Nombre de lectures: 0

1. Introducció

El tractament de dades de caràcter personal en l’àmbit de les administracions públiques ha estat objecte tradicionalment d’una controvèrsia constant i una innumerable casuística, que ha anat consolidant una doctrina i una jurisprudència protectora del dret fonamental a la intimitat de les persones físiques, per garantir-ne el dret a controlar les seves dades i disposar i decidir sobre l’ús d'aquestes dades.

El marc natural de protecció de dades de caràcter personal, el trobem en l’àmbit privat, però òbviament les administracions públiques tracten dades de ciutadans de manera massiva, i normes com l’Esquema Nacional de Seguretat, aprovat pel Reial decret 3/2010, de 8 de gener, estableixen pautes d’obligat compliment, la finalitat de les quals és el respecte a aquest dret fonamental i la protecció adequada de la informació i dels serveis de les administracions públiques.

Que la casuística sigui tan àmplia respon, d’una banda, a la naturalesa de la matèria i, de l’altra, a la situació normativa que es va derivar de la STC 292/2000, de 30 de novembre, la qual va declarar inconstitucional la determinació que contenia la LOPD de 1992, que habilitava les administracions públiques a determinar reglamentàriament els límits al dret a consentir la cessió de dades personals entre administracions públiques per a finalitats diferents a les que en van motivar originàriament la recollida.

Aquesta determinació, entre d’altres, va ser declarada inconstitucional, en la mesura que el TC va indicar que el dret a la protecció de dades personals és sotmès al principi de reserva de llei i, conseqüentment, qualsevol limitació d’aquest dret ha de respondre a una norma amb rang de llei.

En aquesta mateixa línia, la STC 17/2013, de 31 de gener (FJ 4), recollint el que va dir la STC 292/2000, de 30 de novembre, indica:

"La Ley Orgánica de protección de datos no permite la comunicación indiscriminada de datos personales entre Administraciones Públicas dado que, además, estos datos están, en principio, afectos a finalidades concretas y predeterminadas que son las que motivaron su recogida y tratamiento.[…]

Conforme a nuestra doctrina (STC 292/2000, FJ 16) corresponde al legislador determinar cuándo concurre ese bien o derecho que justifica la restricción del derecho a la protección de datos personales y en qué circunstancias puede limitarse. La finalidad de este derecho fundamental es garantizar a la persona un poder de disposición sobre el uso y destino de sus datos con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado, garantizando a los individuos un poder de disposición sobre esos datos, mientras que, para los poderes públicos, el derecho fundamental a la protección de los datos personales impone la prohibición de que se conviertan en fuentes de esa información sin las debidas garantías; y también el deber de prevenir los riesgos que puedan derivarse del acceso o divulgación indebidas de dicha información (STC 292/2000, FJ 6 in fine).”

2. El consentiment de la persona interessada per a la comunicació de dades entre administracions públiques

2.1 El consentiment tàcit

Sobre la base de la situació derivada del principi de reserva legal, el consentiment de la persona interessada es va configurar com el pilar bàsic per poder procedir a la comunicació de dades entre administracions públiques.

No obstant això, per afavorir l’emissió del consentiment per part de la persona interessada, es va admetre la possibilitat que aquest consentiment es pogués produir de manera tàcita, i en aquest sentit es va recollir en l’article 14 del Reial decret 1720/2007, de 21 de desembre, pel qual s’aprova el reglament de desenvolupament de la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal.

Aquest reglament, simultani en el temps amb la Llei 11/2007, de 22 de juny, d’accés electrònic dels ciutadans als serveis públics, no tractava en particular de les actuacions de tractament de dades per part de les administracions públiques.

2.2 Exclusió del consentiment tàcit amb el nou marc normatiu europeu

Aquesta situació ha estat radicalment alterada com a conseqüència de l’entrada en vigor del nou Reglament general de protecció de dades (RGPD), de 27 d’abril de 2016, Reglament (UE) 2016/679 del Parlament Europeu i de Consell, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades, pel qual es deroga la Directiva 95/46/CE-, i de la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (LOPD).

Cal destacar que, a diferència de regulacions europees anteriors, les tradicionals directives que regulaven la matèria, les quals havien de ser objecte de transposició per part dels estats membres, han estat substituïdes per un reglament europeu amb aplicació i efecte directes.

La relació entre el RGPD i la LOPD és de complementarietat. En aquest sentit, de la mateixa manera que el RGPD conté fins a 55 remissions al legislador estatal, la LOPD fa, en diferents parts de l’articulat, remissió a preceptes concrets del RGPD.

El RGPD regula de manera directa el consentiment, definit en l’article 4.11:

"Consentiment de la persona interessada: tota manifestació de voluntat lliure, específica, informada i inequívoca per la qual la persona interessada accepta, ja sigui mitjançant una declaració o una clara acció afirmativa, el tractament de dades personals que li concerneixen.”

La definició de consentiment parla d’una clara acció afirmativa. Per entendre aquesta determinació, és d'interès el considerant 32 del RGPD:

“El consentiment s'ha de donar per mitjà d'un acte afirmatiu clar que reflecteixi una manifestació de voluntat lliure, específica, informada i inequívoca de la persona interessada d'acceptar el tractament de dades de caràcter personal que li concerneixen, com una declaració per escrit, inclusivament per mitjans electrònics, o una declaració verbal. Això podria incloure marcar una casella d'un web a Internet, escollir paràmetres tècnics per a la utilització de serveis de la societat de la informació, o qualsevol altra declaració o conducta que indiqui clarament en aquest context que la persona interessada accepta la proposta de tractament de les seves dades personals. Per tant, el silenci, les caselles ja marcades o la inacció no han de constituir consentiment. El consentiment s'ha de donar per a totes les activitats de tractament realitzades amb el mateix o els mateixos fins. Quan el tractament tingui diversos fins, s'ha de donar el consentiment per a tots. Si el consentiment de la persona interessada s'ha de donar arran d'una sol·licitud per mitjans electrònics, la sol·licitud ha de ser clara, concisa i no pertorbar innecessàriament l'ús del servei per al qual es presta."

A més, s’ha de destacar que el considerant 43 fa referència expressa a la llibertat del consentiment de l’administrat, quan es troba davant d’una administració pública, i indica que: “Per garantir que el consentiment s'hagi donat lliurement, aquest no ha de constituir un fonament jurídic vàlid per al tractament de dades de caràcter personal en un cas concret en què hi hagi un desequilibri clar entre la persona interessada i el responsable del tractament, en particular quan aquest responsable sigui una autoritat pública i sigui per tant improbable que el consentiment s'hagi donat lliurement en totes les circumstàncies de la situació particular.”

2.3 La regulació del consentiment de l’administrat per la Llei 39/2015

D’acord amb aquest marc normatiu, desapareix la possibilitat que es pugui deduir la prestació del consentiment de manera tàcita. De la mateixa manera, la determinació que contenia l’article 28 de la Llei 39/2015, des de l’entrada en vigor del RGPD el 25 de maig de 2018, restava privada de validesa legal.

L’article 28.2 de la Llei 39/2015, en la redacció originària, deia:

“2. Les persones interessades no estan obligades a aportar documents que hagi elaborat qualsevol Administració, independentment del fet que la presentació dels documents esmentats tingui caràcter preceptiu o facultatiu en el procediment de què es tracti, sempre que la persona interessada hagi expressat el seu consentiment perquè es consultin o se sol·licitin. Es presumeix que la consulta o l’obtenció és autoritzada per les persones interessades llevat que en el procediment en consti l'oposició expressa o que la llei especial aplicable requereixi un consentiment exprés."

Per adequar-se al nou marc europeu, la disposició final 12 de la LOPD ha donat una nova redacció a l’apartat 2 de l’article 28:

“Les persones interessades tenen dret a no aportar documents que ja es trobin en poder de l'Administració actuant o hagin estat elaborats per qualsevol altra Administració. L'Administració actuant pot consultar o sol·licitar aquests documents llevat que la persona interessada s'hi oposi. No és possible l'oposició quan l'aportació del document s'exigeixi en el marc de l'exercici de potestats sancionadores o d'inspecció."

La nova regulació de la normativa de procediment prescindeix de la idea del consentiment i recull exclusivament la possibilitat d'oposició al tractament per part de la persona interessada, que, no obstant això, s'exclou en determinats àmbits d'actuació de l'Administració.

En definitiva, ens hem d'atenir a les determinacions de la normativa de protecció de dades per avaluar la licitud o no de la comunicació de dades.

3. El marc general de la comunicació de dades entre administracions públiques

D’acord amb el marc general de protecció de dades, el RGPD, quan parla de la comunicació de dades entre administracions públiques, se centra en el concepte de missió d’interès públic, o en el compliment d’una obligació legal, dintre dels diferents supòsits de licitud del tractament que regula l’article 6 del RGPD.

3.1 Principis relatius al tractament de dades

Prèviament, en l’article 5, el RGPD regula els principis relatius al tractament (licitud, lleialtat i transparència; limitació de la finalitat; minimització de dades; exactitud; limitació del termini de conservació, i integritat i confidencialitat). Aquest article defineix els principis esmentats, amb una unificació de nomenclatures que és útil envers una interpretació homogènia de la normativa.

3.2 Licitud del tractament en l’article 6 del RGPD

Com dèiem, l’article 6 del RGPD recull els supòsits en què el tractament és lícit i, pel que ens interessa, es pot destacar:

“1. El tractament només és lícit si es compleix almenys una de les condicions següents:

a) La persona interessada va donar el seu consentiment per al tractament de les seves dades personals per a una o diverses finalitats específiques.

b) […]

c) El tractament és necessari per al compliment d'una obligació legal aplicable al responsable del tractament.

d) […]

e) El tractament és necessari per al compliment d'una missió realitzada en interès públic o en l'exercici de poders públics conferits al responsable del tractament."

3.2.1 Tractament per obligació legal o missió d’interès públic

Al marge del consentiment de la persona interessada, pel que fa a les lletres c i e, l’article 8 de la LOPD desenvolupa expressament aquests dos supòsits:

“Article 8. Tractament de dades per obligació legal, interès públic o exercici de poders públics

1. El tractament de dades personals només es pot considerar fonamentat en el compliment d'una obligació legal exigible al responsable, en els termes que estableix l'article 6.1.c del Reglament (UE) 2016/679, quan així ho estableixi una norma de dret de la Unió Europea o una norma amb rang de llei, que pot determinar les condicions generals del tractament i els tipus de dades objecte d’aquest, així com les cessions que escaiguin com a conseqüència del compliment de l'obligació legal. Aquesta norma pot imposar igualment condicions especials al tractament, com ara l'adopció de mesures addicionals de seguretat o d’altres establertes en el capítol IV del Reglament (UE) 2016/679.

2. El tractament de dades personals només es pot considerar fonamentat en el compliment d'una missió duta a terme en interès públic o en l'exercici de poders públics conferits al responsable, en els termes que estableix l'article 6.1.i del Reglament (UE) 2016/679, quan derivi d'una competència atribuïda per una norma amb rang de llei."

3.2.2 Tractament amb consentiment de la persona interessada per a fins específics. Compatibilitat de fins

D’altra banda, pel que fa al consentiment, la lletra a de l’article 6 del RGPD parla expressament de finalitat, la qual cosa ens porta al principi de limitació de la finalitat de l’article 5.1.b del RGPD, que estableix que les dades personals han de ser recollides per a finalitats determinades, explícites i legítimes, i que no han de ser tractades ulteriorment de manera incompatible amb dites finalitats.

En aquest sentit, s’introdueix el concepte de compatibilitat, que ens porta a haver de determinar quan una finalitat és compatible o no.

El considerant 50 del RGPD desenvolupa aquest concepte de manera extensa:

“El tractament de dades personals per a finalitats diferents d'aquelles per a les quals hagin estat recollides inicialment, només s'ha de permetre quan sigui compatible amb les finalitats de la recollida inicial. En aquest cas, no es requereix una base jurídica a part, diferent de la que va permetre l'obtenció de les dades personals. Si el tractament és necessari per complir una missió realitzada en interès públic o en l'exercici de poders públics conferits al responsable del tractament, els objectius i les finalitats per als quals s'ha de considerar compatible i lícit el tractament ulterior es poden determinar i especificar d'acord amb el dret de la Unió o dels estats membres. Les operacions de tractament ulterior amb finalitats d'arxiu en interès públic, finalitats de recerca científica i històrica o finalitats estadístiques, s’han de considerar operacions de tractament lícites compatibles. La base jurídica establerta en el dret de la Unió o dels estats membres per al tractament de dades personals també pot servir de base jurídica per al tractament ulterior. A fi de determinar si la finalitat del tractament ulterior és compatible amb la finalitat de la recollida inicial de les dades personals, el responsable del tractament, després d'haver complert tots els requisits per a la licitud del tractament original, ha de tenir en compte, entre d'altres, qualsevol relació entre aquestes finalitats i les finalitats del tractament ulterior previst, el context en què es van recollir les dades, en particular les expectatives raonables de la persona interessada basades en la seva relació amb el responsable quant a l'ús posterior, la naturalesa de les dades personals, les conseqüències per a les persones interessades del tractament ulterior previst i l'existència de garanties adequades tant en l'operació de tractament original com en l'operació de tractament ulterior prevista."

Veiem que el RGPD exigeix una anàlisi de compatibilitat, però l'exclou quan afecti qüestions com la relativa a la seguretat pública.

En la mateixa línia, l’article 6.4 de la LOPD ho recull expressament:

“Article 6.4. Quan el tractament per a una altra finalitat diferent d'aquella per a la qual es van recollir les dades personals no estigui basat en el consentiment de la persona interessada o en el dret de la Unió o dels estats membres que constitueixi una mesura necessària i proporcional en una societat democràtica per salvaguardar els objectius indicats en l'article 23, apartat 1, el responsable del tractament, a fi de determinar si el tractament amb una altra finalitat és compatible amb la finalitat per a la qual es van recollir inicialment les dades personals, ha de tenir en compte, entre d'altres:

a) Qualsevol relació entre les finalitats per a les quals s'hagin recollit les dades personals i les finalitats del tractament ulterior previst.

b) El context en què s'hagin recollit les dades personals, en particular pel que fa a la relació entre les persones interessades i el responsable del tractament.

c) La naturalesa de les dades personals, en concret quan es tractin categories especials de dades personals, de conformitat amb l'article 9, o dades personals relatives a condemnes i infraccions penals, de conformitat amb l'article 10.

d) Les possibles conseqüències per a les persones interessades del tractament ulterior previst.

e) L'existència de garanties adequades, que poden incloure el xifratge o la pseudonimització."

En resum, tant el RGPD com la LOPD ens aporten uns criteris interpretatius que són d’utilitat.

3.3 Anàlisi en funció del cas en concret

Així, la nova normativa se centra en els conceptes de finalitat pel que fa al consentiment, i de missió d'interès públic pel que fa a l’actuació de les administracions públiques.

De la mateixa manera, veiem que el RGPD i la LOPD es configuren com a normes complementàries envers la regulació de la matèria.

No obstant això, la casuística ens continuarà acompanyant, ja que no podem oblidar que, tractant-se la protecció de dades de caràcter personal d'un dret fonamental, la interpretació i l'aplicació de la normativa s'ha de fer de la manera menys restrictiva.

A la pràctica, és recomanable que, en el moment de la recollida de les dades de la persona interessada en el procediment, en el corresponent model normalitzat se'n demani el consentiment. Així, es dona compliment al supòsit de licitud del tractament, recollit en la lletra a de l'article 6.1 del RGPD ("a) La persona interessada va donar el seu consentiment per al tractament de les seves dades personals per a una o diverses finalitats específiques"), que recull el supòsit del consentiment exprés i, d'aquesta manera, evitar els dubtes interpretatius que es puguin plantejar.

4. Principi d’exactitud i potestat de verificació de les administracions públiques. Disposició addicional vuitena de la LOPD

Finalment, no podem deixar de fer referència a la disposició addicional vuitena de la LOPD, que indica el següent:

“Disposició addicional vuitena. Potestat de verificació de les administracions públiques

Quan es formulin sol·licituds per qualsevol mitjà en què la persona interessada declari dades personals que constin en poder de les administracions públiques, l’òrgan destinatari de la sol·licitud pot efectuar en l’exercici de les seves competències les verificacions necessàries per comprovar l’exactitud de les dades.”

Aquesta determinació té relació amb el principi d'exactitud, però efectua un apoderament o una habilitació a les administracions públiques, que es pot considerar bastant ampli pel que fa a l'àmbit material d'aplicació i que, en funció de la seva utilització, pot tensionar la protecció de les dades personals de la persona interessada, si es pretén entendre com una habilitació en blanc.