LAS CESIONES DE DATOS EN LA ADMINISTRACIÓN. LA SEMPITERNA CONFUSIÓN SOBRE EL CONSENTIMIENTO COMO BASE JURÍDICA APLICABLE

Durante los últimos años asistimos a una evolución técnica y jurídica de la Administración que se encuentra enfocada a facilitar a la ciudadanía la relación con la Administración a través de medios electrónicos.

Sin embargo, las propias Administraciones plantean trabas en el marco de sus relaciones para ejecutar transmisiones de datos personales que coadyuvarían a cumplir el derecho de la ciudadanía a relacionarse con el sector público a través de los mencionados medios electrónicos sin mayores cargas burocráticas basadas en una especial protección de sus datos que no parece necesaria.

El derecho a no presentar datos que obra en poder de la Administración y la potestad de verificación de datos de la Administración deben aportar el marco jurídico esencial a las transmisiones de datos basadas en disposiciones con rango de ley o la ejecución de competencias con las garantías derivadas de los principios que rigen la seguridad y la interoperabilidad.


La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales establece en su artículo 8 con respecto a los tratamientos y cesiones de datos realizados en el marco de las disposiciones legales y competencias aplicables a las Administraciones Públicas:

Artículo 8. Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos.

1. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el artículo 6.1.c) del Reglamento (UE) 2016/679, cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Dicha norma podrá igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras establecidas en el capítulo IV del Reglamento (UE) 2016/679.

2. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, en los términos previstos en el artículo 6.1 e) del Reglamento (UE) 2016/679, cuando derive de una competencia atribuida por una norma con rango de ley.

La Agencia Española de Protección de Datos, en sus Informes AEPD 175/2018 y 050/2019 ha venido a interpretar las reglas generales con respecto a las cesiones de datos entre Administraciones Públicas a la luz del RGPD y del mencionado artículo 8 LOPDGDD:

  • La cesión de datos entre Administraciones habrá de tener en cuenta la legislación especial que pueda determinar una restricción a las cesiones de datos personales (Ej, ámbito tributario)
  • La ausencia de norma no supone que los datos no puedan cederse, sino que serán aplicables las reglas generales (ámbito competencial, misión de interés público).
  • Entidad cesionaria, es decir, aquella que solicita datos, debe fundamentar y motivar su petición.
  • Entidad cedente: debe valorar si los datos solicitados son realmente necesarios, pertinentes y proporcionados, atendiendo a la competencia que pretende ejercer la Administración cesionaria.
  • Aplicación del principio de minimización y proporcionalidad: no cabe un acceso masivo e indiscriminado a datos personales, y por lo tanto, el acceso deberá ser siempre “específico en cada caso ajustado a los datos que resulten precisos para la tramitación de un expediente determinado y no de un acceso masivo e indiscriminado”
  • No cabe utilizar los datos para finalidades distinta salvo archivo en interés público, fines de investigación científica e histórica o fines estadísticos. (Para finalidad ulterior y distinta, se aplica el 155.3 Ley 40/2015 (RDL 14/2019))
  • Atención al artículo 155 de la Ley 40/2015 de régimen jurídico del sector público, en materia de Interoperabilidad de datos y que realiza una llamada a los instrumentos jurídicos aplicables al marco de cesiones (Convenios, protocolos generales de actuación, etc.)

“las Administraciones están sujetas al deber de colaboración entre ellas según disponen las leyes 39/2015 y 40/2015. Pero dicho deber de colaboración está sujeto frente al interesado persona física a la normativa de protección de datos personales (art. 13.h) ley 39/2015), lo que supone que la Administración está sujeta también a la normativa de protección de datos”

Visto lo anterior, existen potestades de las Administraciones para realizar cesiones de datos y derechos de la ciudadanía que habilitan y promueven las mismas.

En concreto, la Disposición Adicional Octava de la Ley Orgánica de Protección de Datos establece:

Disposición adicional octava. Potestad de verificación de las Administraciones Públicas.

Cuando se formulen solicitudes por cualquier medio en las que el interesado declare datos personales que obren en poder de las Administraciones Públicas, el órgano destinatario de la solicitud podrá efectuar en el ejercicio de sus competencias las verificaciones necesarias para comprobar la exactitud de los datos.

La Disposición refrenda más si cabe la potestad de la Administración para verificar datos que obran en poder de otras Administraciones en base a una petición de cualquier interesado. Por ejemplo, si deseo acceder a una ayuda de una Administración General de la Comunidad o Foral, podría indicar mi vecindad administrativa en un municipio de la Comunidad, territorio histórico, provincia sin mayores requerimientos, posibilitando a la Administración convocante de la ayuda a comprobar mis datos de empadronamiento en el municipio señalado.

Se trata de un supuesto de cesión de datos personales que no requiere mayor amparo jurídico o licitud que el propio ejercicio de competencias de la Administración.

Ello entronca con el propio derecho a no presentar datos que obran en poder de la Administración con lo previsto en el artículo 28 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas y que todavía genera confusión en no pocas entidades del sector público.

Recordemos que la propia Ley Orgánica de Protección de Datos de diciembre de 2018 modificó los apartados 2 y 3 del mencionado artículo que reproducimos a continuación.

Artículo 28. Documentos aportados por los interesados al procedimiento administrativo.

1. Los interesados deberán aportar al procedimiento administrativo los datos y documentos exigidos por las Administraciones Públicas de acuerdo con lo dispuesto en la normativa aplicable. Asimismo, los interesados podrán aportar cualquier otro documento que estimen conveniente.

2. Los interesados tienen derecho a no aportar documentos que ya se encuentren en poder de la Administración actuante o hayan sido elaborados por cualquier otra Administración. La administración actuante podrá consultar o recabar dichos documentos salvo que el interesado se opusiera a ello. No cabrá la oposición cuando la aportación del documento se exigiera en el marco del ejercicio de potestades sancionadoras o de inspección.

Las Administraciones Públicas deberán recabar los documentos electrónicamente a través de sus redes corporativas o mediante consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto.

Cuando se trate de informes preceptivos ya elaborados por un órgano administrativo distinto al que tramita el procedimiento, estos deberán ser remitidos en el plazo de diez días a contar desde su solicitud. Cumplido este plazo, se informará al interesado de que puede aportar este informe o esperar a su remisión por el órgano competente.

3. Las Administraciones no exigirán a los interesados la presentación de documentos originales, salvo que, con carácter excepcional, la normativa reguladora aplicable establezca lo contrario.

Asimismo, las Administraciones Públicas no requerirán a los interesados datos o documentos no exigidos por la normativa reguladora aplicable o que hayan sido aportados anteriormente por el interesado a cualquier Administración. A estos efectos, el interesado deberá indicar en qué momento y ante qué órgano administrativo presentó los citados documentos, debiendo las Administraciones Públicas recabarlos electrónicamente a través de sus redes corporativas o de una consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto, salvo que conste en el procedimiento la oposición expresa del interesado o la ley especial aplicable requiera su consentimiento expreso. Excepcionalmente, si las Administraciones Públicas no pudieran recabar los citados documentos, podrán solicitar nuevamente al interesado su aportación.

En primer lugar, el artículo 28 de la Ley 39/2015 constata el derecho a no presentar datos que ya obran en poder de la Administración, o que hayan sido elaborados por otras, abriendo la puerta a las cesiones de datos y a la potestad de verificación que anteriormente se ha expuesto.

La incorrecta interpretación entendemos que deriva de la mención al consentimiento y a la posibilidad de ejercer la oposición contemplada en los apartados 2 y 3 del artículo 28. Sin embargo, desde el punto de vista de la normativa de protección de datos y de las interpretaciones doctrinales, la base jurídica aplicable a las cesiones de datos entre Administraciones no es el consentimiento. Y es que tal y como recuerdan las Autoridades de Protección de Datos continuamente, con carácter general, la base jurídica del tratamiento en las relaciones con la Administración, en aquellos supuestos en que existe una relación en la que no puede razonablemente predicarse que exista una situación de equilibrio entre el responsable del tratamiento (la Administración), y el interesado (el administrado) no sería el consentimiento (art. 6.1.a) RGPD), sino, según los casos, el cumplimiento de una obligación legal (art. 6.1.c) RGPD) o el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos (art. 6.1.e) RGPD).

De este modo, la base jurídica del tratamiento basada en el interés público (art. 6.1 e) RGPD) sí admite el derecho de oposición, pero con expresión de la causa, y la consiguiente ponderación de derechos e intereses de la Administración, pero no se admite la revocación del consentimiento “ad nutum”, de modo inmediato, precisamente porque el consentimiento no es la base jurídica del tratamiento.

En la práctica, algunas Administraciones Públicas siguen negándose a comunicar datos si la entidad solicitante no ha recabado el consentimiento previo del interesado. Articulando en base al consentimiento las relaciones jurídicas entre Administraciones Públicas sin mayores fundamentos que aplicar una especial protección del derecho a la protección de datos de la ciudadanía que no cabe aplicar cuando la cesión encaja en las competencias de la entidad solicitante y se respeta el principio de minimización, de petición de datos estrictamente necesarios.

A modo ilustrativo, cuando las fuerzas y cuerpos de seguridad del estado solicitan datos a una Administración Pública en el ámbito de su actuación (instrucción, investigación, etc..) nunca se recaba el consentimiento del ciudadano. Pues de igual modo se debería interpretar el marco del resto de cesiones de datos.

Un buen ejemplo de lo anteriormente expuesto lo encontramos en el ámbito de la normativa reguladora de la Administración Local y en concreto, en materia del padrón municipal de habitantes como registro de acreditación de la vecindad de la ciudadanía.

El artículo 16.3 de la Ley de Bases de Régimen Local interpretado por el Tribunal Constitucional en su sentencia 17/2013, de 31 de enero de 2013 dispone:

3. Los datos del Padrón Municipal se cederán a otras Administraciones públicas que lo soliciten sin consentimiento previo al afectado solamente cuando les sean necesarios para el ejercicio de sus respectivas competencias, y exclusivamente para asuntos en los que la residencia o el domicilio sean datos relevantes. También pueden servir para elaborar estadísticas oficiales sometidas al secreto estadístico, en los términos previstos en la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública y en las leyes de estadística de las comunidades autónomas con competencia en la materia

La previsión mencionada habilita las cesiones de datos a otras AAPP que requieran datos padronales cuando resulte necesario para el ejercicio de competencias de la entidad requirente, y sin necesidad de recabar consentimiento previo de la persona interesada.

El Tribunal Constitucional ha determinado las reglas aplicables:

  • habrá de evitarse el acceso indiscriminado y masivo a los datos personales
  • el dato en cuestión solicitado habrá de ser pertinente y necesario
  • para la finalidad establecida en el precepto
  • la solicitud de acceso a los concretos datos personales habrá de motivarse y justificarse expresamente,
  • de manera que ello posibilite su control por el cedente
  • y se evite un uso torticero de esa facultad con accesos masivos.
  • ha de quedar garantizada la posibilidad de analizar si en cada caso concreto el acceso tenía amparo en lo establecido en la ley (art. 16.3 LBRL).

En definitiva, la cesión de los datos contenidos en el Padrón municipal de habitantes amparada en la normativa reguladora del mismo únicamente será posible en caso de que concurran dos requisitos acumulativos:

  • En primer lugar, que la misma tenga por finalidad el ejercicio por la administración cesionaria de sus competencias.
  • En segundo lugar, que el dato correspondiente a la residencia o domicilio del afectado resulte relevante para el citado ejercicio.

Ciertamente, tal y como indica la doctrina de las autoridades de protección de datos y las resoluciones judiciales, además de la previsión normativa, se ha de aplicar como regla general el principio de minimización de datos, que fundamentalmente consiste en tratar los datos adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados, y lógicamente, para proceder a las cesiones que se requieran (Art. 5.1.c RGPD).

Volviendo al ejemplo de las ayudas, en numerosas ocasiones, para ejecutar competencias en materia de acción social, como concesión de ayudas se requiere un certificado de empadronamiento a las personas interesadas, acreditar unas rentas o ingresos determinados, etc.. para ser beneficiario de la ayuda. Pues bien, para efectuar la cesión quizá sólo resulte necesario realizar una consulta a través de medios electrónicos entre la Administración competente y la Administración cedente o consultada, por ejemplo, si la persona interesada se encuentra empadronada en un municipio o no (Simple respuesta de SI/NO) y para acreditar la vecindad de acuerdo con el 16.3 de la LBRL.

Y por otro lado, si la entidad local requiere consultar a Administraciones con competencia en materia tributaria, de igual manera, quizá la consulta únicamente comporta una respuesta acerca de si la persona interesada se encuentra en un nivel de renta o de ingresos inferior a, por ejemplo, 12.000€ anuales, con un simple, SI o NO de respuesta. O incluso se podrían aplicar técnicas de seudonimización, cuando la entidad consultante de datos al sistema electrónico interoperable de la Administración con competencia en materia tributaria simplemente emite una respuesta (la persona interesada se encuentra en el rango 1 de ingresos anuales) y ello significaría, por ejemplo, que se han establecido niveles de rentas por categorías

1 inferior a 12000

2 entre 12 y 18000

3 entre 18000 y 24000

Etc.

En definitiva, se considera que no se trata de un problema jurídico de protección de datos, dado que, las cesiones de datos entre Administraciones Públicas se encuentran amparadas siempre y cuando encajen en las competencias y se transmitan los datos estrictamente necesarios sin perder de vista lo dispuesto en el artículo 155 de la Ley 40/2015 de régimen jurídico del sector público relativo a las transmisiones de datos entre Administraciones Públicas

Con carácter general, no es necesario el consentimiento de la persona interesada salvo oposición expresa de la persona interesada en el procedimiento y con motivación de la causa, o porque la información tiene una especial protección (por ejemplo, en el caso de los datos tributarios) y la ley especial aplicable así lo refleja (Ver dictamen CN19-010 de la Agencia Vasca de Protección de Datos). Y aún así, se considera que pueden existir medios y técnicas jurídicas como la seudonimización que permiten la comunicación de los datos estrictamente necesarios para ejecutar las competencias, y no haría falta la entrega de los concretos datos personales sino un simple SI/NO puede ser suficiente respuesta para la Administración solicitante de la información para desarrollar sus competencias.

Acerca de Gonzalo Álvarez Hazas

es.linkedin.com/pub/gonzalo-álvarez-hazas/31/4b7/b3 Ver todas las entradas de Gonzalo Álvarez Hazas

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: