.1 de la LTE que, a banda d’afegir les genètiques i les biomètriques, inclou expressament les dades relatives a infraccions administratives entre aquelles a les quals s’aplica la intensitat màxima del límit.
En el tercer nivell d’intensitat del límit tenim les dades personals merament identificatives, contingudes en informació directament relacionada amb l’organització, el funcionament o l’activitat pública (art. 24.1 de la LTC i art. 15.2 de la LTE). Aquest podria ser el cas d’un certificat o informe on consta identificada la persona que l’emet -ja sigui un càrrec o empleat públic-, o fins i tot la persona treballadora d’una empresa concessionària de l’Administració. Són dades personals vinculades a l’exercici de funcions al sector públic, que no aporten cap informació sobre la vida privada i, per això, la regla general aquí seria l’accés. Això, tret que en el cas concret hi prevalgui la protecció de dades personals o altres drets constitucionalment protegits, com podria ser el nom i cognoms d’empleats de cossos policials o els d’una persona víctima de violència de gènere.
He deixat per al final les dades personals restants, que caurien en la tipologia del segon nivell, és a dir, les que disposa l’article 24.2 de la LTC i el 15.3 de la LTE. Exemples d’aquesta categoria serien les dades consignades a qualsevol instància presentada a l’Administració i, en concret, el nom i cognoms, domicili i/o adreça electrònica de contacte, etc.; també les dades acadèmiques, tributàries i laborals, o altres que poden constar en documents d’índole diversa. Aquest conjunt de dades són les que generen més problemes des de l’òptica del dret d’accés, perquè la legislació de transparència no es decanta ni a favor ni en contra, sinó que ens encomana una tasca de ponderació entre l’interès públic en la divulgació i els drets de les persones afectades, segons el cas concret plantejat.
Per a aquesta tasca de ponderació, la LTC enumera un seguit de circumstàncies a tenir en compte: a) temps transcorregut; b) finalitat de l’accés i garanties que s’ofereixin; c) menors, i d) afectació a la seguretat. No és possible analitzar aquí detalladament tots aquests factors de ponderació, però sí que vull destacar que no els hem de veure com una llista tancada, sinó que s’hi poden afegir també altres circumstàncies rellevants en la ponderació, com per exemple que les dades personals s’hagin publicat prèviament o, en sentit invers, que s’hagi generat una expectativa de privacitat.
En tot cas, l’element decisiu en la ponderació és si la sol·licitud d’accés a informació encaixa en la finalitat principal de la transparència, que no és cap altra que donar visibilitat a l’acció dels governants, perquè el dret a saber de la ciutadania sigui efectiu. L’aplicació d’aquest filtre de la finalitat implicaria, per exemple, facilitar l’accés a l’extracte de la targeta de crèdit assignada a càrrecs públics. Per contra, no hauríem de revelar dades personals aportades per la ciutadania, si no tenen res a veure amb la finalitat que persegueix la transparència.
Com a recopilació del que he exposat, si de resultes de l’aplicació de la legislació de transparència i després d’efectuar, si escau, la ponderació pertinent, es conclou que cal donar al sol·licitant accés a dades personals de tercers, ens trobaríem davant d’un tractament de dades personals que, malgrat no tenir el consentiment de la persona afectada i titular de les dades, en principi tindria base jurídica suficient (art. 6.1.c i 6.1.e del RGPD). Ara bé, caldria facilitar només les dades personals necessàries per a la finalitat de transparència, en aplicació del principi de minimització de les dades (art. 5.1.c del RGPD).