Un nou marc legal regula el tractament de les dades personals.

                                              CC0 Creative Commons.

El passat 6 de desembre el BOE publicà la Llei Orgànica de protecció de dades, norma que deroga la Llei de 1999 (LOPD) i completa el marc legal definit pel Reglament General de Protecció de Dades(RGPD), la norma europea que entrà en vigor a tots els efectes el passat 25 de maig. En el tràmit final d’elaboració de la Llei s’afegí un darrer títol sobre garantia dels denominats drets digitals, un curiós “poti poti” de referències sobre matèries ben diverses. D’aquí que el nom de la Llei i el seu acrònim (LOPDGDD) siguin llargs, com ho és també el text, de 97 articles i un bon grapat de disposicions addicionals, transitòries i finals de gran importància.

Una de les principals característiques de la LOPDGDD és la constant referència a altres matèries. A diferència de la LOPD, que semblava una norma elaborada contra les altres, la LOPDGDD és de més fàcil adaptació o incardinació amb la resta de l’ordenament. D’entre els continguts que poden interessar als professionals responsables de la gestió documental i arxiu en comento breument cinc.

Arxiu en interès públic.La normativa anterior obligava a eliminar les dades un cop satisfeta la finalitat que n’havia justificat l’obtenció, principi difícilment conciliable amb la normativa d’avaluació i tria de la informació pública. Ara l’article 26 LOPDGDD tracta de l’”arxiu en interès públic” fent remissió al RGPD (vegeu-ne articles 5.1e i sobretot 89). S’admet la conservació de les dades més enllà del temps justificat per la finalitat primera, si bé aplicant mesures tècniques orientades a garantir els drets dels interessats. Desapareix l’eliminació per defecte exigida a l’antic article 4.5 LOPD. D’aquest nou plantejament, que és excel·lent, semblen però discutibles, i al meu entendre en molts casos inaplicables, les mesures tècniques i organitzatives indicades a l’article 89.1 RGPD.

Protecció de dades i dret d’accés.La conciliació del dret a la protecció de dades amb el d’accés a la informació pública serà ara més fàcil gràcies a la disposició addicional 10a.LOPDGDD, segons la qual els ens del sector públic podran comunicar dades personals a terceres persones si aprecien en el sol·licitant un interès legítim. Aquest precepte troba la seva correspondència al’art. 24i l’article 15.3de les  lleis catalanes i estatal de transparència, respectivament, establint-se d’aquesta manera un joc de remissions recíproques que permetrà resoldre amb més seguretat moltes sol·licituds d’accés a informació pública.

Identificació dels interessats en documents a publicar.La disposició addicional 7a.dona les pautes sobre com identificar les persones en documents administratius que hagin de ser objecte de publicació (nom i cognoms més 4 xifres DNI), i en la notificació per mitjà de publicació (només DNI complet, lletra inclosa). En cap cas podrà figurar nom, cognoms i DNI complet. Al meu entendre, per complir bé la primera regla, tots els documents administratius amb dades personals haurien de redactar-se en aquests termes, no només els que previsiblement s’hagin de publicar.

Seguretat. Tant la  LOPDGD com el RGPD proposen sobretot mesures jurídiques i fan poca referència a mesures de seguretat. Per al sector públic les mesures de seguretat a aplicar en el tractament de les dades seran les generals previstes en el Reial Decret 3/2010 Esquema Nacional de Seguretat, norma que s’haurà de modificar per adaptar-la a aquesta funció. De fet la disposició addicional 1a.LOPDGDD, que fa remissió a l’ENS, amplia considerablement la seva incidència, fent obligatori el compliment de les mesures de seguretat també per part de persones privades proveïdores de serveis a l’administració.

Coordinació i col·laboració interadministrativa.La LOPDGDD (disposició final 12a.) ha modificat l’article 28 de la Llei de procediment administratiu, que regula el dret dels particulars a no aportar informació que ja estigui en poder d’administracions públiques. En un altre punt (disposició addicional 8a.) recorda la possibilitat d’intercanvi de dades a efectes de comprovar-ne la veracitat, possible també en base als articles 4.2 i 142 de la Llei 40/2015. Novament aquí protecció de dades i procediment administratiu finalment es reconcilien.