La Agencia Española de Protección de Datos (en adelante AEPD) ha sancionado recientemente al Ente Público Radio Televisión Castilla-La Mancha (RTVCLM) por infringir la normativa de protección de datos en un procedimiento de acceso a la información pública. En concreto, en la resolución de procedimiento sancionador nº 202304295, se ha declarado la vulneración del artículo 6.1.a) del Reglamento General de Protección de Datos (en adelante RGPD), donde se estipulan las condiciones bajo las cuales el tratamiento de datos personales es lícito.
Así las cosas, y para entender el motivo de la sanción, debemos comenzar analizando los motivos que han dado origen a la misma:
Un ciudadano solicitó acceso a información pública relacionada con expedientes disciplinarios de trabajadores de RTVCLM, correspondientes a diferentes años. Un dato importante es que, en dicha solicitud, el reclamante indicó expresamente que no deseaba recibir datos de carácter personal y que la información debía ser disociada o anonimizada, en aplicación de la resolución 264/2022 del Consejo de Transparencia y Buen Gobierno.
Sin embargo, y sin tener en cuenta la mención realizada por el ciudadano de no recibir datos personales, el ente público reclamado comunicó el nombre y apellidos del solicitante a las personas afectadas por la solicitud de acceso, argumentando que dicha divulgación era necesaria para garantizar los derechos de los terceros en el marco del trámite de audiencia.
Esta acción llevó al reclamante a presentar una reclamación ante la AEPD, considerando que la revelación de su identidad constituía una vulneración de sus derechos en materia de protección de datos.
Pero ¿Qué alegaciones manifiesta RTVCLM en su defensa?
El ente público reclamado justificó el traslado del nombre y apellidos del solicitante a los supuestos afectados por el derecho de acceso a información pública, dicho organismo alega lo siguiente:
“En cuanto a la inclusión de su nombre, recordarle que un nombre, si no va acompañado de más información, no es un dato de carácter personal. Indicarle también que la identidad de quien realiza la consulta puede resultar relevante para el posible afectado.”
Así, RTVCLM se ratifica en las distintas declaraciones ya presentadas ante la AEPD para este caso, considerando que el Órgano de Transparencia se ha limitado a gestionar la solicitud de acceso a la información pública en cuestión en estricta aplicación y la Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la Información Pública y Buen Gobierno.
En la misma línea, alega, de forma literal, lo siguiente:
1.- La importancia de la aplicación del principio de presunción de inocencia en el derecho administrativo sancionador, por analogía con el Derecho Penal, y, cómo en dicho procedimiento, la AEPD supuestamente no lo está respetando.
2.- Aduce igualmente el carácter esencial del trámite de audiencia, también en el procedimiento de acceso a la información pública, para garantizar los derechos de terceros interesados.
3.- Afirma también que el derecho de acceso a la información pública se reconoce a todas las personas, según lo previsto en el artículo 12 de la Ley Estatal de Transparencia anteriormente mencionada, con lo que la decisión sobre el acceso a la información solicitada debe basarse y justificarse en relación con el objeto de la petición, y no debe tener en cuenta la identidad de la persona solicitante.
4.- En cuarto lugar, argumenta que podría concebirse la necesidad de la comunicación a un tercero de los datos identificativos del solicitante de la información, apoyándose en las conclusiones del Dictamen 4/2023, del Consejo de Transparencia y Protección de Datos de Andalucía, que consideraría lícita la comunicación la identidad del solicitante, cuando el desconocimiento pudiera provocar indefensión para la defensa de sus derechos o intereses afectados, al carecer de información suficiente, para hacer valer su derecho a presentar las alegaciones oportunas por la solicitud de acceso a información pública.
5.- Por último, indica que el conocimiento de la identidad del solicitante es relevante en orden a no causar indefensión a terceros, dentro del procedimiento solicitud de acceso a información pública. A juicio de la parte reclamada, quedaría así plenamente justificado el trámite llevado a efecto, por lo que solicita el archivo del procedimiento sancionador, al considerar que no se ha infringido precepto alguno del RGPD.
Una vez expuestas las alegaciones de la parte reclamada, pasamos a comprobar los fundamentos de derecho dispuestos por la AEPD.
Nuestra autoridad de control manifiesta que los hechos quedan acreditados con el reconocimiento de RTVCLM de su autoría: la entidad ha facilitado los datos identificativos de la parte reclamante a terceros cuyos datos podrían verse afectados, por su solicitud de acceso de información pública.
Por lo expuesto anteriormente, no se aprecia la vulneración de la presunción de inocencia, al existir de modo indubitado pruebas documentales válidas en derecho y alegaciones de los intervinientes que confirman la autoría de los hechos por la parte reclamada.
La AEPD manifiesta que la cuestión controvertida en este expediente es si la legislación aplicable al caso, habilita a RTVCLM a revelar la identidad del solicitante en el trámite de audiencia a terceros interesados dentro del procedimiento de acceso de información pública.
Recordemos que el ente público reclamado hace alusión a la aplicabilidad de la Ley de Transparencia. Sin embargo, la AEPD considera que la norma aplicable al caso por competencia territorial y material es la Ley 4/2016, de Transparencia de Castilla-La Mancha, al ser RTVCLM un ente público perteneciente a la Comunidad de Castilla-La Mancha; mencionando así su artículo 32, 3º y 4º:
“3. Si la solicitud de información pública puede afectar a derechos o intereses de terceros, de acuerdo con lo establecido por la presente ley, en caso de que los posibles afectados estén identificados o sean fácilmente identificables, se les debe dar traslado de la solicitud, y tienen un plazo de quince días para presentar alegaciones, suspendiéndose el plazo para resolver hasta la recepción de las alegaciones o el transcurso del plazo máximo de presentación. No será preciso el traslado a que se refiere el párrafo anterior cuando el solicitante acredite la conformidad de los terceros afectados.”
“4. En el supuesto previsto en el número anterior se informará al solicitante del traslado de su solicitud, así como de la suspensión del plazo para dictar resolución. Respecto de los terceros, el traslado de la solicitud deberá indicar sus motivos, pero no será obligatorio revelar la identidad del solicitante.”
Así, concluye la AEPD que RTVCLM inaplica su propia norma específica para el caso, que no considera obligatorio revelar la identidad del solicitante a otros posibles afectados, dentro del procedimiento solicitud de acceso a información pública.
Con todo lo expuesto, pasamos a detallar los artículos vulnerados por el ente publico en materia de protección de datos:
RTVCLM, ha comunicado datos personales del reclamante a terceros, amparándose en el artículo 25 de la Ley 4/2016, de 15 de diciembre, de Transparencia y Buen Gobierno de Castilla-La Mancha que establece: “Artículo 25. Límites al derecho de acceso a la información pública. El régimen sobre los límites de acceso a la información pública y los principios de interpretación de aquéllos son los previstos en los artículos 14 y 15 de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, sin perjuicio de facilitar, siempre que sea posible, un acceso parcial, omitiendo la parte afectada por la limitación, indicándose, en este caso, al solicitante la parte de información omitida.”
Por su parte, el artículo 15, párrafo segundo del apartado primero de la Ley 19/2013, Ley Estatal de Transparencia, dispone también:
“1. Si la información incluyese datos personales que hagan referencia al origen racial, a la salud o a la vida sexual, incluyese datos genéticos o biométricos o contuviera datos relativos a la comisión de infracciones penales o administrativas que no conllevasen la amonestación pública al infractor, el acceso solo se podrá autorizar en caso de que se cuente con el consentimiento expreso del afectado o si aquel estuviera amparado por una norma con rango de ley.(…)”
Establece este precepto el consentimiento previo y expreso de los interesados, en el supuesto de que la información solicitada contuviera datos relativos a la comisión de infracciones administrativas, como es el caso; pero a su vez establece el párrafo 4º de este mismo artículo también la siguiente salvedad:
“4. No será aplicable lo establecido en los apartados anteriores si el acceso se efectúa previa disociación de los datos de carácter personal de modo que se impida la identificación de las personas afectadas”.
Al solicitar la parte reclamante, la disociación y/o anonimización de los datos personales de forma expresa, omitiendo cualquier dato identificativo, RTVCLM bien podría haber aportado la información solicitada por el reclamante, sin facilitar su nombre a los otros interesados, por no ser necesario el consentimiento de estos últimos.
Por consiguiente, las leyes estatales y autonómicas de transparencia aplicables al procedimiento solicitud de acceso a información pública, no justifican, ni habilitan a RTVCLM a facilitar la identidad del solicitante a otros posibles afectados, por lo que la cesión de datos realizada no puede ampararse en el cumplimiento de una obligación legal.
Como consecuencia de ello, la AEPD confirma que RTVCLM ha revelado la identidad de la parte reclamante sin su consentimiento, por lo que incumple el artículo 6.1.a) del RGPD, al no concurrir ninguna de las otras bases de licitud del tratamiento contemplados previstas en el artículo 6 del RGPD.
En este caso la sanción no es pecuniaria, al tratarse de un ente público, por lo que nuestra autoridad de control ordena que, en virtud del artículo 58.2.d) del RGPD, en el plazo de 6 meses desde que la resolución sea firme y ejecutiva, RTVCLM acredite haber procedido al cumplimiento de las medidas necesarias en sus procedimientos para evitar la divulgación de la identidad de los solicitantes, cuando no esté amparada en ninguna de las bases de legitimación del artículo 6.1 del RGPD.
En definitiva, este caso sirve como recordatorio de que las solicitudes de acceso a la información pública, aunque legítimas, deben gestionarse con extrema precaución para evitar vulneraciones de la normativa de protección de datos. Las administraciones públicas, así como los entes sujetos a la Ley de Transparencia, deben ajustar sus procedimientos internos para garantizar que las obligaciones de transparencia no deriven en infracciones del RGPD, protegiendo en todo momento los derechos de los ciudadanos.
Si quieres conocer más sobre principio de transparencia y acceso a información pública pincha aquí y aquí
