En el presente artículo continuaremos con la segunda parte de Análisis de las claves de la Guía de la APDCAT de Colegios Profesionales donde trataremos, en profundidad, las cuestiones más curiosas e ilustrativas que se plantean con más frecuencia, en relación con los Colegios Profesionales y la protección de datos de carácter personal.
Como ya comentábamos en nuestro artículo anterior, para un Colegio Profesional es indispensable, para el ejercicio y desarrollo de sus funciones, el tratamiento de datos personales y, por ende, se encuentra sujeto al cumplimiento general de la normativa vigente en materia de protección de datos que, a lo largo de la Guía, se trata de una manera exhaustiva.
Una de las cuestiones más controvertidas es la publicidad de determinados datos a la que está sujeta un Colegio Profesional. A priori, podría pensarse que los datos personales de los colegiados deben de tener un relativo carácter reservado. En este sentido la mencionada Guía prevé que los Colegios Profesionales tienen que disponer de una ventanilla única en su página web, a través de la cual deben ofrecer información clara, inequívoca y gratuita sobre una serie de aspectos que nos lleva a hacernos las siguientes preguntas:
¿El listado de profesionales que se publica en la ventanilla única de las páginas web puede considerarse una fuente accesible al público?
En la anterior Ley Orgánica 15/1999 de Protección de Datos las fuentes accesibles al público quedaban taxativamente señaladas. En su artículo 5 se consideraba como fuente accesible al público “aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación”.
Actualmente, en la normativa de protección de datos vigente, en concreto, el Reglamento General de Protección de Datos (en adelante RGPD) y la Ley Orgánica 3/2018 de Protección de datos y garantías de los Derechos Digitales (en adelante LOPDGDD) no contiene una definición sobre qué hay que entender como fuente accesible al público, ni establece ningún régimen específico con respecto al tratamiento de los datos que pueden contener. La Agencia Española de Protección de Datos, ante esta insuficiencia, ha considerado aplicable la definición de la Ley 15/1999, aunque ha puesto de relieve que en el uso de datos provenientes de estas “fuentes de acceso público” deberá concurrir alguna de las bases legitimadoras del artículo 6 del RGPD. Por tanto, debe tratarse de webs y fuentes en las que la consulta la pueda realizar cualquier persona, lo que excluiría aquellas en las que el acceso está restringido a un círculo determinado de usuarios. A este respecto, la Agencia Española de Protección de Datos ha emitido un informe muy interesante sobre el tratamiento de datos relativos a opiniones políticas por los partidos políticos donde se delimita dicho concepto de “fuente de acceso público”.
En la línea con la cuestión anterior, ¿se adecua al RGPD la posibilidad de que un ciudadano acceda a datos que figuran en el registro de colegiados a través de la página web del Colegio Profesional?
La respuesta es sí, porque se trata de una comunicación de datos habilitada por la Ley 2/1974 sobre Colegios Profesionales y la Ley 7/2006 del ejercicio de profesiones tituladas y de los colegios profesionales , que obligan a dar acceso público al registro de colegiados a través de su página web en el apartado de ventanilla única.
En dicho apartado de la ventanilla única se han de publicar los siguientes aspectos:
- El acceso al registro de colegiados en el que deben constar, al menos, los datos siguientes: nombre y apellidos del profesional colegiado, número de colegiación, títulos oficiales que posee, domicilio profesional y situación de habilitación profesional.
- El acceso al registro de sociedades profesionales.
- Las vías de reclamación y los recursos que se pueden interponer en caso de conflicto entre el consumidor o usuario y un colegiado o el colegio profesional.
- Los datos de las asociaciones u organizaciones de consumidores y usuarios a las cuales los destinatarios de los servicios profesionales pueden dirigirse para obtener asistencia.
- El contenido de los códigos deontológicos.
En cuanto a datos más concretos de colegiados que no sean ejercientes, ¿qué información es necesario publicar en la ventanilla única o comunicar en caso de consulta, (incluidos los casos de jubilación o invalidez)? ¿y de los colegiados dados de baja o difuntos o de sus herederos?
Se puede publicar o comunicar a terceros la información siguiente, ya sean de profesionales ejercientes como de no ejercientes: nombre y apellidos, número de colegiación, titulación, datos de contacto profesional y situación de habilitación profesional.
Por el contrario, no se pueden divulgar datos de las personas colegiadas dadas de baja ni de las personas herederas de un colegiado difunto. Con respecto a los datos de colegiados difuntos, aunque en principio no tienen que figurar en la ventanilla única, hay que tener presente que no se les aplica la normativa de protección de datos personales.
Como ya hemos señalado, otro de los puntos que han de figurar en la ventanilla única son los datos relativos a las sociedades profesionales, pero ¿cuáles son exactamente los datos de las sociedades profesionales inscritas que hay que publicar en esta ventanilla única?
El colegio tiene que publicar la información que prevé el artículo 8 de la Ley 2/2007, de 15 de marzo, de sociedades profesionales, que incluye determinada información personal, como la identificación de los socios profesionales (como son el número de colegiado y colegio profesional al que pertenece) y no profesionales, y la identificación de las personas que se encargan de la administración y la representación. Respecto a las personas encargadas de la administración y representación de estas sociedades, se puede dar acceso a sus datos identificativos. En ambos casos se pueden publicar los datos de contacto profesional.
En cuanto a temas más internos ligados al régimen y organización del Colegio Profesional, la Guía nos da las claves de los siguientes interrogantes:
¿Se puede divulgar la identidad de las personas colegiadas que impulsan la inclusión de un punto del orden del día de la asamblea del colegio?
Para poder admitirla, es necesario poder verificar la identidad y la condición de los colegiados promotores de la iniciativa. El resto de las personas colegiadas están legitimadas para consultar la documentación relativa a la convocatoria de la asamblea. Por lo tanto, siempre que se identifique a las personas promotoras, dicha comunicación es conforme a la normativa de protección de datos personales.
¿Se puede entregar un listado de las personas colegiadas, con indicación de sus datos de contacto, a una persona colegiada interesada en contribuir a las elecciones a la junta de gobierno del colegio?
La entrega de un listado de los colegiados a una persona colegiada, proclamada candidata se puede considerar enmarcado en la satisfacción de intereses legítimos y, por ende, un tratamiento amparado en la base jurídica del artículo 6.1.f) del RGPD. La información mencionada sólo se puede utilizar para la finalidad específica de facilitar la comunicación entre las personas candidatas y el resto de las personas colegiadas durante el período de campaña electoral.
En este sentido la propia Guía dispone la aplicación supletoria en esta materia de la Ley Orgánica 5/1985 del Régimen Electoral General (en adelante LOREG). En concreto el artículo 41.5 de la LOREG habilitaría al colegio para proporcionar a los candidatos la copia del censo al día siguiente de que se proclamen como candidatos, sin necesidad de contar con el consentimiento previo de las personas afectadas puesto que, en este caso, la cesión estaría habilitada en virtud de una norma con rango de ley. No obstante, hay que excluir de esta lista a las personas que han ejercido su derecho de oposición alegando motivos fundamentados en su situación personal que justifiquen la exclusión, o la no revelación de algunos de sus datos (por ejemplo, su dirección postal). En este último caso, el envío de información electoral se puede hacer a una dirección electrónica o un apartado de correos que haya designado la persona afectada.
En cualquier caso, se considera recomendable que, en el momento de la regulación en los estatutos del procedimiento electoral, las personas colegiadas valoren otro tipo de alternativas al envío a la dirección postal de los colegiados. Una posibilidad sería enviarlo a una dirección de correo electrónico designada por el propio colegiado.
Por otro lado, ¿un miembro de la junta de gobierno de un colegio profesional puede utilizar los datos personales que ha conocido en ejercicio de sus funciones para difundirlo en un blog personal?
Esta difusión de datos personales, al igual que cualquier otra, tiene que estar fundamentada en una base legítima que sea compatible con la finalidad que justificó el acceso. Por tanto, la publicación de información en su blog de datos personales sin contar con una base jurídica que lo ampare, puede traer consigo una actuación que no se adecua a la normativa de protección de datos, aunque en origen el acceso se considerara legítimo.
En otro orden de cosas, la Guía de Colegios Profesionales también indica una serie de cuestiones que afectan directamente a los propios colegiados y ayudan a saber cómo proceder cuando actúen en su condición de tal miembro. A este respecto, se plantean las siguientes preguntas:
¿Cómo puede un colegiado conocer la información que tiene un colegio profesional sobre su persona?
El colegiado puede conocer esta información ejerciendo el derecho de acceso, mediante una solicitud dirigida al colegio correspondiente.
¿Es posible denegar el ejercicio del derecho de acceso por la dificultad o el elevado coste que puede suponer al colegio profesional?
Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente por su carácter repetitivo, el responsable puede cobrar un canon o inadmitir la solicitud. A estos efectos, se puede considerar repetitivo ejercer el derecho de acceso más de una vez en el plazo de seis meses, a no ser que haya una causa legítima para hacerlo.
¿Un colegiado puede oponerse a la publicación de sus datos personales en la guía o lista de profesionales, sin causa justificada?
El colegiado puede oponerse a este tratamiento siempre y cuando alegue motivos relativos a su situación personal (como, por ejemplo, razones de seguridad o sufrir algún tipo de amenaza). En este caso, una vez realizada la ponderación con los intereses que justifican la publicación, el colegio debe excluirlo del listado profesional, a menos que haya motivos legítimos imperiosos que justifiquen que se mantengan publicados. Con respecto a la posibilidad de pedir que se excluyan sus datos del listado de profesionales del colegio de la utilización para finalidades de publicidad o prospección comercial, en este caso no hay que alegar ninguna situación personal, sino que es suficiente solicitarlo.
A consecuencia de la llegada de la era tecnológica, se han ido implantando nuevas formas de desempeñar la actividad profesional y una de estas técnicas que también se ha impuesto en los Colegios Profesionales es el teletrabajo. Pero ¿la prestación de servicios a través de esta modalidad requiere que se adopten medidas de seguridad especiales? ¿qué deben hacer los colegiados?
Efectivamente el teletrabajo comporta un incremento de los riesgos para los datos personales que se tratan. Por ello, es necesario que previamente el colegio establezca las medidas necesarias reguladas de forma interna, así como que informe al personal sobre todos los aspectos concretos de las mismas (cifrado, régimen de salida de dispositivos, VPN, entre otros). En este sentido la Guía de la APDCAT nos proporciona la interesante Guía rápida para teletrabajar con seguridad o las Normas de ciberseguridad para la prestación de servicios en la modalidad de teletrabajo de la Agencia de Ciberseguridad de Cataluña.
Por último, puede ocurrir que los colegiados sean sancionados o se les inhabilite para el ejercicio de sus funciones profesionales, pero ¿en qué casos los colegios están habilitados por la ley para comunicar este tipo de información? La comunicación de información sobre la comisión de infracciones administrativas o la imposición de sanciones está habilitada por ley cuando se comunican las sanciones disciplinarias que implican inhabilitación o separación profesional al consejo de colegios, para que las traslade al resto de colegios y a los órganos judiciales (art. 6.1.e y 6.4 RGPD y art. 3.3 de la Ley 2/1974). En el resto de los supuestos, no hay, con carácter general, una habilitación legal que permita dar publicidad a los expedientes o las resoluciones sancionadoras ni publicar las sanciones impuestas.
Por último y, como resumen, esta Guía nos da respuestas a estos y otros interrogantes que se plantean en el día a día de los Colegios Profesionales, mostrándonos con casos específicos, las directrices a las que quedan sujetos los colegios en materia de protección de datos.