LA LEGITIMACIÓN PARA EL ACCESO A DATOS PERSONALES DE LA ENTIDAD LOCAL POR PARTE DE CARGOS PÚBLICOS: CUÁNDO, CÓMO Y PARA QUÉ

En la línea de lo indicado en nuestra última entrada sobre el acceso a datos personales de los empleados públicos de las entidades locales, la normativa de referencia en el ámbito de la Administración pública local es la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local (en adelante, LRBRL). Según esta norma, para la efectividad de la autonomía garantizada constitucionalmente a las entidades locales, la legislación estatal y autonómica de aplicación deberán asegurar y proteger el derecho de los Municipios, como entidad local básica de la organización Territorial del Estado, a intervenir en cuantos asuntos afecten directamente al círculo de sus intereses, atribuyéndoles las competencias que procedan en atención a las características de la actividad pública que corresponda y a la capacidad de gestión de la entidad local.


En cumplimiento de las potestades encomendadas en calidad de Administración Pública y las competencias tanto propias como adquiridas por delegación, tal y como establece el art. 6 LRBRL, las entidades locales deberán servir a los intereses públicos encomendados con objetividad y con pleno sometimiento a la Ley y al Derecho y, por tanto, con pleno sometimiento a las funciones judiciales de los tribunales dentro de la función de control de la acción de gobierno de las entidades locales. El objetivo del presente artículo es, a partir del fundamento jurídico de aplicación, determinar la base jurídica de aplicación por la que se habilita el acceso a datos personales por parte de los miembros integrantes del orden organizativo de la administración local conforme a lo establecido en el art. 19 LRBRL, a saber, los concejales.


El Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril, de 2016, General de Protección de Datos (RGPD) resulta de aplicación siempre que se lleve a cabo un “tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero” (art. 2.1 RGPD). A este respecto, se reconoce como dato personal toda aquella información sobre una persona física identificada o identificable, esto es, “toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona” (art. 4.1 RGPD); así, se reconoce como tratamiento de datos a toda “operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación, modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.


Por todo lo anterior, el acceso o ulterior utilización de la información en poder de la entidad local en el desempeño de las funciones de control de la acción de gobierno municipal por parte de los concejales de la entidad local implica, en su caso, el tratamiento de datos personales y, por consiguiente, queda sometida a los principios y garantías establecidos por la normativa vigente de protección de datos.
Esta finalidad de control de la acción de gobierno de la entidad local debe contar con una base jurídica de legitimación que, en este supuesto, se corresponde con el art. 6.1.e) RGPD, a saber: “el tratamiento de datos es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento”. En este caso, cabe recordar que dicho tratamiento solo podrá ampararse en la anterior base de legitimación [art. 6.1.e) RGPD] cuando ello se deriva de una competencia atribuida por ley; en este supuesto, conforme al art. 53 Constitución Española, que la norma por la que se desarrolla dicho precepto, por tratarse de un derecho fundamental, tenga rango de ley.


A partir del art. 77 LRBRL, se recuerda que todos los miembros de las corporaciones locales, con independencia de su participación en el equipo de gobierno o en el grupo de la oposición, tendrán derecho a obtener del alcalde o de la Comisión de Gobierno todos aquellos datos e informaciones que obren en poder de los servicios de la Corporación que resulten precisos para el desarrollo de la función pública por parte de la entidad local, a efectos de control de la acción del Gobierno municipal. Asimismo, la anterior solicitud de ejercicio del derecho a obtener información habrá de ser resuelta motivadamente en el plazo de cinco días naturales siguientes a aquél en que se hubiese presentado.

En línea con lo anterior, se recuerda que, conforme al Real Decreto Legislativo 2/2004, de 5 de marzo, por el que se aprueba el texto refundido de la Ley Reguladora de las Haciendas locales, se ejercerán en las entidades locales las funciones de control interno respecto a la gestión económica de la entidad local (art. 213); con la excepción de fiscalización previa establecida en el art. 219 de esta misma norma. El ámbito de aplicación y el órgano interventor encargado de efectuar las funciones de control y fiscalización se ajustará a lo establecido en el Reglamento Orgánico Municipal de aplicación.

Por último, cabe traer a colación el Real Decreto 2568/1986, de 28 de noviembre, por el que se aprueba el Reglamento de Organización, Funcionamiento y Régimen Jurídico de las Entidades locales; concretamente, en su art. 14 se estipula que “Todos los miembros de las Corporaciones Locales tienen derecho a obtener del Alcalde o Presidente o de la Comisión de Gobierno cuantos antecedentes, datos o informaciones obren en poder de los servicios de la Corporación y resulten precisos para el desarrollo de su función”.


A este respecto, el art. 15 RD 2568/1986, de 28 de noviembre, establece que los servicios administrativos locales están obligados a facilitar la información, sin necesidad de que el concejal acredite estar autorizado, en los siguientes supuestos:


a) Cuando se trate del acceso de los miembros de la Corporación que ostenten delegaciones o responsabilidades de gestión, a la información propia de las mismas.


b) Cuando se trate del acceso de cualquier miembro de la Corporación, a la información y documentación correspondiente a los asuntos que hayan de ser tratados por los órganos colegiados de que formen parte, así como a las resoluciones o acuerdos adoptados por cualquier órgano municipal.


c) Cuando se trate del acceso de los miembros de la Corporación a la información o documentación de la entidad local que sean de libre acceso para los ciudadanos.


El resto de los supuestos en los que tuviera lugar el ejercicio del derecho de acceso a la información por parte de los concejales se supeditará a la validación formal de la acreditación de autorización por la que se solicita el acceso a la información.


A modo de conclusión, se reconoce el derecho de acceso a la información por parte de los concejales, como miembros del órgano de gobierno de la entidad local, siempre que ello sea necesario para el ejercicio de las funciones de control que le fueran encomendadas tal y como reconoce la normativa vigente aquí expuesta, en la medida en que el tratamiento de los datos personales por parte de los concejales deberá cumplir con la normativa vigentes de protección de datos; para ello, se reconoce la habilitación del acceso a los datos personales por parte de la entidad local como una cesión de datos a terceros, lo que implica que dicho tratamiento de datos personales por parte de los miembros de la entidad local deberá supeditarse a una de las bases de legitimación reconocidas en el art. 6.1 RGPD que, en el supuesto de tratarse de una Administración pública de ámbito local, recae en el art. 6.1.e) RGPD, a saber: “cumplimiento de un misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento”.


En cumplimiento de la presente base de legitimación, conforme a la normativa específica vigente de aplicación, se concluye que la entidad local deberá facilitar el ejercicio del derecho de acceso a la información a los concejales, limitando el contenido de dicha información, exclusivamente, a la inclusión de los datos personales que sean estrictamente necesarios para el cumplimiento de la facultad de decisión, control y fiscalización por parte de los concejales como miembros del órgano de gobierno de la entidad local, a efectos de garantizar con suficiencia el cumplimiento del principio de limitación [art. 5.1.b) RGPD] y minimización [art. 5.1.c) RGPD], esto es, que los datos personales sean tratados para un fin determinado, explícito y legítimo, y que no sean tratados ulteriormente para una finalidad incompatible con la inicial; y que los datos personales sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados; respectivamente.


Por último, los datos personales del interesado deberán ser tratados de tal manera que garanticen un nivel suficiente de seguridad, de acuerdo a las medidas de seguridad establecidas en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad a efectos de garantizar su integridad y confidencialidad [art.5.1.f) RGPD], debiendo proceder a la implementación de todas aquellas medidas de seguridad necesarias para impedir el acceso no autorizado o ilegítimo a los datos personales de los interesados que no fueran necesarios para dar cumplimiento a la finalidad inicial para la que fueron recopilados, a saber, garantizar el libre ejercicio del derecho de acceso a la información por los concejales a efectos de realizar la facultad de decisión, control y fiscalización por parte de dichos cargos públicos como miembros del órgano de gobierno de la entidad local.