La pandèmia que ens ha tocat de viure ha portat molts canvis en el funcionament de les entitats del sector públic. Alguns d’aquests canvis s’han mantingut només durant la pandèmia, però d’altres han quedat per sempre.
Un dels efectes amb vocació de permanència ha estat el de la generalització de les reunions telemàtiques, sobretot, i en particular, en les sessions d’òrgans col·legiats, però no només en aquests òrgans, ja que també s’ha implantat com un sistema habitual de fer reunions de treball. En moltes d’aquestes reunions es planteja la possibilitat d’enregistrar-les, qüestió que analitzo tot seguit, des de la perspectiva de la normativa de protecció de dades.
La mera celebració de les reunions en modalitat telemàtica no té un impacte destacable en la normativa de protecció de dades. Però si la sessió o la reunió per videoconferència s’enregistra, llavors estem davant d’un tractament de dades personals, la qual cosa fa que s’hagi de complir el Reglament general de protecció de dades (RGPD) i la Llei orgànica 3/2018, de protecció de dades personals i garantia dels drets digitals (LOPDGDD).
Primerament cal determinar si el tractament de dades personals dut a terme amb l’enregistrament s’ajusta al principi de licitud (art. 5.1.a del RGPD). En connexió directa amb aquest principi, l’article 6 del RGPD determina que el tractament només és lícit si concorre almenys una de les bases jurídiques enumerades en el primer apartat d’aquest precepte.
La primera d’aquestes bases jurídiques és el consentiment de la persona interessada (art. 6.1.a del RGPD). Per tal que aquest consentiment sigui vàlid, l’article 4.11 del RGPD exigeix que hi hagi una manifestació de voluntat lliure, específica, informada i inequívoca, és a dir, mitjançant una declaració o una acció afirmativa.
Existeix una certa creença o pràctica que parteix de la base de considerar que les reunions es poden gravar amb el consentiment de les persones que assisteixen a la reunió. Però en la majoria de casos aquest consentiment no serveix com a base jurídica legitimadora del tractament de dades que es fa amb l'enregistrament. Així, sovint la pràctica seguida consisteix a advertir les persones assistents que la sessió es gravarà, tret que algú s’hi oposi o manifesti el contrari. És a dir, estaríem davant d’un consentiment tàcit, que amb l’arribada del RGPD ha esdevingut invàlid, perquè no compleix el requisit del caràcter inequívoc. En definitiva, per reconèixer validesa al consentiment ha de concórrer –entre altres requisits– una acció afirmativa de totes les persones afectades.
Per la mateixa raó tampoc no és ajustada a la normativa de protecció de dades la pràctica consistent a presumir que les persones assistents a una reunió consenten l’enregistrament pel fet de connectar-s'hi. És evident que la mera assistència a una reunió telemàtica a la qual una persona ha estat convocada, no permet considerar que, amb l’acció de connectar-se a la videoconferència, s’autoritza l’enregistrament; tret que s’hagi informat prèviament, qüestió que abordo al final d’aquest apunt.
També amb una certa freqüència hi ha un altre element que portaria a descartar la validesa del consentiment com a base jurídica legitimadora de l’enregistrament. Em refereixo al requisit que el consentiment ha de ser lliure. Doncs bé, si entre la persona que convoca la reunió i les persones convocades existeix una relació de desigualtat o desequilibri, el consentiment no es pot considerar lliure, tal com ha declarat amb reiteració l’Autoritat Catalana de Protecció de Dades (APDCAT) (per exemple, en el Dictamen CNS 2/2022).
En conseqüència, en reunions de treball convocades per la persona responsable de la unitat, amb caràcter general no es podria donar validesa al consentiment eventualment prestat per les persones de la unitat a les quals convoca, atès que la relació de desequilibri o desigualtat existent entre la persona responsable i les persones subordinades jeràrquicament impediria considerar que el consentiment és lliure.
Em referiré ara al cas concret de les sessions dels òrgans col·legiats, en les quals ja avanço que resulta innecessari acudir al consentiment de les persones assistents, perquè en aquest cas es disposa d’una altra base jurídica que legitima l’enregistrament de les sessions. En concret, aquest tractament és emparat per l’article 6.1.e del RGPD, que legitima els tractaments que són necessaris per complir una missió duta a terme en interès públic o en l’exercici de poders públics conferits al responsable del tractament.
En aquest punt cal subratllar que, per poder considerar que un tractament de dades personals es fonamenta en la base jurídica de l’article 6.1.e del RGPD, ha de derivar d’una competència atribuïda per una norma amb rang de llei, tal com estableix l’article 8.2 de la LOPDGDD. Aquesta exigència es compleix amb la regulació que fa dels òrgans col·legiats la legislació de règim jurídic, tant la Llei estatal 40/2015 com la Llei catalana 26/2010.
Cal partir de la premissa que les dues lleis esmentades habiliten la celebració de sessions de manera telemàtica o a distància. Així ho va establir primer l’article 18 de la Llei 26/2010, que disposa que les sessions dels òrgans col·legiats poden ser presencials, a distància o mixtes, segons el que determinin les normes específiques de l’òrgan o per acord dels seus membres. Més enllà ha anat, després, l’article 17 de la Llei 40/2015, que legitima directament la possibilitat de fer sessions a distància –i cita expressament com a mitjà electrònic vàlid el de les videoconferències–, sense necessitat que ho hagin establert les normes de cada òrgan col·legiat ni que ho hagin acordat els seus membres.
Un cop habilitada la celebració de sessions dels òrgans col·legiats per mitjà de videoconferència, l’article 18.1 de la Llei 40/2015, dedicat a les actes, determina expressament que les sessions –tant les presencials com les telemàtiques– es poden gravar. Afegeix el precepte que el fitxer resultant de l'enregistrament, juntament amb la certificació expedida pel secretari o secretària de l’autenticitat i la integritat d’aquest fitxer, i també tots els documents en suport electrònic que s’utilitzin com a documents de la sessió, poden acompanyar l’acta de les sessions, sense necessitat de fer-hi constar els punts principals de les deliberacions.
Si s'ha optat per l'enregistrament de les sessions celebrades a través d’aquest sistema de “videoactes” o “actes multimèdia”, aquest s’ha de conservar, de manera que es garanteixi la integritat i l’autenticitat dels fitxers electrònics corresponents i l’accés a aquests per part dels membres de l’òrgan col·legiat (art. 18.2 de la Llei 40/2015).
En definitiva, no es requereix el consentiment de les persones assistents per poder enregistrar les sessions dels òrgans col·legiats, en disposar de base jurídica suficient (art. 6.1.e del RGPD en relació amb l’article 18 de la Llei 40/2015). Aquest criteri ha estat avalat per l’APDCAT en la Resolució d’arxiu de la informació prèvia número IP 1/2019. No cal dir que la possibilitat d’enregistrament de les sessions dels òrgans col·legiats facilita molt la funció d’elaboració de l’acta que té encomanada el secretari o la secretària de l’òrgan, sobretot en allò referent a l’exigència d’incloure els punts principals de les deliberacions i el contingut dels acords adoptats.
Ara bé, que l’enregistrament de les sessions dels òrgans col·legiats s’ajusti al principi de licitud (art. 5.1.a del RGPD) perquè disposaria d’una base jurídica suficient (art. 6.1.e del RGPD), no eximeix el responsable del tractament del deure de complir la resta de deures i garanties imposats per la normativa de protecció de dades i, en particular, les derivades del principi de transparència (art. 5.1.a del RGPD).
Basant-se en aquest principi, cal fer efectiu el dret d’informació a totes les persones afectades, és a dir, als membres de l’òrgan col·legiat, amb caràcter previ a l’inici de l'enregistrament. Pel que fa al cas, en la remissió de la convocatòria per a la reunió, o en tot cas abans d’iniciar l’enregistrament, caldria facilitar tota la informació exigida per l’article 13 del RGPD, sens perjudici de facilitar només la informació bàsica i un enllaç on accedir a la resta d’informació, tal com permet l’article 11.2 de la LOPDGDD. Val a dir que, un cop facilitada aquesta informació a les persones que formen part d’un òrgan col·legiat, no caldria reiterar-la en les convocatòries successives, mentre es mantingui la mateixa composició.
