Després d’un període de gestació molt llarg i esperat, finalment, el 9 de febrer de 2021 es va aprovar el Decret 8/2021, sobre la transparència i el dret d’accés a la informació pública, que a hores d’ara és ja plenament vigent. En aquest mateix espai, Òliver Garcia ens havia avançat les novetats més rellevants del Reglament, que complementa i desenvolupa parcialment la Llei 19/2014, de 29 de desembre, de transparència, accés a la informació pública i bon govern (LTAIPBG), pel que fa a la transparència o la publicitat activa (portals de transparència) i al dret d’accés a la informació pública.
En aquest apunt em centraré en els aspectes a destacar del Decret 8/2021, només des de la perspectiva del dret a la protecció de dades personals, que està sempre molt present quant a la transparència i al dret d’accés a la informació pública. De fet, hi ha tants preceptes del Decret 8/2021 que afecten la protecció de dades i en els quals s’ha introduït algun aspecte rellevant respecte de la Llei 19/2014, que aquesta anàlisi la faré en dos apunts. En el primer abordaré les qüestions més destacades relacionades amb la transparència o la publicitat activa; i en el segon em referiré als aspectes que afecten la protecció de dades en la regulació del dret d’accés a la informació pública.
Amb caràcter previ vull mencionar una qüestió del Decret 8/2021 relativa a la protecció de dades, que té un caràcter transversal i per tant cal tenir sempre en compte, tant en publicar informació als portals, com en fer efectiu el dret d’accés a la informació pública. L’article 70.2 del Decret 8/2021 disposa que si es publica o es dona accés a un document amb la identificació de la persona empleada, alt càrrec o personal directiu de les entitats del sector públic, s’ha d’eliminar el número de DNI i la signatura manuscrita. I afegeix que si la signatura és electrònica, s’ha de publicar o facilitar el document de manera que no es pugui accedir a les propietats del certificat electrònic emprat, la qual cosa permetria accedir al número de DNI.
Per tant, amb caràcter general cal mantenir el nom i cognoms de les persones que intervenen en representació de l’entitat (excepte membres de col·lectius que per motius de seguretat requereixen una protecció especial), i ometre altres dades que resultarien excessives, i per tant la divulgació de les quals seria contrària al principi de minimització de les dades (art. 5.1.c del RGPD). Amb aquesta determinació relativa a evitar la divulgació del número de DNI, el Decret 8/2021 ha incorporat un criteri que ja havia expressat l’APDCAT reiteradament (Informe d’auditoria 1/2018, Dictamen CNS 39/2020), i també altres autoritats de control de l’Estat espanyol (AEPD, Informe 88/2020 i ABPD 01/2020). Pel que fa la prohibició de publicar signatures manuscrites, l’APDCAT també s’havia pronunciat en aquest sentit en l’Informe d’auditoria 1/2018.
Un cop mencionada aquesta qüestió transversal de les signatures manuscrites i el número de DNI, enumero a continuació, en forma de llista, els aspectes relatius a la publicitat activa en què el Reglament ha afegit alguna regulació que, directament o indirectament, afecten la protecció de dades personals, i poso entre parèntesis el precepte del Decret 8/2021 que conté aquesta regulació.
1. Manteniment de la informació publicada (art. 13.6)
El Decret 8/2021 detalla diverses qüestions sobre la periodicitat de l’actualització de la informació, i estableix amb caràcter general que la informació s’ha de mantenir publicada un mínim de cinc anys des del moment de la difusió, llevat que s’estableixi un altre termini, ja sigui en el mateix Decret o en una altra norma; per exemple, l’article 22 estableix que les llistes de persones admeses a activitats formatives s’han de mantenir publicades durant dos mesos a partir de la finalització de l’activitat.
Al meu parer, l'obligació general de mantenir la informació publicada un mínim de cinc anys, en alguns casos podria resultar contrària als principis de la normativa de protecció de dades (art. 5 del RGPD), i en particular als de limitació del termini de conservació i de minimització de les dades; per exemple, una informació que cal publicar als portals de transparència —a la qual més endavant faig referència—, són les autoritzacions de compatibilitat dels empleats públics (art. 26), que moltes vegades s’atorguen per a períodes curts, com és el cas de la docència, en què es poden referir a cada curs universitari. A aquest respecte, l’article 26 del Decret 8/2021 estableix el deure d’actualitzar aquesta informació en el termini de dos mesos des de la resolució, però no fixa el termini en què la informació ha de romandre publicada. Doncs bé, l’aplicació de la regla general de manteniment durant cinc anys, fins i tot en casos en què l’autorització ja no estaria vigent, podria resultar contrària als principis esmentats de la normativa de protecció de dades.
2. Límits a la publicitat activa per situacions de vulnerabilitat (art. 14.2)
Seguint el que disposa la LTAIPBG, els límits a la transparència o la publicitat activa són els mateixos que els del dret d’accés, en particular el relatiu al dret a la protecció de dades. La Llei afegeix límits específics, com ara el de les subvencions atorgades per motius de vulnerabilitat social, en què no es pot identificar la persona física beneficiària (art. 15.1.c). El Decret 8/2021 amplia la protecció també a les persones que es trobin en una situació de protecció especial de violència de gènere o amenaça terrorista, entre d’altres, que es pugui veure agreujada amb motiu de la publicació d’aquestes dades, prèvia ponderació de l’omissió. Val a dir que aquest límit afegit estaria en consonància amb el que ja havia establert l’article 7.5.b del Reial decret 130/2019, de 8 de març, pel qual es regula la Base de Dades Nacional de Subvencions.
3. Identificació de les persones titulars d’òrgans i personal directiu (art. 16.3 i 18)
En consonància amb l’article 9.1.b de la LTAIPBG, el Decret 8/2021 obliga a publicar la identificació amb nom i cognoms de les persones titulars dels òrgans i àrees de les entitats del sector públic, i també del personal directiu. I especifica que cal incloure també el telèfon i el canal electrònic de contacte, a banda de publicar-ne el perfil i la trajectòria professional.
4. Llistes de persones admeses a processos selectius (art. 21.2)
Seguint el que determina la disposició addicional setena de la LOPDGDD, en els processos selectius per accedir a les administracions públiques cal identificar les persones admeses i les seleccionades, amb el nom i cognoms i quatre números del DNI o document equivalent. Segons criteri adoptat conjuntament per les autoritats de protecció de dades, els quatre números del DNI han de ser els que ocupen de la quarta a la setena posició.
5. Processos de formació i promoció (art. 22 i 29)
L’article 9.1.g de la LTAIPBG havia generat molts dubtes, i el Decret ha precisat la informació a publicar i els aspectes temporals. Així, cal publicar les llistes de persones admeses a activitats formatives de recepció no obligatòria i directament relacionades amb la promoció interna, econòmica o professional, amb la identificació del nom i cognoms, lloc de treball ocupat i unitat d’adscripció. Aquesta informació ha d’estar publicada al portal de transparència en la data d’inici de l’activitat, i s'ha de mantenir publicada dos mesos després de la finalització.
De manera semblant, el Decret 8/2021 obliga també a publicar la informació sobre formació d’alts càrrecs i personal directiu que comporti una despesa per a l’Administració de la Generalitat o les entitats del seu sector públic.
6. Autoritzacions de compatibilitat del personal (art. 26 i 30)
El Decret 8/2021 recull l’obligació de publicar la informació relativa a les autoritzacions de compatibilitat dels empleats públics. Aquest deure de divulgació no estava inclòs en la LTAIPBG, però ja existia, en derivar de la Llei estatal 19/2013, que té un caràcter de mínims pel que fa a la publicitat activa. Per això en l’àmbit de la Generalitat ja es publicava aquesta informació, que, seguint el criteri de l’APDCAT, no implicava la publicació íntegra de la resolució, sinó només un extracte.
En consonància amb les indicacions donades per l’APDCAT, el Decret 8/2021 determina la informació a publicar: nom i cognoms de la persona empleada; lloc de treball ocupat, departament i/o entitat; data de resolució de compatibilitat; breu detall de l’activitat que es compatibilitza; tipus de vinculació, i localització de l’entitat o l'empresa on es fa la segona activitat.
El Decret també detalla la informació a publicar en compatibilitats d’alts càrrecs i personal directiu, que en aquest cas sí que era imposada per la LTAIPBG.
7. Convenis de col·laboració (art. 44)
En compliment de l’article 14 de la LTAIPBG, s’ha de publicar el text íntegre dels convenis vigents. Aquesta publicitat es fa efectiva a través del Registre de convenis, a banda de la publicació en el DOGC, si escau. L’aspecte que vull destacar des de l’òptica de la protecció de dades és que el Decret 8/2021 imposa l’anonimització o la dissociació de les dades personals que figurin al text del conveni, al marge de les relatives a les persones signants en representació de les parts. Aquestes últimes han de constar identificades amb el nom i cognoms en la versió publicada del conveni, però caldria evitar la visualització del número del DNI i de la signatura manuscrita d’aquestes persones, tal com he indicat anteriorment.
Fins aquí aquest repàs dels aspectes més destacats del Decret 8/2021 sobre la transparència o la publicitat activa, des d’una òptica de l’impacte en la protecció de dades personals. En l'apunt següent completaré aquest repàs amb l’anàlisi de la regulació del dret d’accés a la informació pública, en allò que té incidència en el dret a la protecció de dades.
