Archivo de la categoría: Administración electrónica

2 junio, 2022

El derecho a no presentar datos que obran en poder de la Administración, la potestad de verificación de datos e interoperabilidad

Por Gonzalo Álvarez Hazas

La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, establece en su artículo 28, que la entrega de documentación en el marco de la tramitación de un procedimiento administrativo es un derecho y un deber.

Artículo 28. Documentos aportados por los interesados al procedimiento administrativo.

1. Los interesados deberán aportar al procedimiento administrativo los datos y documentos exigidos por las Administraciones Públicas de acuerdo con lo dispuesto en la normativa aplicable. Asimismo, los interesados podrán aportar cualquier otro documento que estimen conveniente.

2. Los interesados tienen derecho a no aportar documentos que ya se encuentren en poder de la Administración actuante o hayan sido elaborados por cualquier otra Administración. La administración actuante podrá consultar o recabar dichos documentos salvo que el interesado se opusiera a ello. No cabrá la oposición cuando la aportación del documento se exigiera en el marco del ejercicio de potestades sancionadoras o de inspección.

Las Administraciones Públicas deberán recabar los documentos electrónicamente a través de sus redes corporativas o mediante consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto.

Cuando se trate de informes preceptivos ya elaborados por un órgano administrativo distinto al que tramita el procedimiento, estos deberán ser remitidos en el plazo de diez días a contar desde su solicitud. Cumplido este plazo, se informará al interesado de que puede aportar este informe o esperar a su remisión por el órgano competente.

3. Las Administraciones no exigirán a los interesados la presentación de documentos originales, salvo que, con carácter excepcional, la normativa reguladora aplicable establezca lo contrario.

Asimismo, las Administraciones Públicas no requerirán a los interesados datos o documentos no exigidos por la normativa reguladora aplicable o que hayan sido aportados anteriormente por el interesado a cualquier Administración. A estos efectos, el interesado deberá indicar en qué momento y ante qué órgano administrativo presentó los citados documentos, debiendo las Administraciones Públicas recabarlos electrónicamente a través de sus redes corporativas o de una consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto, salvo que conste en el procedimiento la oposición expresa del interesado o la ley especial aplicable requiera su consentimiento expreso. Excepcionalmente, si las Administraciones Públicas no pudieran recabar los citados documentos, podrán solicitar nuevamente al interesado su aportación.

4. Cuando con carácter excepcional, y de acuerdo con lo previsto en esta Ley, la Administración solicitara al interesado la presentación de un documento original y éste estuviera en formato papel, el interesado deberá obtener una copia auténtica, según los requisitos establecidos en el artículo 27, con carácter previo a su presentación electrónica. La copia electrónica resultante reflejará expresamente esta circunstancia.

5. Excepcionalmente, cuando la relevancia del documento en el procedimiento lo exija o existan dudas derivadas de la calidad de la copia, las Administraciones podrán solicitar de manera motivada el cotejo de las copias aportadas por el interesado, para lo que podrán requerir la exhibición del documento o de la información original.

6. Las copias que aporten los interesados al procedimiento administrativo tendrán eficacia, exclusivamente en el ámbito de la actividad de las Administraciones Públicas.

7. Los interesados se responsabilizarán de la veracidad de los documentos que presenten.

Por un lado, de acuerdo con el apartado 1 del citado artículo, los interesados tienen el deber de aportar los datos y documentos exigidos por las Administraciones Públicas de acuerdo con lo dispuesto en la normativa aplicable. Por otro lado, tal y como recoge el apartado 2, el interesado tiene el derecho a no aportar aquella información que, bien porque ha sido generada por las Administraciones Públicas o bien porque ha sido presentada anteriormente, ya está en poder de estas. De esta forma, se aplica el principio de una sola vez, clave en el desarrollo de la administración electrónica y que tiene por objeto eliminar la carga administrativa innecesaria que se produce cuando los usuarios deben suministrar la misma información más de una vez a distintos organismos del sector público.

Como respuesta a esta necesidad de interoperabilidad y comunicación entre Administraciones Públicas, los servicios de verificación y consulta de datos de las plataformas de intermediación, o de otros sistemas electrónicos habilitados al efecto, permiten que cualquier organismo pueda consultar o verificar los datos que un ciudadano necesita acreditar en el trámite de un procedimiento, sin necesidad de solicitar la aportación de los correspondientes certificados o documentos acreditativos, haciendo así efectivo el derecho del ciudadano reconocido en el artículo 28.2 de la Ley 39/2015.

Actualmente el artículo 28 de la Ley 39/2015, modificado por la LOPDGDD, mantiene el principio de una sola vez al garantizar el derecho de los interesados a “no aportar documentos que ya se encuentren en poder de la administración actuante o hayan sido elaborados por cualquier otra administración”, el cual no establece la necesidad de recabar el consentimiento del interesado pudiéndose “consultar o recabar dichos documentos salvo que el interesado se opusiera a ello” y sin caber la oposición “cuando la aportación del documento se exigiera en el marco del ejercicio de potestades sancionadoras o de inspección.”

De este modo, en el caso del tratamiento de los datos que se derive de las relaciones de los ciudadanos con la Administración y que puede incluir operaciones de comunicación, consulta y verificación de datos entre administraciones, la base jurídica del tratamiento ha de buscarse en los apartados c) (cumplimiento de una obligación legal) y e) (cumplimiento de una misión de interés público o en el ejercicio de poderes públicos) del artículo 6.1 del RGPD. De esta forma, se asume que, entre la Administración, como responsable, y el ciudadano, como interesado, existe una situación de desequilibrio en la que resulta improbable que el consentimiento se haya dado libremente en todas las posibles circunstancias, lo que, en consecuencia, no hace válido el consentimiento como base jurídica que legitime el tratamiento.

Sólo en los casos en que una ley especial aplicable requiera el consentimiento , ambas bases jurídicas (cumplimiento de una obligación legal y cumplimiento de una misión de interés público o en el ejercicio de poderes públicos) quedarían desplazadas por un consentimiento prestado en las condiciones que exige el artículo 7 del Reglamento.

Esta misma consideración ha de tenerse en cuenta en el supuesto de que las operaciones de tratamiento anteriormente descritas afecten a categorías especiales de datos, siendo necesario para levantar la prohibición de tratamiento establecida en el apartado 1 del artículo 9 del RGPD, que la consulta de los datos sea necesaria por razones de un interés público esencial, definido en una ley y que contemple unas garantías específicas de acuerdo con lo descrito en el apartado 9.2 g de la norma.

Como consecuencia de lo anterior, la gestión del derecho de oposición al que hace referencia el artículo 28 de la Ley 39/2015, en sus apartados 2 y 3 debe ser entendido como el derecho que tiene el interesado, de acuerdo con el artículo 21 del RGPD, a oponerse, por motivos relacionados con su situación particular, a que sus datos personales sean objeto de un tratamiento. En todo caso, el ejercicio del derecho de oposición ha de ir acompañado de expresión de su causa para que el responsable realice una ponderación de los motivos alegados sin ser válida una oposición en términos absolutos que podría ser entendida como la revocación de un consentimiento que no se ha prestado dado que este no es la base jurídica del tratamiento. Además, en el caso de que el ciudadano manifieste una oposición motivada, junto a esta deberá aportar necesariamente los documentos a cuya consulta se opone para que la administración actuante pueda conocer que concurren en él los requisitos establecidos en el procedimiento correspondiente pues, en caso contrario, no se podrá estimar su solicitud.

Esta interpretación se traduce, en términos prácticos, en que, a la hora de recabar datos de la ciudadania vinculados a un trámite concreto a través de los diferentes formularios disponibles en las sedes electrónicas de las Administraciones Públicas, la Administración actuante realizará el tratamiento en cumplimiento de una obligación legal, una misión de interés público o en el ejercicio de poderes públicos. De este modo, dicha Administración deberá informar al administrado, en aplicación del principio de transparencia, sobre los datos que van a ser consultados para la resolución del trámite en cuestión así como la posibilidad de ejercer sus derechos en materia de protección de datos, entre ellos el de oposición, facilitando información en relación a los cauces para hacerlo, pero sin ser necesario ni obligatorio la inclusión de una casilla o mecanismo que permita al interesado ejercer el derecho de oposición ad nutum de forma absoluta y sin justificación motivada. De igual manera, y de acuerdo con la Disposición adicional octava de la LOPDGDD, la administración actuante queda facultada, en el ejercicio de sus competencias, a realizar las verificaciones que resulten necesarias para comprobar la exactitud de los datos aportados por el ciudadano en las solicitudes formuladas.

Disposición adicional octava. Potestad de verificación de las Administraciones Públicas.

Cuando se formulen solicitudes por cualquier medio en las que el interesado declare datos personales que obren en poder de las Administraciones Públicas, el órgano destinatario de la solicitud podrá efectuar en el ejercicio de sus competencias las verificaciones necesarias para comprobar la exactitud de los datos.

Sólo en los casos en que, como consecuencia del tipo de trámite, pueda ser necesaria la consulta, la cesión o comunicación de datos de naturaleza tributaria o de algún otro tipo cuya legislación específica regule la necesidad de un consentimiento expreso por parte del interesado, será necesario incluir una cláusula en la que el interesado autorice su consulta por parte de la Administración actuante a la Administración cedente de los datos responsable de estos.

En definitiva, si la persona interesada declara que la información que se le requiere se encuentra en poder de otras Administraciones , la interoperabilidad debería facilitar dicha consulta, y el ejemplo más sencillo es el relacionado con el artículo 16.3 de la Ley de Bases, por cuanto cualquier Administración puede consultar si una persona se encuentra empadronada o no en un municipio si lo necesita para desarrollar y ejecutar sus competencias y sin consentimiento de la persona interesada. Tal es el caso de una Mancomunidad, que podría consultar padrones de municipios mancomunados en aplicación de dicho artículo 16.3 LBRL (y la interoperabilidad simplemente sería el modo electrónico de facilitar esas consultas).

A más a más, el reglamento de actuación y funcionamiento del sector público por medios electrónicos dispone en su artículo 61 dispone

Artículo 61. Transmisiones de datos.

1. Las transmisiones de datos a las que se refiere el artículo 155 de la Ley 40/2015, de 1 de octubre, realizadas a través de redes corporativas de las Administraciones Públicas para el envío de documentos elaborados por cualquier Administración, mediante consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto, tienen la consideración de certificados administrativos necesarios para el procedimiento o actuación administrativa.

2. Cuando las personas interesadas no aporten datos y/o documentos que ya obren en poder de las Administraciones Públicas, de conformidad con lo establecido en la Ley 39/2015, de 1 de octubre, se seguirán las siguientes reglas:

a) Si el órgano administrativo encargado de la tramitación del procedimiento, puede acceder electrónicamente a los datos, documentos o certificados necesarios mediante consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto, los incorporará al procedimiento administrativo correspondiente. Quedará constancia en los ficheros del órgano, organismo público o entidad de derecho público cedente del acceso a los datos o documentos efectuado por el órgano u organismo cesionario.

b) Excepcionalmente, en caso de que no se pueda realizar el acceso electrónico a los datos mediante la consulta a que se refiere la letra anterior, se podrá solicitar por otros medios habilitados al efecto y se conservará la documentación acreditativa de la circunstancia que imposibilitó dicho acceso electrónico, incorporándola al expediente.

3. Toda transmisión de datos se efectuará a solicitud del órgano o entidad tramitadora en la que se identificarán los datos requeridos y sus titulares, así como la finalidad para la que se requieren. Además, si en la petición de datos interviene un empleado o empleada público se incluirá la identificación de este en la petición.

4. El órgano, organismo público o entidad de derecho público cesionario será responsable del correcto acceso electrónico a los datos cuya titularidad corresponda a otro órgano, organismo público o entidad de derecho público, así como de su utilización, en particular, cuando los datos a los que se accede tengan un régimen de especial protección. Asimismo, cuando para dicho acceso se requiera el consentimiento del interesado, el cesionario será responsable del requerimiento de dicho consentimiento.

5. La cesión de datos dentro de una actuación administrativa podrá llevarse a cabo, entre otras formas, de manera automatizada, entendiéndose por tal la consulta realizada íntegramente a través de medios telemáticos en la que no haya intervenido de forma directa un empleado o empleada público.

6. Las transmisiones de datos que se realicen en virtud del artículo 14 del Reglamento (UE) n.º 2018/1724 del Parlamento Europeo y del Consejo, de 2 de octubre de 2018, relativo a la creación de una pasarela digital única de acceso a información, procedimientos y servicios de asistencia y resolución de problemas y por el que se modifica el Reglamento (UE) n.º 1024/2012 no requerirán previsualización de los datos por parte del usuario o usuaria solicitante para proceder a su uso por parte del órgano o entidad tramitadora.

Si se observa el apartado 4, no se establece que con carácter general se deba recabar el consentimiento, sino sólo en aquellos casos en los que sea necesario (como el ejemplo de transmisiones de datos de trascendencia tributaria) porque la ley especial así lo dispone. Si no fuese así, la normativa de administración electrónica lo regularía expresamente.

En definitiva, con carácter general, las cesiones de datos entre Administraciones no se articulan en base al consentimiento, sino en el marco de las licitudes aplicables a la Administración basadas en disposiciones con rango de ley y/o el ejercicio y desarrollo de competencias o potestades públicas (Arts. 6.1 c y e del Reglamento General de protección de datos o en el artículo 8 LOPDGDD). Y siempre y cuando la otra Administración necesite los datos estrictamente necesarios para ejecutar sus competencias.

En el ámbito territorial de Euskadi, la LEY 3/2022, de 12 de mayo, del Sector Público Vasco establece en su artículo 72 con respecto a la simplificación de procedimientos administrativos:

Artículo 72.– Simplificación de procedimientos administrativos mediante servicios y canales electrónicos.

1.– Con el fin de simplificar la tramitación administrativa y de garantizar el derecho de la ciudadanía a no aportar los datos y documentos que obren en poder de las administraciones públicas, no se recabará el consentimiento de las personas interesadas cuando, en el ejercicio de las funciones propias de las administraciones públicas en el ámbito de sus competencias:

a) La información que se solicite figure como requisito en la norma que regula el procedimiento administrativo.

b) El procedimiento administrativo se inicie a instancia de parte, conllevando por tanto la solicitud por parte del interesado.

c) La información esté disponible en la Administración general de la Comunidad Autónoma de Euskadi o en los servicios de interoperabilidad entre administraciones.

d) No se refiera a datos de carácter personal especialmente protegidos.

2.– En los supuestos en que así lo prevean las normas reguladoras de los procedimientos administrativos, el cumplimiento de los requisitos podrá justificarse a través de la presentación electrónica de una declaración responsable o de las comunicaciones previas, que producirán los efectos que se determinen en cada caso por la legislación correspondiente.

[…]

Respecto al artículo mencionado, se considera que el legislador quizá debería haber incluido un supuesto específico relativo al consentimiento en el marco de las cesiones de datos entre Administraciones cuando la ley especial requiere recabar el consentimiento por la entidad requirente, como por ejemplo, tal y como establece la legislación tributaria.

Deja un comentario   |  Etiquetas: | Publicado en Administración electrónica, Cesión de datos

6 diciembre, 2020

LAS CESIONES DE DATOS EN LA ADMINISTRACIÓN. LA SEMPITERNA CONFUSIÓN SOBRE EL CONSENTIMIENTO COMO BASE JURÍDICA APLICABLE

Por Gonzalo Álvarez Hazas

Durante los últimos años asistimos a una evolución técnica y jurídica de la Administración que se encuentra enfocada a facilitar a la ciudadanía la relación con la Administración a través de medios electrónicos.

Sin embargo, las propias Administraciones plantean trabas en el marco de sus relaciones para ejecutar transmisiones de datos personales que coadyuvarían a cumplir el derecho de la ciudadanía a relacionarse con el sector público a través de los mencionados medios electrónicos sin mayores cargas burocráticas basadas en una especial protección de sus datos que no parece necesaria.

El derecho a no presentar datos que obra en poder de la Administración y la potestad de verificación de datos de la Administración deben aportar el marco jurídico esencial a las transmisiones de datos basadas en disposiciones con rango de ley o la ejecución de competencias con las garantías derivadas de los principios que rigen la seguridad y la interoperabilidad.

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales establece en su artículo 8 con respecto a los tratamientos y cesiones de datos realizados en el marco de las disposiciones legales y competencias aplicables a las Administraciones Públicas:

Artículo 8. Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos.

1. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el artículo 6.1.c) del Reglamento (UE) 2016/679, cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Dicha norma podrá igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras establecidas en el capítulo IV del Reglamento (UE) 2016/679.

2. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, en los términos previstos en el artículo 6.1 e) del Reglamento (UE) 2016/679, cuando derive de una competencia atribuida por una norma con rango de ley.

La Agencia Española de Protección de Datos, en sus Informes AEPD 175/2018 y 050/2019 ha venido a interpretar las reglas generales con respecto a las cesiones de datos entre Administraciones Públicas a la luz del RGPD y del mencionado artículo 8 LOPDGDD:

  • La cesión de datos entre Administraciones habrá de tener en cuenta la legislación especial que pueda determinar una restricción a las cesiones de datos personales (Ej, ámbito tributario)
  • La ausencia de norma no supone que los datos no puedan cederse, sino que serán aplicables las reglas generales (ámbito competencial, misión de interés público).
  • Entidad cesionaria, es decir, aquella que solicita datos, debe fundamentar y motivar su petición.
  • Entidad cedente: debe valorar si los datos solicitados son realmente necesarios, pertinentes y proporcionados, atendiendo a la competencia que pretende ejercer la Administración cesionaria.
  • Aplicación del principio de minimización y proporcionalidad: no cabe un acceso masivo e indiscriminado a datos personales, y por lo tanto, el acceso deberá ser siempre “específico en cada caso ajustado a los datos que resulten precisos para la tramitación de un expediente determinado y no de un acceso masivo e indiscriminado”
  • No cabe utilizar los datos para finalidades distinta salvo archivo en interés público, fines de investigación científica e histórica o fines estadísticos. (Para finalidad ulterior y distinta, se aplica el 155.3 Ley 40/2015 (RDL 14/2019))
  • Atención al artículo 155 de la Ley 40/2015 de régimen jurídico del sector público, en materia de Interoperabilidad de datos y que realiza una llamada a los instrumentos jurídicos aplicables al marco de cesiones (Convenios, protocolos generales de actuación, etc.)

“las Administraciones están sujetas al deber de colaboración entre ellas según disponen las leyes 39/2015 y 40/2015. Pero dicho deber de colaboración está sujeto frente al interesado persona física a la normativa de protección de datos personales (art. 13.h) ley 39/2015), lo que supone que la Administración está sujeta también a la normativa de protección de datos”

Visto lo anterior, existen potestades de las Administraciones para realizar cesiones de datos y derechos de la ciudadanía que habilitan y promueven las mismas.

En concreto, la Disposición Adicional Octava de la Ley Orgánica de Protección de Datos establece:

Disposición adicional octava. Potestad de verificación de las Administraciones Públicas.

Cuando se formulen solicitudes por cualquier medio en las que el interesado declare datos personales que obren en poder de las Administraciones Públicas, el órgano destinatario de la solicitud podrá efectuar en el ejercicio de sus competencias las verificaciones necesarias para comprobar la exactitud de los datos.

La Disposición refrenda más si cabe la potestad de la Administración para verificar datos que obran en poder de otras Administraciones en base a una petición de cualquier interesado. Por ejemplo, si deseo acceder a una ayuda de una Administración General de la Comunidad o Foral, podría indicar mi vecindad administrativa en un municipio de la Comunidad, territorio histórico, provincia sin mayores requerimientos, posibilitando a la Administración convocante de la ayuda a comprobar mis datos de empadronamiento en el municipio señalado.

Se trata de un supuesto de cesión de datos personales que no requiere mayor amparo jurídico o licitud que el propio ejercicio de competencias de la Administración.

Ello entronca con el propio derecho a no presentar datos que obran en poder de la Administración con lo previsto en el artículo 28 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas y que todavía genera confusión en no pocas entidades del sector público.

Recordemos que la propia Ley Orgánica de Protección de Datos de diciembre de 2018 modificó los apartados 2 y 3 del mencionado artículo que reproducimos a continuación.

Artículo 28. Documentos aportados por los interesados al procedimiento administrativo.

1. Los interesados deberán aportar al procedimiento administrativo los datos y documentos exigidos por las Administraciones Públicas de acuerdo con lo dispuesto en la normativa aplicable. Asimismo, los interesados podrán aportar cualquier otro documento que estimen conveniente.

2. Los interesados tienen derecho a no aportar documentos que ya se encuentren en poder de la Administración actuante o hayan sido elaborados por cualquier otra Administración. La administración actuante podrá consultar o recabar dichos documentos salvo que el interesado se opusiera a ello. No cabrá la oposición cuando la aportación del documento se exigiera en el marco del ejercicio de potestades sancionadoras o de inspección.

Las Administraciones Públicas deberán recabar los documentos electrónicamente a través de sus redes corporativas o mediante consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto.

Cuando se trate de informes preceptivos ya elaborados por un órgano administrativo distinto al que tramita el procedimiento, estos deberán ser remitidos en el plazo de diez días a contar desde su solicitud. Cumplido este plazo, se informará al interesado de que puede aportar este informe o esperar a su remisión por el órgano competente.

3. Las Administraciones no exigirán a los interesados la presentación de documentos originales, salvo que, con carácter excepcional, la normativa reguladora aplicable establezca lo contrario.

Asimismo, las Administraciones Públicas no requerirán a los interesados datos o documentos no exigidos por la normativa reguladora aplicable o que hayan sido aportados anteriormente por el interesado a cualquier Administración. A estos efectos, el interesado deberá indicar en qué momento y ante qué órgano administrativo presentó los citados documentos, debiendo las Administraciones Públicas recabarlos electrónicamente a través de sus redes corporativas o de una consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto, salvo que conste en el procedimiento la oposición expresa del interesado o la ley especial aplicable requiera su consentimiento expreso. Excepcionalmente, si las Administraciones Públicas no pudieran recabar los citados documentos, podrán solicitar nuevamente al interesado su aportación.

En primer lugar, el artículo 28 de la Ley 39/2015 constata el derecho a no presentar datos que ya obran en poder de la Administración, o que hayan sido elaborados por otras, abriendo la puerta a las cesiones de datos y a la potestad de verificación que anteriormente se ha expuesto.

La incorrecta interpretación entendemos que deriva de la mención al consentimiento y a la posibilidad de ejercer la oposición contemplada en los apartados 2 y 3 del artículo 28. Sin embargo, desde el punto de vista de la normativa de protección de datos y de las interpretaciones doctrinales, la base jurídica aplicable a las cesiones de datos entre Administraciones no es el consentimiento. Y es que tal y como recuerdan las Autoridades de Protección de Datos continuamente, con carácter general, la base jurídica del tratamiento en las relaciones con la Administración, en aquellos supuestos en que existe una relación en la que no puede razonablemente predicarse que exista una situación de equilibrio entre el responsable del tratamiento (la Administración), y el interesado (el administrado) no sería el consentimiento (art. 6.1.a) RGPD), sino, según los casos, el cumplimiento de una obligación legal (art. 6.1.c) RGPD) o el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos (art. 6.1.e) RGPD).

De este modo, la base jurídica del tratamiento basada en el interés público (art. 6.1 e) RGPD) sí admite el derecho de oposición, pero con expresión de la causa, y la consiguiente ponderación de derechos e intereses de la Administración, pero no se admite la revocación del consentimiento “ad nutum”, de modo inmediato, precisamente porque el consentimiento no es la base jurídica del tratamiento.

En la práctica, algunas Administraciones Públicas siguen negándose a comunicar datos si la entidad solicitante no ha recabado el consentimiento previo del interesado. Articulando en base al consentimiento las relaciones jurídicas entre Administraciones Públicas sin mayores fundamentos que aplicar una especial protección del derecho a la protección de datos de la ciudadanía que no cabe aplicar cuando la cesión encaja en las competencias de la entidad solicitante y se respeta el principio de minimización, de petición de datos estrictamente necesarios.

A modo ilustrativo, cuando las fuerzas y cuerpos de seguridad del estado solicitan datos a una Administración Pública en el ámbito de su actuación (instrucción, investigación, etc..) nunca se recaba el consentimiento del ciudadano. Pues de igual modo se debería interpretar el marco del resto de cesiones de datos.

Un buen ejemplo de lo anteriormente expuesto lo encontramos en el ámbito de la normativa reguladora de la Administración Local y en concreto, en materia del padrón municipal de habitantes como registro de acreditación de la vecindad de la ciudadanía.

El artículo 16.3 de la Ley de Bases de Régimen Local interpretado por el Tribunal Constitucional en su sentencia 17/2013, de 31 de enero de 2013 dispone:

3. Los datos del Padrón Municipal se cederán a otras Administraciones públicas que lo soliciten sin consentimiento previo al afectado solamente cuando les sean necesarios para el ejercicio de sus respectivas competencias, y exclusivamente para asuntos en los que la residencia o el domicilio sean datos relevantes. También pueden servir para elaborar estadísticas oficiales sometidas al secreto estadístico, en los términos previstos en la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública y en las leyes de estadística de las comunidades autónomas con competencia en la materia

La previsión mencionada habilita las cesiones de datos a otras AAPP que requieran datos padronales cuando resulte necesario para el ejercicio de competencias de la entidad requirente, y sin necesidad de recabar consentimiento previo de la persona interesada.

El Tribunal Constitucional ha determinado las reglas aplicables:

  • habrá de evitarse el acceso indiscriminado y masivo a los datos personales
  • el dato en cuestión solicitado habrá de ser pertinente y necesario
  • para la finalidad establecida en el precepto
  • la solicitud de acceso a los concretos datos personales habrá de motivarse y justificarse expresamente,
  • de manera que ello posibilite su control por el cedente
  • y se evite un uso torticero de esa facultad con accesos masivos.
  • ha de quedar garantizada la posibilidad de analizar si en cada caso concreto el acceso tenía amparo en lo establecido en la ley (art. 16.3 LBRL).

En definitiva, la cesión de los datos contenidos en el Padrón municipal de habitantes amparada en la normativa reguladora del mismo únicamente será posible en caso de que concurran dos requisitos acumulativos:

  • En primer lugar, que la misma tenga por finalidad el ejercicio por la administración cesionaria de sus competencias.
  • En segundo lugar, que el dato correspondiente a la residencia o domicilio del afectado resulte relevante para el citado ejercicio.

Ciertamente, tal y como indica la doctrina de las autoridades de protección de datos y las resoluciones judiciales, además de la previsión normativa, se ha de aplicar como regla general el principio de minimización de datos, que fundamentalmente consiste en tratar los datos adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados, y lógicamente, para proceder a las cesiones que se requieran (Art. 5.1.c RGPD).

Volviendo al ejemplo de las ayudas, en numerosas ocasiones, para ejecutar competencias en materia de acción social, como concesión de ayudas se requiere un certificado de empadronamiento a las personas interesadas, acreditar unas rentas o ingresos determinados, etc.. para ser beneficiario de la ayuda. Pues bien, para efectuar la cesión quizá sólo resulte necesario realizar una consulta a través de medios electrónicos entre la Administración competente y la Administración cedente o consultada, por ejemplo, si la persona interesada se encuentra empadronada en un municipio o no (Simple respuesta de SI/NO) y para acreditar la vecindad de acuerdo con el 16.3 de la LBRL.

Y por otro lado, si la entidad local requiere consultar a Administraciones con competencia en materia tributaria, de igual manera, quizá la consulta únicamente comporta una respuesta acerca de si la persona interesada se encuentra en un nivel de renta o de ingresos inferior a, por ejemplo, 12.000€ anuales, con un simple, SI o NO de respuesta. O incluso se podrían aplicar técnicas de seudonimización, cuando la entidad consultante de datos al sistema electrónico interoperable de la Administración con competencia en materia tributaria simplemente emite una respuesta (la persona interesada se encuentra en el rango 1 de ingresos anuales) y ello significaría, por ejemplo, que se han establecido niveles de rentas por categorías

1 inferior a 12000

2 entre 12 y 18000

3 entre 18000 y 24000

Etc.

En definitiva, se considera que no se trata de un problema jurídico de protección de datos, dado que, las cesiones de datos entre Administraciones Públicas se encuentran amparadas siempre y cuando encajen en las competencias y se transmitan los datos estrictamente necesarios sin perder de vista lo dispuesto en el artículo 155 de la Ley 40/2015 de régimen jurídico del sector público relativo a las transmisiones de datos entre Administraciones Públicas

Con carácter general, no es necesario el consentimiento de la persona interesada salvo oposición expresa de la persona interesada en el procedimiento y con motivación de la causa, o porque la información tiene una especial protección (por ejemplo, en el caso de los datos tributarios) y la ley especial aplicable así lo refleja (Ver dictamen CN19-010 de la Agencia Vasca de Protección de Datos). Y aún así, se considera que pueden existir medios y técnicas jurídicas como la seudonimización que permiten la comunicación de los datos estrictamente necesarios para ejecutar las competencias, y no haría falta la entrega de los concretos datos personales sino un simple SI/NO puede ser suficiente respuesta para la Administración solicitante de la información para desarrollar sus competencias.

Deja un comentario   |  Etiquetas: , , | Publicado en Administración electrónica, Administración pública, Cesión de datos, Protección de datos

28 enero, 2020

EL DERECHO A NO PRESENTAR DATOS EN PODER DE LA ADMINISTRACIÓN Y SU IMPACTO EN PROTECCIÓN DE DATOS

Por Gonzalo Álvarez Hazas

El derecho a no presentar datos que obran en poder de la Administración se malinterpreta por algunas Administraciones Públicas hasta el punto de obstaculizar el intercambio de datos personales amparado en la interoperabilidad.

El principio de cooperación entre Administraciones decae en perjuicio de la ciudadanía al considerarse erróneamente que es la propia ciudadanía la que debe habilitar y consentir expresamente la cesión de datos y no las propias competencias de la Administración actuante.

 

La cuestión es que las plataformas y nodos de intercambios de datos se siguen desarrollando y habilitando técnicamente con el fin de facilitar el intercambio de datos entre Administraciones Públicas de acuerdo con la legislación en materia de administración electrónica.

Sin embargo, nos encontramos con que, una vez resuelta la parte técnica, algunas Administraciones deniegan la entrega de datos a otras entidades públicas peticionarias basándose en la falta de un consentimiento explícito de la ciudadanía a ceder sus datos.

¿Esto es así? ¿Realmente es preciso un consentimiento del interesado que inicia una actuación ante la Administración para que ésta pueda requerir información a terceras entidades?

Veamos cuál es el origen de este supuesto.

Deber de colaboración

La normativa reguladora de la Administración dispone con respecto al deber de colaboración en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público

Artículo 141. Deber de colaboración entre las Administraciones Públicas.

Las Administraciones Públicas deberán:

a) Respetar el ejercicio legítimo por las otras Administraciones de sus competencias.

b) Ponderar, en el ejercicio de las competencias propias, la totalidad de los intereses públicos implicados y, en concreto, aquellos cuya gestión esté encomendada a las otras Administraciones.

c) Facilitar a las otras Administraciones la información que precisen sobre la actividad que desarrollen en el ejercicio de sus propias competencias o que sea necesaria para que los ciudadanos puedan acceder de forma integral a la información relativa a una materia.

[…]

Artículo 142. Técnicas de colaboración.

Las obligaciones que se derivan del deber de colaboración se harán efectivas a través de las siguientes técnicas:

a) El suministro de información, datos, documentos o medios probatorios que se hallen a disposición del organismo público o la entidad al que se dirige la solicitud y que la Administración solicitante precise disponer para el ejercicio de sus competencias.

Se observa que existe un deber de colaboración que habilita a la transmisión de datos entre Administraciones Públicas para dar cumplimiento a las competencias de la organización solicitante.

Por lo tanto, será el desarrollo de competencias de la peticionaria, el que establezca la habilitación o fundamentación para la entrega por parte de la Administración cedente.

El derecho a no aportar documentos que obran en poder de la Administración

Visto lo anterior, parece existir un amparo jurídico suficiente para la entrega de datos entre Administraciones con el fin de ejecutar el servicio público que corresponda.

Asimismo, para facilitar la actuación administrativa, y que la persona interesada se beneficie del mencionado deber de colaboración, existe una previsión específica para que regula el derecho a no aportar documentos que ya obran en poder de la Administración.

El artículo 28 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, modificado por la Ley Orgánica de Protección de Datos (DF12), dispone en sus apartados 2 y 3:

Artículo 28. Documentos aportados por los interesados al procedimiento administrativo.

  1. […].
  2. Los interesados tienen derecho a no aportar documentos que ya se encuentren en poder de la Administración actuante o hayan sido elaborados por cualquier otra Administración. La administración actuante podrá consultar o recabar dichos documentos salvo que el interesado se opusiera a ello. No cabrá la oposición cuando la aportación del documento se exigiera en el marco del ejercicio de potestades sancionadoras o de inspección.

Las Administraciones Públicas deberán recabar los documentos electrónicamente a través de sus redes corporativas o mediante consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto.

Cuando se trate de informes preceptivos ya elaborados por un órgano administrativo distinto al que tramita el procedimiento, estos deberán ser remitidos en el plazo de diez días a contar desde su solicitud. Cumplido este plazo, se informará al interesado de que puede aportar este informe o esperar a su remisión por el órgano competente.

  1. Las Administraciones no exigirán a los interesados la presentación de documentos originales, salvo que, con carácter excepcional, la normativa reguladora aplicable establezca lo contrario.

Asimismo, las Administraciones Públicas no requerirán a los interesados datos o documentos no exigidos por la normativa reguladora aplicable o que hayan sido aportados anteriormente por el interesado a cualquier Administración. A estos efectos, el interesado deberá indicar en qué momento y ante qué órgano administrativo presentó los citados documentos, debiendo las Administraciones Públicas recabarlos electrónicamente a través de sus redes corporativas o de una consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto, salvo que conste en el procedimiento la oposición expresa del interesado o la ley especial aplicable requiera su consentimiento expreso. Excepcionalmente, si las Administraciones Públicas no pudieran recabar los citados documentos, podrán solicitar nuevamente al interesado su aportación.

Con carácter general, el derecho a no entregar datos que obran en poder de la Administración no exige que la ciudadanía otorgue un permiso especial o una representación para que la Administración pueda requerir datos de esa persona ante terceras Administraciones.

A sensu contrario, salvo que se oponga la persona interesada (y así lo haga constar en el procedimiento) o que realmente exista una ley especial que requiera un consentimiento expreso, la Administración se encuentra facultada a pedir datos a terceras Administraciones en base al ejercicio de sus competencias en aras a servir a la ciudadanía con eficacia y eficiencia bajo el paraguas de la administración electrónica y la interoperabilidad.

El artículo 155 de la Ley 400/2015 insiste en el deber de facilitar datos a terceras Administraciones sin perjuicio de que hayan de adoptarse las medidas de seguridad requeridas:

Artículo 155. Transmisiones de datos entre Administraciones Públicas.

De conformidad con lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y su normativa de desarrollo, cada Administración deberá facilitar el acceso de las restantes Administraciones Públicas a los datos relativos a los interesados que obren en su poder, especificando las condiciones, protocolos y criterios funcionales o técnicos necesarios para acceder a dichos datos con las máximas garantías de seguridad, integridad y disponibilidad

Interpretación doctrinal de las Agencias de Protección de Datos

La normativa de protección de datos ampara el tratamiento y cesión de datos entre Administraciones Públicas en el artículo 8 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales

La Agencia española de protección de datos ha interpretado en varios informes jurídicos cuál es la base jurídica, con carácter general, para tratar datos por la Administración, esto es, el desarrollo de competencias o el ejercicio de una misión de interés público.

En sus informes 175/2018 y 050/2019 se establecen las reglas generales con respecto a las cesiones entre Administraciones Públicas y que pueden resumirse en las siguientes:

  • La cesión de datos entre Administraciones habrá de tener en cuenta la legislación especial que pueda determinar una restricción a las cesiones de datos personales (Ej, ámbito tributario)
  • La ausencia de norma no supone que los datos no puedan cederse, sino que serán aplicables las reglas generales (ámbito competencial, misión de interés público).
  • Entidad cesionaria: debe fundamentar y motivar
  • Entidad cedente: valorar si los datos solicitados son realmente necesarios, pertinentes y proporcionados, atendiendo a la competencia que pretende ejercer la Administración cesionaria.
  • Minimización y proporcionalidad: no cabe un acceso masivo e indiscriminado a datos personales, y por lo tanto, el acceso deberá ser siempre “específico en cada caso ajustado a los datos que resulten precisos para la tramitación de un expediente determinado y no de un acceso masivo e indiscriminado”
  • No cabe finalidad distinta salvo archivo en interés público, fines de investigación científica e histórica o fines estadísticos. Finalidad ulterior y distinta, se aplica el 155.3 Ley 40/2015 (RDL 14/2019)
  • Art 155 Ley 40/2015: Interoperabilidad -> Instrumento jurídico, ej Convenios, protocolos generales de actuación, etc.

Cabe destacar la disposición adicional octava de la LOPDGDD, que habilita a las Administraciones a verificar los datos de la persona interesada cuando declara datos que obran en poder de las Administraciones Públicas.

Disposición adicional octava. Potestad de verificación de las Administraciones Públicas.

Cuando se formulen solicitudes por cualquier medio en las que el interesado declare datos personales que obren en poder de las Administraciones Públicas, el órgano destinatario de la solicitud podrá efectuar en el ejercicio de sus competencias las verificaciones necesarias para comprobar la exactitud de los datos.

A más a más, se faculta nuevamente a las Administraciones a realizar las verificaciones necesarias para comprobar los datos de la persona interesada sin necesidad de requerirle un consentimiento específico. ¿Y ante qué entidades u órganos se ejercerá esa potestad de verificación de datos? Pues lógicamente, ante otras administraciones.

Conclusión

En definitiva, no es el consentimiento de la persona la que, en primer lugar, habilita o legitima la actuación de la Administración, dado que, la base jurídica para tratar datos se encuentra en el artículo 8 de la LOPDGDD, en las competencias o misión de interés público. Y de igual manera para solicitar y ceder datos a otras Administraciones que requieran información con fines de desarrollar sus competencias.

Por lo tanto, no tiene ningún sentido que las Administraciones cedentes exijan de la Administración peticionaria que recabe el consentimiento de las personas (mediante formularios en papel o electrónicos) para entregarles (o consumir) datos que deberían facilitar electrónicamente sin ninguna otra cortapisa o condición que la motivación (competencia) y la proporcionalidad de lo solicitado.

Deja un comentario   |  Etiquetas: , , , , | Publicado en Administración electrónica, Cesión de datos, Protección de datos

5 noviembre, 2019

Plazos aplicables al Real Decreto-ley 14/2019

Por Gonzalo Álvarez Hazas

El Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones contiene disposiciones transitorias con respecto a los plazos de aplicación de algunos artículos y medidas

A continuación se exponen a modo de tabla algunos plazos aplicables ante las medidas y acciones a adoptar en base a las disposiciones transitorias del mencionado Real Decreto-ley 14/2019

Art 3Arts 4-5

Descargar en pdf pinchando aquí:

Para más información con resúmenes y reflexiones en relación al RDL pueden consultar los blogs de los compañeros

1 comentario | Publicado en Administración electrónica, Protección de datos