La protecció de dades personals com a límit a la transparència

1. La transparència.

La transparència és un principi d’actuació al que s’han de sotmetre totes les administracions públiques (art. 31.2 Llei 26/2010 i 3.1.c Llei 40/2015), principi que també obliga les entitats que formen part de el sector públic institucional (art. 81 Llei 40/2015).

Al seu torn, es reconeix la transparència com un dret de la ciutadania, connectat amb el dret a una bona administració, garantit a totes les persones per l’article 41 de la Carta dels Drets Fonamentals de la Unió Europea. En efecte, tota persona té dret a saber què fan les entitats de sector públic. I no només què fan, sinó també com ho fan. Aquest dret a saber és inherent a la democràcia. Així, transparència i democràcia són dos conceptes que van de la mà i que són inseparables, de manera que l’opacitat és incompatible amb la democràcia.

Però la transparència no va arribar de la mà de la democràcia, sinó molts anys després. Cal admetre que existien normes que imposaven un cert nivell de publicitat i es reconeixia el dret d’accés als arxius i registres (art. 105.b Constitució espanyola) que es regulà de manera molt genèrica i poc detallada a l’article 37 de la Llei 30/1992. L’aposta clara i decidida per la transparència no va arribar fins a l’aprovació de les lleis de transparència (Llei estatal 19/2013 i Llei catalana 19/2014), que es basen en dos eixos o pilars: la publicitat activa i el dret d’accés a la informació pública. 

La visió de la transparència com un instrument que permet a la ciutadania fiscalitzar l’acció pública es simbolitza amb aquesta frase: “Les dictadures fan transparents els ciutadans i opacs els governants, mentre que en la democràcia és -o ha de ser- a l’inrevés”. Dit d’una altra manera, en un sistema democràtic els governants haurien de ser transparents en la gestió de la cosa pública, per donar compte a la ciutadania i permetre així que pugui conèixer i avaluar l’activitat dels governants. Per contra, els governants han de garantir la privacitat de la ciutadania, assegurant la confidencialitat de les dades personals que tenen al seu poder.

Aquesta obligació d’assegurar la confidencialitat de determinada informació suposa un límit a la transparència. En efecte, el dret a saber no és absolut, sinó que, tal com succeeix amb la immensa majoria de drets -siguin o no fonamentals- està sotmès a límits, recollits per la pròpia legislació de transparència. Aquesta situació no s’ha de considerar com una anomalia, sinó que és similar a la de totes regulacions en dret comparat. En efecte, és evident que mitjançant l’exercici de el dret d’accés no s’hauria de poder accedir a tota la informació gestionada pel sector públic, com seria per exemple les històries clíniques dels centres sanitaris públics, o les subvencions rebudes per persones en situacions de vulnerabilitat social.

Des de la perspectiva de la normativa de protecció de dades personals, val a dir que l’RGPD té present la possible col·lisió entre el dret a la protecció de dades i el dret d’accés a la informació pública, al reconèixer al seu article 86 que en ocasions, el dret a la protecció de dades s’haurà de sacrificar en favor del dret d’accés a la informació pública. 

2. El límit de la protecció de dades personals en els portals de la transparència.

La Llei 19/2014 obliga les entitats del sector públic a difondre un volum formidable d’informació als portals de la transparència. Moltes vegades,  aquesta informació a publicar conté dades personals, pel que caldrà tenir en compte les possibles limitacions. Així, els subjectes sotmesos a la legislació de transparència han de complir les seves obligacions de publicitat activa però, al mateix temps, han de respectar el dret a la protecció de dades personals. Ens trobem doncs amb dos drets aparentment enfrontats, que cal conciliar adequadament. S’haurà d’efectuar una ponderació o equilibri entre la transparència i el dret a la protecció de dades, sense caure ni en l’opacitat excessiva ni en una sobreexposició informativa. 

En relació amb les obligacions de publicitat activa i els possibles límits, l’article 7.1 de la Llei 19/2014 es remet als previstos per al dret d’accés a la informació, especialment els relatius a la protecció de dades. En la regulació detallada de la informació a publicar als portals s’han especificat més limitacions, com és el cas de les subvencions. Al respecte, l’article 15.1.c de la Llei 19/2014 obliga a publicar la identitat de les persones beneficiàries, però afegeix que s’ha de preservar en el cas d’ajuts atorgats per motius de vulnerabilitat social, com tampoc no s’haurien de poder identificar les persones que reben ajuts per motius vinculats a categories especials de dades (salut, religió, vida sexual, etc. -art. 9 RGPD-). 

Com es pot observar, la interacció entre la publicitat activa i la protecció de dades pot generar situacions conflictives. En efecte, la posada en funcionament dels portals de la transparència i la consegüent publicació i posada a disposició en internet d’una quantitat ingent d’informació ha generat molts interrogants en els subjectes obligats, que tenien dubtes sobre si en determinats casos havia de prevaler la transparència o la protecció de dades. Aquesta situació d’una elevada complexitat va portar a l’Autoritat Catalana de Protecció de Dades (APDCAT) a efectuar una auditoria sobre els portals de la transparència, per tal de verificar si les entitats de sector públic català complien amb la normativa de protecció de dades personals en la gestió d’aquestes plataformes. En l’informe de l’auditoria, publicat el mes de maig de 2019 i disponible al web de l’APDCAT, s’anunciava que l’objectiu principal perseguit era ajudar a les entitats a complir amb la normativa aplicable, i això es feia a través d’una sèrie de pautes i recomanacions generals i específiques, que s’emetien des de l’òptica dels principis a tenir en compte en tot tractament de dades personals (art. 5 RGPD).

A tall d’exemple, es donava una pauta general sobre el principi de minimització de les dades (art. 5.1.c RGPD), en virtut del qual només s’han de tractar les dades personals necessàries per a la finalitat perseguida. I en base a aquest principi general es donaven unes pautes específiques: a) identificar les persones amb el seu nom i cognoms sense afegir-hi el DNI sencer (en consonància amb la disposició addicional 7ª de la Llei orgànica 3/2018 -LOPDGDD-); b) no publicar signatures manuscrites; i c) evitar la divulgació del DNI en les signatures electròniques. 

En el mateix informe es feia referència al principi d’exactitud (art. 5.1.d RGPD) que implicava evitar difondre informació incompleta o des actualitzada que pogués perjudicar les persones afectades; i també es donaven pautes des de l’òptica del principi de limitació del termini de conservació (art. 5.1.e RGPD), en base al qual només s’han de mantenir publicades les dades durant el termini necessari per assolir els fins de transparència.

3. El límit de la protecció de dades en el dret d’accés a la informació pública. 

La informació que gestionen les entitats del sector públic està ben farcida de dades personals, i al respecte concorre un entramat de drets i deures que hem de saber conjugar adequadament. L’aportació d’informació personal per part de la ciutadania genera en les entitats de sector públic el deure de respectar els principis i garanties del dret a la protecció de dades personals, i en particular el de confidencialitat (art. 5.1.f RGPD). A aquest deure de confidencialitat es refereix també l’article 5 de l’LOPDGDD, i també l’exigeix ​​l’article 13.h de la Llei 39/2015 en el catàleg de drets de les persones quan es relacionen amb les administracions públiques. 

Per tant, l’exercici del dret a d’accés origina en el personal de les entitats del sector públic el deure de ser transparents i de facilitar la informació sol·licitada. Alhora, el dret a la protecció de dades imposa un deure de confidencialitat respecte les dades personals recollides. Així, si davant d’una sol·licitud d’accés, per prudència, optem per l’opacitat, podem incomplir la legislació de transparència; però si, per contra, som massa transparents, podria ser que vulneréssim la legislació de protecció de dades. I aquest atzucac, com s’ha de resoldre? A favor de la transparència o de la protecció de dades? 

La meva resposta és sempre la mateixa: cal resoldre’l a favor de la transparència… i de la protecció de dades. En efecte, els drets aparentment enfrontats no són absoluts, de manera que la solució és intentar conciliar-los o conjugar-los, per exemple amb l’accés parcial (art. 25 Llei 19/2014), tot i que en ocasions el sacrifici d’algun dels drets pot resultar inevitable. En aquest escenari de complexitat no hi ha solucions apriorístiques, sinó que cal fer una ponderació i un equilibri en cada supòsit concret. 

La Comissió de Garantia del Dret d’Accés (GAIP) ha confirmat repetidament que la protecció de les dades personals és el límit que entra més en joc respecte del dret d’accés a la informació. Abans d’entrar ja en l’anàlisi del límit de la protecció de dades (art. 23 i 24 Llei 19/2014) faig dos aclariments. El primer, que el límit de la protecció de dades es refereix a dades de persones vives, ja que les dades de persones difuntes no generen restriccions, tret que puguin afectar la seguretat, l’honor, la intimitat o la imatge, en què s’amplia la protecció a 25 anys més enllà de la mort, o 50 anys del document si es desconeix la data de la mort, però es pot presumir -o es té la certesa- que la persona és morta (art. 36 Llei 10/2001). . I el segon, que les dades personals que limiten l’accés s’han de referir a terceres persones, és a dir diferents de la persona sol·licitant. I és que si el qui sol·licita l’accés demana informació relativa a la seva persona, llavors cal vehicular la sol·licitud com un exercici del dret d’accés regulat per la normativa de protecció de dades, tal com disposa l’article 24.3 de la Llei 19/2014. En efecte, en tal cas la finalitat perseguida amb aquesta sol·licitud no seria controlar les actuacions dels governants (transparència), sinó exercir el poder de control sobre les pròpies dades. 

Entro ja en l’anàlisi de la regulació que fa la Llei 19/2014 del límit de la protecció de dades, i ho faig amb una classificació entre tres categories de dades personals, en les que el límit opera amb major o menor intensitat. 

En el primer nivell d’intensitat del límit hi trobem les dades de l’article 23 de la Llei 19/2014, referent a les dades personals que avui es denominen de categories especials (art. 9 RGPD). Si la informació conté dades relatives a la ideologia, l’afiliació sindical, la religió o les creences, la regla general és que es denegui l’accés, tret que la persona sol·licitant aporti el consentiment exprés i per escrit de la persona afectada, o que aquesta les hagi fet manifestament públiques. D’altra banda, si les dades fan referència a l’origen racial, la salut o la vida sexual, si inclou dades genètiques o biomètriques o conté dades relatives a la comissió d’infraccions penals o administratives que no comporten l’amonestació pública a l’infractor, la regla general de denegació es manté, tret que es disposi del consentiment exprés o que l’accés estigui emparat per una norma amb rang de llei. 

Les dades d’infraccions administratives estaven previstes com a “especialment protegides” a l’article 7.5 de l’anterior LOPD, però no s’han inclòs a la llista de l’article 9 de l’RGPD de categories especials de dades. Els dubtes que això podia generar, des de la perspectiva del dret d’accés, s’han esvaït amb la redacció que la nova LOPDGDD ha donat a l’article 15.1 de la Llei 19/2013 que, a banda d’afegir les genètiques i biomètriques, inclou expressament les dades relatives a infraccions administratives, entre aquelles a les quals s’aplica la intensitat màxima del límit. 

Faig aquí un salt al tercer nivell d’intensitat del límit, és a dir el més baix, en el que tenim les dades personals merament identificatives, contingudes en informació directament relacionada amb l’organització, el funcionament o l’activitat pública (art. 24.1 Llei 19/2014). Són dades personals vinculades a l’exercici de funcions al sector públic, que no aporten cap informació sobre la vida privada i, per això, la regla general aquí seria l’accés, tret que en el cas concret hi prevalgui la protecció de dades personals o altres drets constitucionalment protegits, com podria ser el nom i cognoms d’empleats de cossos policials o els d’una persona víctima de violència de gènere. 

I he deixat per al final les dades personals restants, és a dir les no compreses en els  nivells ni primer ni tercer, i que caurien en la tipologia del segon nivell d’intensitat del límit, corresponent a les previstes a l’article 24.2 de la Llei 19/2014 (dades acadèmiques, laborals, econòmiques, etc.).  Aquest conjunt de dades són les que generen més problemes des de l’òptica del dret d’accés, perquè aquí la legislació de transparència no es decanta ni a favor ni en contra de l’accés, sinó que encomana una tasca de ponderació entre l’interès públic en la divulgació i els drets de les persones afectades, segons el cas concret plantejat.

Per a aquesta tasca de ponderació, l’LTC enumera un seguit de circumstàncies a tenir en compte:  a) temps transcorregut; b) finalitat de l’accés, especialment si té una finalitat històrica, estadística o científica i garanties que s’ofereixin; c) que les dades siguin relatives a menors d’edat; d) que pugui afectar a la seguretat de les persones. I es poden afegir també altres circumstàncies rellevants en la ponderació, com per exemple que les dades personals s’hagin publicat prèviament, cosa que jugaria a favor de l’accés; o en sentit invers, que en recollir les dades personals s’hagi generat una expectativa raonable de privacitat. 

En tot cas, l’element decisiu en la ponderació és si la sol·licitud d’accés a informació encaixa en la finalitat principal de la transparència, que no és altra que donar visibilitat a l’acció dels governants per tal que la ciutadania pugui fiscalitzar-la. 

En definitiva, si de resultes de l’aplicació de la legislació de transparència i després d’efectuar, si escau, la ponderació pertinent, es conclou que cal donar al sol·licitant accés a dades personals de tercers, estaríem davant d’un tractament de dades personals que, malgrat no tenir el consentiment de la persona afectada i titular de les dades, en principi tindria base jurídica suficient (art. 6.1.c i 6.1.e de l’RGPD). Ara bé, caldria facilitar només les dades personals necessàries per a la finalitat de transparència, en aplicació del principi de minimització de les dades (art. 5.1.c de l’RGPD), cosa que podria justificar que no es facilités un accés íntegre a la informació, sinó parcial (art. 25 Llei 19/2014).