Transparencia y protección de datos: (I) RGPD PRE-transparencia
Revisado 1 enero 2022
Resumen
La transparencia es esencial para el control de lo público, como indica el primer párrafo del preámbulo de la ley 19/2003. La protección de datos es esencial en la privacidad, y surge una colisión con la transparencia en la que veo dos vertientes:
- RGPD PRE-transparencia: al realizar solicitudes de información se limita el acceso en base a RGPD.
- RGPD POST-transparencia: se limita la difusión de información obtenida vía transparencia en base a RGPD.
Aquí trato ideas generales y la parte "PRE". Por separado me centro en la segunda parte "POST", que es la parte que más me interesa porque enlaza con la actividad de este blog, pero escribo este antes para separar y descargar.
Post relacionados:
- Transparencia y protección de datos: (II) RGPD POST-transparencia
- Normativa webs, aplicaciones y protección de datos en educación
- Presunción de inocencia / indecencia, recursos públicos y carga de prueba
- Ocupar puesto pagado con dinero público: libre concurrencia, igualdad, mérito, capacidad, publicidad y transparencia
- El Gobierno no cumple la Ley de Transparencia ni hace caso a Consejo de Transparencia y Buen Gobierno
- Derecho al olvido en webs administración y transparencia
Detalle
Índice
- Pre y post: qué en qué momento
- Transparencia y protección de datos como derechos fundamentales
- Organismos de control de transparencia y de protección de datos
- Visión general
- Mi opinión personal: no hay transparencia suficiente sobre la gestión de lo público
- Normativa que muestra que se deben/se pueden conocer datos personales
- No todos somos iguales en transparencia vs RGPD
- Jurisprudencia
- Visión RGPD PRE-transparencia
- Ejemplos reales de no transparencia alegando RGPD
- Recomendación general
- Ejemplos reales de transparencia prevalenciendo sobre RPGD
- Limitaciones generales de transparencia
Pre y post: qué en qué momento
Como hablo de pre y post, intento definir qué momento las separa. Para mi es el momento en el que se recibe la documentación pública tras una solicitud de transparencia.
De ese modo pre afecta a todo lo asociado hasta conseguirla (o no conseguirla precisamente por RGPD), y post afecta a qué hacer con lo que realmente se recibe, no lo que dice la resolución del consejo que se va a recibir.
A veces se habla de transparencia en el propio proceso RGPD, para que el usuario que debe dar su consentimiento tenga claro qué se va a hacer con sus datos, pero eso es otro tema ajeno a este post.
Esta imagen me parece genial y se puede ver asociada al proceso RGPD, pero también al uso de RGPD pre y post transparencia.
Transparencia y protección de datos como derechos fundamentales
En España la protección de datos está en Constitución como derecho fundamental en artículo 18 en Capítulo segundo. Derechos y libertades, Sección 1ª. De los derechos fundamentales y de las libertades públicas
https://app.congreso.es/consti/constitucion/indice/titulos/articulos.jsp?ini=18&tipo=2
La transparencia aparece indirectamente en artículo 105 en Título IV. Del Gobierno y de la Administración
https://app.congreso.es/consti/constitucion/indice/titulos/articulos.jsp?ini=105&tipo=2
En Europa sí que hay normativa sobre acceso a documentación como derecho fundamental
https://www.europarl.europa.eu/RegData/PDF/Guide_ES.pdf
Artículo 255 del Tratado constitutivo de la Comunidad Europea
1. Todo ciudadano de la Unión, así como toda persona física o jurídica que resida o tenga su domicilio social en un Estado miembro, tendrá derecho a acceder a los documentos del Parlamento Europeo, del Consejo y de la Comisión, con arreglo a los principios y las condiciones que se establecerán de conformidad con los apartados 2 y 3.
2. El Consejo, con arreglo al procedimiento previsto en el artículo 251,determinará los principios generales y los límites, por motivos de interés público o privado, que regulan el ejercicio de este derecho de acceso a los documentos, en el plazo de dos años a partir de la entrada en vigor del Tratado de Amsterdam.
3. Cada una de las instituciones mencionadas elaborará en su Reglamento interno disposiciones específicas sobre el acceso a sus documentos.
DIRECTIVA (UE) 2019/1024 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 20 de junio de 2019 relativa a los datos abiertos y la reutilización de la información del sector público
https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=celex%3A32019L1024
Hay otro tema relacionado que afecta también a RGPD post-transparencia, que es el derecho al olvido.
Derecho al olvido en webs administración y transparencia
Organismos de control de transparencia y de protección de datos
Para transparencia a nivel nacional existe el Consejo de Transparencia y Buen Gobierno, aunque algunas CCAA tienen su propia ley de transparencia y su propio consejo.
https://www.consejodetransparencia.es
https://www.consejodetransparencia.es/ct_Home/transparencia/transparencia-en-espanya.html
Para protección de datos a nivel nacional existe la Agencia Española de Protección de Datos, aunque algunas CCAA tienen su propia agencia como Cataluña, aparte de los DPD de cada consejería.
En el caso de Andalucía el consejo de transparencia lo es al mismo tiempo de protección de datos.
El Consejo de Transparencia y Protección de Datos de Andalucía
Visión general
Mi opinión personal: no hay transparencia suficiente en la gestión de lo público
- Transparencia en cómo ha llegado a ese cargo: votaciones, oposiciones, ... Enlaza con post Ocupar puesto pagado con dinero público: libre concurrencia, igualdad, mérito, capacidad, publicidad y transparencia
- Transparencia en cómo, teniendo ese cargo, se ha creado / asignado el puesto concreto cuando hay varias personas que lo podían haber ocupado, con lista de puestos y baremo transparente. Enlaza con RPTs y transparencia y con Comisiones de servicio en Madrid y opacidad
- Transparencia en sus retribuciones, que se están pagando de dinero púbico.
- Transparencia en las acciones que realiza en su puesto, ya que en ese puesto público nos afecta a todos
Yo mismo soy funcionario docente y eso me afecta a mi, sin que tenga ningún problema
- La información del proceso selectivo por el que se me nombró funcionario se publicó, primero con la convocatoria y criterios, y luego en BOE mi nota de oposición, con nombre y apellidos y con NIF sin anomizar (es de 2016, previo a RGPD), está en BOE https://www.boe.es/diario_boe/txt.php?id=BOE-A-2017-13426
- La información del proceso de asignación es transparente (asignación de destinos en inicio de curso "concursillo" cuando era interino / prácticas / expectativa) y asignación de destino definitivo vía concurso de traslados. Se puede ver mi nombre y apellidos y NIF (anonimizado, es posterior a RGPD) http://www.madrid.org/cs/Satellite?c=CM_ConvocaPrestac_FA&cid=1354802602633&noMostrarML=true&pageid=1331802501637&pagename=PortalCiudadano%2FCM_ConvocaPrestac_FA%2FPCIU_fichaConvocaPrestac&vest=1331802501621
- La información de mis retribuciones es pública, he comentado el valor en varios posts e incluso he compartido alguna nómina. http://algoquedaquedecir.blogspot.com/2017/12/madrid-roba-los-interinos-iii.html
- Cuando soy tutor y firmo un documento, aparecen mi nombre y apellidos en el boletín de notas.
Normativa que muestra que hay que se deben/se pueden conocer datos personales asociadas a recursos público
Intento visualizar situaciones en las que la normativa muestra, a veces implícitamente, que se deben conocer datos personales, y me centro en nombres de empleados públicos.
Artículo 53.1.b Ley 39/2015
https://www.boe.es/buscar/act.php?id=BOE-A-2015-10565#a53
b) A identificar a las autoridades y al personal al servicio de las Administraciones Públicas bajo cuya responsabilidad se tramiten los procedimientos
Abstención y recusación en Ley 40/2015
https://www.boe.es/buscar/act.php?id=BOE-A-2015-10566#s4
No se puede recusar ni abstener si no se sabe qué personas son con su nombre y apellidos.
La propia Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales habla de la publicación en situaciones de nombre y apellidos.
https://boe.es/buscar/act.php?id=BOE-A-2018-16673#da-7
Disposición adicional séptima. Identificación de los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos.
1. Cuando sea necesaria la publicación de un acto administrativo que contuviese datos personales del afectado, se identificará al mismo mediante su nombre y apellidos, añadiendo cuatro cifras numéricas aleatorias del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente. Cuando la publicación se refiera a una pluralidad de afectados estas cifras aleatorias deberán alternarse.
Información de beneficiarios de ayudas en situaciones "competitivas"
Artículo 8 Ley 19/2013
https://www.boe.es/buscar/act.php?id=BOE-A-2013-12887#a8
c) Las subvenciones y ayudas públicas concedidas con indicación de su importe, objetivo o finalidad y beneficiarios.
No se hace mención a nombre y apellidos, pero en las subvenciones y becas, y procesos "competitivos" donde algunos son beneficiarios y otros no, debe haber un criterio objetivo para ser beneficiario, y debe poderse comprobar, al menos por los afectados, qué baremo han obtenido el resto. Es algo similar en procesos selectivos. Cuando los beneficiarios de ayudas son menores y se trata de becas, si tiene sentido que prevalezca la protección de datos, aunque no debe impedir que haya transparencia en el baremo.
Aquí se cita sobre DNI en estos casos.
Sistema Nacional de Publicidad de Subvenciones
NOTA INFORMATIVA (04/04/2019)
Anonimización del DNIy del NIE
https://www.pap.hacienda.gob.es/bdnstrans/es/noticia/pdf/SNPSNotainformativaAnonimizacion.pdfEn principio se pueden consultar aquí
https://www.pap.hacienda.gob.es/bdnstrans/GE/es/concesiones
Donde aparecen NIF ofuscados y nombre y apellidos, pero se ven datos personales individuales de CONVOCATORIA BECAS PARA ESTUDIO PROGRAMAS DE SEGUNDA OPORTUNIDAD, ...
Veo que mirando una convocatoria concreta, por ejemplo
http://www.pap.hacienda.gob.es/bdnstrans/GE/es/convocatoria/449835
Aparece la opción "Ver concesiones de esta convocatoria", que muestra aviso
----
---
Un ejemplo donde sí hay datos personales
https://www.pap.hacienda.gob.es/bdnstrans/GE/es/concesiones/convocatoria/414594
Los altos cargos son nombrados públicamente, y tienen normativa especial, lo que enlaza con el apartado siguiente "no todos somos iguales en transparencia vs RGPD": es necesario saber el nivel del cargo para saber si le aplican ciertos criterios.
Ley 3/2015 reguladora del ejercicio de altos cargos de la Administración General del Estado
https://www.boe.es/buscar/act.php?id=BOE-A-2015-3444#a3
d) Transparencia y responsabilidad: adoptarán sus decisiones de forma transparente y serán responsables de las consecuencias derivadas de su adopción.
Ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo.
Artículo 14. Personas con responsabilidad pública.
https://www.boe.es/buscar/act.php?id=BOE-A-2010-6737#a14
No todos somos iguales en transparencia vs RGPD
La idea esencial es que cuanto más responsabilidades se tienen en la gestión de recursos públicos, parece lógico exigir más transparencia. Una manera de visualizar ideas es llevarlas a extremos, y luego ir retocando: por ejemplo modificar X en la siguiente frase
"El nombre y apellidos de X no se pueden difundir como información pública ya que son datos personales protegidos por RGPD, aunque reciba / gestione recursos públicos sobre los que los ciudadanos pueden pedir transparencia"
Si X=rey, presidente del gobierno/CCAA, ministro/consejero, alcance/concejal... parece claro que que prevalece la transparencia. De hecho sus nombres y apellidos se publican en BOE/boletines cada vez que se publican leyes/decretos.
Si X=alto cargo que firma una orden/resolución/instrucción, creo que parece claro que prevalece transparencia.
Si X=funcionario que recoge un formulario en ventanilla, funcionario tramita un expediente en el INEM, docente que pone las notas en un centro (sea centro público o centro privado sostenido con fondos públicos), conserje de un ayuntamiento que es pagado con dinero público, estudiante que recibe una beca ... se puede dudar.
Personalmente, enlazando con mi opinión personal, no veo problema en que sea pública la información, ya que si todos ellos están recibido dinero público, el proceso por el que se ha decidido que lo reciban debe ser transparente.
De hecho, que no haya la misma transparencia para todos implica romper el principio de igualdad ante la ley.
Parece que mi visión es de extremo, y en esa escala hay un punto de corte fijado por Consejo de Transparencia y AEPD:
CRITERIO 1/2015: Obligaciones del sector público estatal a facilitar información sobre RPT y retribuciones
Ese pdf está escaneado: texto se puede ver en varias resoluciones posteriores
Personal no directivo de libre designación. En este caso, la prevalencia del interés público sobre los derechos individuales es decreciente en función del nivel jerárquico del empleado o funcionario público, considerándose que en los puestos de nivel 30 no Subdirectores Generales o asimilados, 29 y 28 –éstos últimos siempre que sean de libre designación- o equivalentes, podría prevalecer, con carácter general, el interés público en la divulgación de la información relativa a las retribuciones de los puestos provistos con un grado de discrecionalidad sobre el interés individual en la preservación de la intimidad y los datos de carácter personal y que en los puestos de niveles inferiores prevalecería, con carácter general, el interés individual en la protección de los derechos fundamentales citados.
En este caso, asociado a retribuciones, se considera que a partir de nivel 28 hacia arriba prevalece, de manera general, la transparencia.
Pero puede pasar por ejemplo, que un documento lo firme una persona de nivel 27 por ausencia/delegación de su superior de nivel 27. En este caso el órgano debería ponderar y anonimizar sabiendo el nivel de las personas afectadas, ver "Visión RGPD PRE-transparencia"
También hay otro criterio conjunto con AEPD
Criterio 2/2015: Aplicación de los límites al derecho de acceso a la información
Se habla de artículo 14 (que son límites adicionales a RGPD)
Es interesante la idea de que "El Consejo de Transparencia y Bueno Gobierno viene observando una interpretación extensiva de los conceptos contenidos en determinados límites ..." y se intenta aclarar, dado que se reconoce un cierto uso excesivo.
Jurisprudencia
Además de normativa, hay sentencias que pueden sentar doctrina
12 enero 2021
https://twitter.com/ECHR_CEDH/status/1348940463835930624
L.B. v. Hungary, judgment: Justified publication of applicant’s data, including home address, on tax authority website, for failing to fulfil his tax obligations: no violation https://bit.ly/35xSWDi
#ECHR #CEDH #ECHRlegalsummaries
https://hudoc.echr.coe.int/eng#{%22itemid%22:[%22002-13078%22]}
Visión RGPD PRE-transparencia
La clave es el artículo 15 de Ley 19/2013
https://www.boe.es/buscar/act.php?id=BOE-A-2013-12887#a15
2. Con carácter general, y salvo que en el caso concreto prevalezca la protección de datos personales u otros derechos constitucionalmente protegidos sobre el interés público en la divulgación que lo impida, se concederá el acceso a información que contenga datos meramente identificativos relacionados con la organización, funcionamiento o actividad pública del órgano.
3. Cuando la información solicitada no contuviera datos especialmente protegidos, el órgano al que se dirija la solicitud concederá el acceso previa ponderación suficientemente razonada del interés público en la divulgación de la información y los derechos de los afectados cuyos datos aparezcan en la información solicitada, en particular su derecho fundamental a la protección de datos de carácter personal.
Para la realización de la citada ponderación, dicho órgano tomará particularmente en consideración los siguientes criterios:
a) El menor perjuicio a los afectados derivado del transcurso de los plazos establecidos en el artículo 57 de la Ley 16/1985, de 25 de junio, del Patrimonio Histórico Español.
b) La justificación por los solicitantes de su petición en el ejercicio de un derecho o el hecho de que tengan la condición de investigadores y motiven el acceso en fines históricos, científicos o estadísticos.
c) El menor perjuicio de los derechos de los afectados en caso de que los documentos únicamente contuviesen datos de carácter meramente identificativo de aquéllos.
d) La mayor garantía de los derechos de los afectados en caso de que los datos contenidos en el documento puedan afectar a su intimidad o a su seguridad, o se refieran a menores de edad.
La clave es la subjetividad de interpretar ese texto "ponderación" e "interés público" es algo que realiza el órgano al que se le solicita la información, y ante una voluntad de opacidad, puede denegar usando la protección de datos como excusa. Luego en consejo de transparencia correspondiente puede replantear esa ponderación, pero creo que ocurre pocas veces, ya que el consejo puede no conocer detalles del asunto. Realmente la labor de los consejos de transparencia es muy complicada, porque argumentar razonadamente reclamaciones implica estudiar muchos temas muy distintos y conocerlos los suficientes.
Una idea importante es que el organismo que facilita la información, tras su ponderación, tiene la posibilidad de solicitar alegaciones a los interesados (artículo 19.3 Ley 19/2013) y anonimizar/disociar datos personales (artículo 15.4 Ley 19/2013).
Aunque quitasen todo, y enlaza con la POST-transparencia, las propias resoluciones incluyen datos personales: al menos el nombre del funcionario que la firma.
Ejemplos reales de no transparencia alegando RGPD
- No dar nombres de centros educativos alegando protección de datos sobre los nombres de los centros
RT_0451/2020
Este Consejo de Transparencia, una vez señalado el anterior criterio interpretativo, no alcanza a comprender qué influencia puede tener dicha materia para no facilitar la información solicitada, puesto que en ningún momento se busca la obtención de datos de carácter personal, que recordemos son aquellos concernientes a personas físicas, sino un listado de
centros educativos que cuenten con enfermero asignado. - No dar nombres de personas cuando resolución CTBG indicaba darlas
Resolución RT_0184/2018
Relación de puestos de Trabajo del Ministerio con identificación de sus
ocupantes y del modo de provisión del puesto.
Relación de los nombramientos libres de personal eventual que ocupan las
RPTs con tipo de provisión I, incluyendo los nombres de éstos.
La ejecución no facilita esos nombres
Se hace constar que los datos de nombre, apellidos y DNIS de los ocupantes en dichos Anexos han sido anonimizados, con el objeto de proteger los datos personales susceptibles de situaciones de especial protección, como pueden ser las de mujeres víctimas de violencia de género o de personas víctimas de la actividad terrorista. - No dar nombres de personas alegando RGPD a pesar de que se les muestre que nombres de las personas que ese están solicitando están parcialmente publicados de forma activa.
https://twitter.com/FiQuiPedia/status/1286338281148485634
No dan propuestas y concesiones comisiones de servicio alegando RGPD, pero publican listado donde pone nombre y apellidos a 427 comisiones de servicio.
A ver si lo que @educacmadrid y @eossoriocrespo quieren ocultar no son los nombres @ana_lorenzo
Ver argumentaciones a CTBG en
8 febrero 2018
https://twitter.com/LosGenoveses/status/961681124966662145
La famiglia : se cumplen tres años sin que el Gobierno informe al contribuyente sobre el número de asesores que ha nombrado, sus nombres, sus CV y sus retribuciones. Esta es la ultima y única información disponible de enero de 2015:
Que enlaza
http://transparencia.gob.es/transparencia/dam/jcr:179d2a64-4f32-4c6e-825e-4443481f49c7/Transparencia_Asesores_06022015_1.pdf
Y sí salen nombres y apellidos, es de 2015
2 marzo 2018
El TS obliga al Gobierno a dar la lista de los empleados públicos a los sindicatos
El Ejecutivo se negaba invocando la protección de datos de los
trabajadores, pero la Sala los ve esenciales para la labor de control de
las centrales
https://www.lainformacion.com/economia-negocios-y-finanzas/el-ts-obliga-al-gobierno-a-dar-la-identidad-de-todos-sus-empleados-a-los-sindicatos/6343274
El Tribunal Supremo obliga a Hacienda a identificar a las personas que ocupan cada puesto en la AGE
Los argumentos de Hacienda para no facilitar la información sobre la Relación de Puestos de Trabajo (RPT) de la AGE se basaban en la necesidad de proteger los datos personales de los trabajadores, como el nombre y los apellidos.
21 marzo 2019
Solo cinco de los 17 ministerios de Pedro Sánchez identifican a todos sus asesores
En 2015, el Gobierno de Mariano Rajoy publicó por primera vez los nombres de todo su personal eventual. Fue también la última: ningún Gobierno tuvo la iniciativa de dar sus nombres, solo accesibles gracias a solicitudes de información pública.
https://civio.es/quien-manda/2019/03/21/solo-cinco-de-los-17-ministerios-Pedro-Sanchez-identifican-a-todos-sus-asesores/
Recomendación general
Si has llegado a este post pensando cómo plantear solicitudes de acceso a información pública, mi recomendación es:
En las peticiones tener siempre en cuenta RGPD:
- Si en la información solicitada aparecen/pueden aparecer nombres de personas/datos personales, pero no es lo que interesa y basta con la información sin nombres, citar explícitamente anonimizar, aunque eso pueda suponer denegar por suponer elaboración.
- Si lo que se busca es información que implique nombres / datos protegidos, se debe argumentar muy bien porque RGPD es lo primero que esgrimirán para no darlo. Un argumento que he usado, no siempre con éxito, es mostrar ejemplos "similares" donde se publican nombres por esa o por otra administración, o enlaces a normativa o sentencias que implica que se deben publicar. Es algo similar a plantear que se pide acceso a información que otras administraciones están publicando de forma activa, donde esa administración ya ha valorado RGPD al publicar esos datos. Tras esta idea intento recopilar ejemplos reales de transparencia prevaleciendo sobre RGPD que se puedan usar como ejemplo
Ejemplos reales de transparencia prevalenciendo sobre RPGD
https://twitter.com/veronicadelcarp/status/1355146753327190021
OJO!!!!! En mayo 2020 pedí vía #Transparencia a @sanidadgob
los NOMBRES y cv de los miembros del famoso COMITÉ DE DESESCALADA #coronavirus. Y por fin me contestan CON NOMBRE Y CV: y me acaban de notificar la respuesta. Texto completo:
https://drive.google.com/file/d/1aVyQIlYhqkEy61luygHosHfR6a7j0_Dt/view
Limitaciones generales de transparencia
No solo asociadas a RGPD
22 abril 2021
Severiano Fernández Ramos y José María Pérez Monguió
Crónica de Jurisprudencia sobre transparencia y buen gobierno
http://laadministracionaldia.inap.es/noticia.asp?id=1511741
Tiene apartado "1.1.5. Los datos personales"
30 diciembre 2021
Severiano Fernández Ramos y José María Pérez Monguió
Crónica de Jurisprudencia sobre transparencia y buen gobierno
http://laadministracionaldia.inap.es/noticia.asp?id=1512437
Tiene apartado "1.1.4. Datos personales"
Comentarios
Publicar un comentario