El creciente volumen de información generada por el sector público, con la potencialidad que le otorga el desarrollo de la sociedad de la información, favorece su reutilización para la provisión de nuevos productos y servicios.
La Agencia Española de Protección de Datos (en adelante AEPD), elaboró en su día unas orientaciones sobre la reutilización de la información del sector público con la finalidad de facilitar criterios que contribuyan de una manera equilibrada a favorecer la reutilización de la información pública minimizando los riesgos que sobre el derecho a la protección de datos personales pueda implicar para los ciudadanos.
Ahora bien, en la misma línea y al hilo de lo anteriormente expuesto, la AEPD publicó recientemente un informe en respuesta a la consulta planteada como consecuencia de la puesta en marcha del programa de ACCESO A FONDOS DOCUMENTALES Y OBRAS (ATOPO), por la Diputación de Pontevedra.
¿En qué consiste el Programa ATOPO?
La ejecución del programa ATOPO, supone la publicación y por tanto el acceso de los ciudadanos- a información proveniente de diversas fuentes, tales como repositorio de colecciones y fondos documentales, bibliográficos, cartográficos y audiovisuales, depositados en el Museo de Pontevedra, en el Servicio de Patrimonio Documental y Bibliográfico, e incluso procedentes (a través de los correspondientes convenios), de los archivos municipales y de otras instituciones, públicas o privadas, de la provincia.
A través de este programa se pretende facilitar el acceso de modo universal, directo, sin identificación ni autorización, previa definición de los límites y condiciones de otras normativas aplicables entre las que se encuentra la de protección de datos personales.
Como punto de partida, acudiendo a la definición de tratamiento de datos personales del art. 4.2 del RGPD podemos considerar la existencia de tratamiento de datos personales en la ejecución del programa ATOPO.
Por tanto, una vez determinada la existencia del tratamiento debemos hacernos la siguiente pregunta:
¿Cuáles podrían ser las bases de legitimación del tratamiento del programa ATOPO?
La consultante indica, en síntesis, que la ejecución del programa ATOPO, forma parte de un mandato legal que se encuentra en la Directiva 2003/98/CE del Parlamento Europeo y del Consejo (y su transposición a través de la Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público), en las distintas leyes de transparencia de ámbito estatal y autonómica, y en la normativa que regula el acceso a documentos y archivos.
En base a dicha consideración, podría legitimarse el tratamiento consistente en la puesta en marcha del programa ATOPO, en los supuestos previstos en las letras c) y e) del apartado 1 del artículo 6, referidos al cumplimiento de una obligación legal o al cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos.
Si bien el principio de acceso público a los documentos oficiales puede considerarse de interés público, la ejecución de dicho principio ha de realizarse teniendo en cuenta el Derecho de la unión o el derecho nacional, siempre y cuando se observen las garantías y niveles de protección que el propio RGPD otorga a los titulares de los datos. En ese sentido, se ha de poner de manifiesto que la Directiva 2003/98/CE del Parlamento Europeo y del Consejo sobre reutilización de información del sector público (en adelante Directiva ISP), no merma la eficacia de la protección que el RGPD establece.
En España el acceso a la información púbica se encuentra regulado por la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a información pública y buen gobierno (en adelante LTAIBG). La ley contempla dos modalidades para la obtención de la información:
- La publicidad activa.
- El ejercicio individual del derecho de acceso a la misma
La LTAIBG establece en su artículo 5.3, en relación con la publicidad activa que, “serán de aplicación, en su caso, los límites al derecho de acceso a la información pública previstos en artículo 14 y, especialmente, el derivado de la protección de datos de carácter personal, regulado en el artículo 15”. Añadiendo a su vez que “a este respecto, cuando la información contuviera datos especialmente protegidos, la publicidad sólo se llevará a cabo previa disociación de los mismos”.
Dentro del capítulo sobre el derecho de acceso a la información pública, el artículo 15 de la Ley establece los requisitos para el acceso a los datos especialmente protegidos y los criterios de ponderación entre el derecho de acceso a la información pública y el derecho fundamental a la protección de datos personales, excluyendo su aplicación si los datos están previamente disociados y remarcando que la normativa de protección de datos personales es de aplicación al tratamiento posterior de la información a la que se haya accedido.
La interrelación entre la normativa de reutilización y la de transparencia y acceso a la información pública se materializa en el artículo 3.4 de la Ley 37/2007, según el cual “En ningún caso, podrá ser objeto de reutilización, la información en que la ponderación a la que se refieren los artículos 5.3 y 15 de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, arroje como resultado la prevalencia del derecho fundamental a la protección de datos de carácter personal, a menos que se produzca la disociación de los datos a la que se refiere el artículo 15.4 de la citada Ley”.
Teniendo en cuenta lo anteriormente expuesto, la ponderación entre el derecho a la protección de datos y el acceso a la información pública podrá diferir en los supuestos en que una determinada información fuera objeto de publicidad activa ( artículo 5.3 LTAIBG) o de una concreta solicitud de acceso ( artículo 15.3 LTAIBG), por cuanto el efecto intrusivo del conocimiento de los datos sería distinto atendiendo a su publicación generalizada o a su conocimiento limitado a un destinatario concreto de la información. De ello se desprende lo siguiente:
- La reutilización de la información objeto de publicidad activa, siempre y cuando se haya efectuado correctamente la ponderación entre la finalidad de transparencia y la garantía del derecho fundamental a la protección de datos de carácter personal, conforme a lo exigido por el artículo 5.3 de la LTAIBG, podrá, como regla general, llevarse a cabo.
- Por el contrario, esta regla no operará necesariamente en los supuestos en que la información pueda ser objeto de comunicación ante una solicitud individual de acceso a la misma, debiendo en ese caso tenerse en cuenta si los criterios aplicados para considerar procedente la solicitud podrían ser igualmente tenidos en cuenta en caso de que se pretendiese la reutilización de la información.
- Finalmente, como última consecuencia de lo mencionado, en caso de que no procediera la comunicación del dato por aplicación de los criterios establecidos en el artículo 15 de la LTAIBG, incluso en los supuestos de petición individualizada de acceso, la información no podría ser objeto de reutilización salvo que se procediera a su previa disociación, conforme a los artículos 15.4 de la LTAIBG y 3.4 de la Ley 37/2007.
EN CONCLUSIÓN:
- En primer lugar, es necesario tener en consideración que la Directiva ISP y la Ley 37/2007, no legitiman por sí mismas la difusión de datos personales ya que su tratamiento se rige por la normativa de protección de datos, es decir, el RGPD y la LOPDGDD.
- Y, en segundo lugar, que la decisión sobre la reutilización de la información del sector público está condicionada por las limitaciones incluidas en la LTAIBG, en lo que afectan al tratamiento de datos personales, tal y como exige el artículo 3.4 de la Ley 37/2007.
Por lo tanto, la consideración de estar amparado en una ley que propone la consultante por remisión a la Ley 16/1985, de 25 de junio, del Patrimonio Histórico Español y a la Ley 7/2014, de 26 de septiembre, de archivos y documentos de Galicia para permitir la publicación de datos personales debe matizarse en que dicha publicación debe respetar los límites que recoge las propias leyes en que pretende ampararse. No es posible realizar una aplicación parcial de un texto normativo a satisfacción de la finalidad que se pretenda.
De acuerdo con todo lo expuesto y como respuesta a la cuestión planteada por la consultante, referida a si prevalece la normativa citada (límites y plazos) o lo indicado en el artículo 12 de la LTAIBG, a cuyo tenor todas las personas tienen derecho a acceder a la información pública, en los términos previstos en el artículo 105.b) de la Constitución Española, desarrollados por esta Ley, la respuesta ha de ser que si bien el mencionado artículo 12 contiene una formulación general de un derecho, no puede dejar de observarse los límites y plazos que contienen las leyes y reglamentos citados en el informe de la AEPD.
Es decir, no es admisible, como propone la consultante, que por las dificultades para la ejecución del programa ATOPO que supone dar cumplimiento a requisitos de plazos y consentimiento, se establezca la aplicación ad livitum del artículo 12 de la LTAIBG, obviando las salvaguardas establecidas en la propia ley de transparencia y en el resto de los cuerpos normativos aplicables.
SALVAGUARDAS ADICIONALES A TENER EN CUENTA:
Una vez que se han observado los límites recogidos en las leyes citadas en el informe analizado y se proceda a la ejecución del programa ATOPO deben considerarse ciertas salvaguardas a tener en cuenta referidas a:
- una evaluación de impacto,
- a la anonimización
- y a los riesgos de reidentificación para garantizar el cumplimiento de los principios del RGPD.
Como puede observarse, la relevancia de la evaluación de impacto en la reutilización de información del sector público se tiene en cuenta en el mencionado Dictamen 06/2013 sobre datos abiertos y reutilización de la información del sector público. No obstante, si bien atendiendo a la complejidad que puede tener, opta por fomentar la anonimización de los datos personales (previa valoración del riesgo de reidentificación), como fórmula segura para que coexista el fomento de la reutilización y la normativa reguladora del derecho a la protección de datos.
En definitiva, es una práctica aconsejable en la ejecución del programa ATOPO el uso de técnicas de anonimización eficaces, que impidan la reidentificación de los titulares de los datos personales.
Como complemento de la evaluación de impacto y de la anonimización, existe la posibilidad de establecer garantías jurídicas adicionales a través de los instrumentos que ofrece la propia Ley 37/2007 de 16 de noviembre. Si bien la ley se inclina por favorecer fórmulas abiertas de acceso (artículo 5.2), lo cierto es que prevé un sistema de licencias dónde deben plasmarse las condiciones de la reutilización.
Por lo tanto, existe la posibilidad de utilizar licencias específicas que permiten establecer garantías específicas adaptadas a la tipología de datos personales objeto de reutilización en cada caso concreto, y compromisos jurídicos dirigidos a evitar la reidentificación de los interesados, con la ventaja añadida de tener fuerza ejecutoria contractual.
Para finalizar, y atendiendo a todo lo anteriormente expuesto, debemos tener en cuenta que para decidir si se facilitan datos personales con fines de reutilización:
Es necesario examinar los riesgos para los interesados y las medidas que pueden minimizarlos mediante una evaluación de impacto sobre los datos personales, siendo la alternativa más apropiada para permitir la reutilización de información pública que contenga datos personales es proceder a su anonimización, de forma que estén excluidos de la aplicación de la normativa de protección de datos personales
La anonimización exige la evaluación de determinados riesgos como que el reutilizador pueda reidentificar a las personas, pudiendo complementarse con compromisos jurídicamente vinculantes a través de la concesión de licencias específicas.