En el darrer apunt que havia escrit en aquest espai, em referia a la protecció de dades com a límit al dret d’accés a la informació pública. Hi recordava que la ciutadania aporta moltes dades personals a les administracions públiques i, en relació amb aquesta informació personal, els empleats públics tenen el deure de confidencialitat. Aquest deure l’imposa la legislació de protecció de dades personals (art. 5.1.f del RGPD i art. 5 de la LOPDGDD), però també el recull la legislació de funció pública, concretament l’article 52 del Reial decret legislatiu 5/2015, pel qual s’aprova el text refós de la Llei de l’Estatut bàsic de l’empleat públic (EBEP). En el mateix sentit, la legislació de procediment administratiu reconeix a totes les persones el dret a la protecció de dades de caràcter personal, i en particular a la seguretat i la confidencialitat (art. 13.h de la Llei 39/2015). En definitiva, hi ha un ventall de normes que imposen el deure de confidencialitat respecte de les dades personals de què disposen les administracions públiques.
Enfront d’aquest deure de reserva, la legislació de transparència, en la vessant de publicitat activa -que és l’altre pilar de la transparència, juntament amb el dret d’accés-, obliga les entitats del sector públic a divulgar molta informació en els seus portals de transparència. Però la mateixa legislació de transparència introdueix també unes limitacions als deures de publicitat activa, concretament en l’article 7 de la Llei 19/2014. Aquest precepte disposa que, com a regla general, els límits aplicables a les obligacions de transparència són els mateixos que per al dret d’accés a la informació pública, i especialment els relatius a la protecció de dades de caràcter personal. En l'apunt anterior em referia expressament a aquests límits, regulats en els articles 23 i 24 de la Llei 19/2014 i en l'article 15 de la Llei estatal 19/2013, i per tant em remeto a aquell apunt.
L’article 5.3 de la Llei estatal 19/2013 conté una determinació similar sobre l’aplicació dels límits establerts per al dret d’accés a les obligacions de publicitat activa, i afegeix que “quan la informació contingui dades especialment protegides, la publicitat només s’ha de portar a terme amb la dissociació prèvia d’aquestes dades”. Així, la llei estatal inclou una prohibició general d’incloure en els portals dades especialment protegides, ara denominades per l’article 9 del RGPD com a dades de categories especials (origen ètnic o racial, opinions polítiques, conviccions religioses o filosòfiques, afiliació sindical, dades genètiques o biomètriques, i dades relatives a la salut o a la vida sexual).
Així, d'una banda, les administracions estan obligades a publicar molta informació en els seus portals de transparència per fer efectiu el dret a saber de la ciutadania, però, alhora, han de respectar el dret a la protecció de dades de les persones afectades. Tal com explicava en l’entrada relativa als límits al dret d’accés, ens trobem també amb dos drets aparentment enfrontats, que cal conciliar adequadament. Com deia en el primer apunt, els drets no són absoluts i, per tant, és habitual que estiguin subjectes a limitacions o restriccions. En aquest cas, cal fer un equilibri entre la publicitat activa i el dret a la protecció de dades, sense caure ni en l’opacitat excessiva ni en una sobreexposició informativa. S’ha de reconèixer, però, les dificultats que genera una gestió adequada d’ambdós drets.
Precisament aquesta situació de dificultat va portar l’Autoritat Catalana de Protecció de Dades (APDCAT) a efectuar una auditoria sobre els portals de transparència, per verificar si les entitats del sector públic català complien la normativa de protecció de dades personals en publicar la informació en els seus portals de la transparència. En l’informe de l’auditoria, s’anunciava que l’objectiu principal perseguit era ajudar les entitats a complir la normativa aplicable, i això es feia a través d’un seguit de pautes i recomanacions generals i específiques.
Exposo molt breument aquestes pautes generals que ha donat l’APDCAT, que estan fonamentades, sobretot, en els seus dictàmens i resolucions. Però si encara no s'ha fet, també recomano la lectura de les pautes específiques, per la seva utilitat a l’hora de resoldre situacions concretes. En aquest enllaç es pot consultar el text íntegre de l’informe.
1. Principi de licitud (art. 5.1.a del RGPD): només es poden publicar dades personals en els portals si es disposa d’una base jurídica. Cal disposar, doncs, d’una habilitació per publicar dades personals, ja sigui en les lleis de transparència o en una altra norma amb rang de llei. Aquest seria el cas de la identitat de persones adjudicatàries de contractes públics o perceptores de subvencions (art. 13 i 15 de la Llei 19/2014).
2. Principi de minimització (art. 5.1.c del RGPD): obliga a tractar només les dades personals necessàries per a la finalitat de transparència perseguida. D’acord amb aquest principi, es donen tres pautes que menciono a continuació.
2.1 Identificació amb nom i cognoms: quan s’identifiquen persones físiques en el portal cal fer-ho amb nom i cognoms, i seria excessiu afegir-hi el número sencer de DNI o NIE. La disposició addicional setena de la nova LOPDGDD disposa expressament que no s’ha de publicar el nom i cognoms de manera conjunta amb el número complet del DNI o NIE, i disposa que s’incloguin quatre xifres numèriques aleatòries d’aquests documents. Sobre això cal dir, d’una banda, que no seria aplicable a tota la informació publicada en els portals, sinó únicament a la publicació d’actes administratius; de l'altra, que l’Agència Espanyola de Protecció de Dades (AEPD) ha publicat un informe sobre la publicació de qualificacions universitàries en el qual indica que, en consideració al principi de minimització de les dades, l’afegitó del DNI parcial només pertocaria si hi ha coincidència en el nom i cognoms de dues o més persones. En aquest enllaç es pot consultar l’informe de l’AEPD.
2.2 Signatures manuscrites: cal amagar la signatura manuscrita dels documents publicats en el portal, tot i que s’hi pot fer constar que la versió original està signada. En l’informe de l’APDCAT es fa notar que la publicació de la signatura implica un risc de reproducció, que s’accentua si la publicació es reitera en diversos documents.
2.3 DNI en signatures electròniques: la pauta que es dona és, d’una banda, no incloure la signatura en el document publicat, o bé incloure-la amb l’aparença modificada perquè no hi consti el número de DNI; de l'altra, cal evitar que en descarregar el document es pugui accedir al número de DNI.
3. Principi d’exactitud (art. 5.1.d del RGPD): cal evitar difondre informació incompleta o desactualitzada de tal manera que pugui perjudicar les persones afectades.
4. Principi de limitació del termini de conservació: la publicació de dades personals en el portal només es pot mantenir durant el termini necessari per assolir els fins de transparència, i per tant les entitats han de garantir que la difusió de les dades no va més enllà del període establert en la normativa aplicable, cosa que es pot fer mitjançant l’aplicació de mesures apropiades, com ara establir controls per retirar automàticament la informació.
5. Principi de transparència (art. 12 del RGPD) i dret d’informació (art. 13 i 14 del RGPD): cal informar la persona afectada que les seves dades es publicaran en el portal, deure que no desapareix pel fet que hi hagi una base jurídica que habilita la publicació. Això permetria la persona afectada al·legar una situació personal de vulnerabilitat que podria desaconsellar la publicació.
6. Cercadors d’Internet: es recomana establir mesures per evitar que els cercadors d’Internet indexin les dades personals que es publiquen en els portals. Aquestes mesures poden consistir en la implantació, per defecte, de mecanismes que impedeixin als cercadors externs d’Internet indexar els continguts, com seria el cas del protocol de robots.txt.
Les pautes que he enumerat molt breument estan desenvolupades àmpliament en l’informe de l’APDCAT, en el qual s’explicita la voluntat d’ajudar a gestionar adequadament els portals de transparència. Confio que el resum que he fet d’aquestes pautes contribueixi a sensibilitzar sobre la necessitat de complir les obligacions de publicitat activa, sense vulnerar els drets i les llibertats de totes les persones.