Transparencia y protección de datos: (I) RGPD PRE-transparencia

Revisado 1 enero 2022

Resumen

La transparencia es esencial para el control de lo público, como indica el primer párrafo del preámbulo de la ley 19/2003. La protección de datos es esencial en la privacidad, y surge una colisión con la transparencia en la que veo dos vertientes:

  • RGPD PRE-transparencia: al realizar solicitudes de información se limita el acceso en base a RGPD.
  • RGPD POST-transparencia: se limita la difusión de información obtenida vía transparencia en base a RGPD.

Aquí trato ideas generales y la parte "PRE". Por separado me centro en la segunda parte "POST", que es la parte que más me interesa porque enlaza con la actividad de este blog, pero escribo este antes para separar y descargar.

Post relacionados:

 

Detalle

Índice

  • Pre y post: qué en qué momento
  • Transparencia y protección de datos como derechos fundamentales 
  • Organismos de control de transparencia y de protección de datos
  • Visión general
    • Mi opinión personal: no hay transparencia suficiente sobre la gestión de lo público
    • Normativa que muestra que se deben/se pueden conocer datos personales
    • No todos somos iguales en transparencia vs RGPD
    • Jurisprudencia
  • Visión RGPD PRE-transparencia
  • Ejemplos reales de no transparencia alegando RGPD
  • Recomendación general
  • Ejemplos reales de transparencia prevalenciendo sobre RPGD
  • Limitaciones generales de transparencia

 

Pre y post: qué en qué momento

Como hablo de pre y post, intento definir qué momento las separa. Para mi es el momento en el que se recibe la documentación pública tras una solicitud de transparencia. 

De ese modo pre afecta a todo lo asociado hasta conseguirla (o no conseguirla precisamente por RGPD), y post afecta a qué hacer con lo que realmente se recibe, no lo que dice la resolución del consejo que se va a recibir.

A veces se habla de transparencia en el propio proceso RGPD, para que el usuario que debe dar su consentimiento tenga claro qué se va a hacer con sus datos, pero eso es otro tema ajeno a este post.

Esta imagen me parece genial y se puede ver asociada al proceso RGPD, pero también al uso de RGPD pre y post transparencia.

https://andertoons.com/internet/cartoon/6410/before-i-write-name-need-know-how-youre-planning-to-use-data

Transparencia y protección de datos como derechos fundamentales

En España la protección de datos está en Constitución como derecho fundamental en artículo 18 en Capítulo segundo. Derechos y libertades, Sección 1ª. De los derechos fundamentales y de las libertades públicas

https://app.congreso.es/consti/constitucion/indice/titulos/articulos.jsp?ini=18&tipo=2

La transparencia aparece indirectamente en artículo 105 en Título IV. Del Gobierno y de la Administración

https://app.congreso.es/consti/constitucion/indice/titulos/articulos.jsp?ini=105&tipo=2

 

En Europa sí que hay normativa sobre acceso a documentación como derecho fundamental

https://www.europarl.europa.eu/RegData/PDF/Guide_ES.pdf

Artículo 255 del Tratado constitutivo de la Comunidad Europea

1. Todo ciudadano de la Unión, así como toda persona física o jurídica que resida o tenga su domicilio social en un Estado miembro, tendrá derecho a acceder a los documentos del Parlamento Europeo, del Consejo y de la Comisión, con arreglo a los principios y las condiciones que se establecerán de conformidad con los apartados 2 y 3.

2.  El  Consejo,  con  arreglo  al  procedimiento  previsto  en  el  artículo  251,determinará  los  principios  generales  y  los  límites,  por  motivos  de  interés público o privado, que regulan el ejercicio de este derecho de acceso a los documentos,  en  el  plazo  de  dos  años  a  partir  de  la  entrada  en  vigor  del Tratado de Amsterdam.

3. Cada una de las instituciones mencionadas elaborará en su Reglamento interno disposiciones específicas sobre el acceso a sus documentos. 

 

DIRECTIVA (UE) 2019/1024 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 20 de junio de 2019 relativa a los datos abiertos y la reutilización de la información del sector público

https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=celex%3A32019L1024

 

Hay otro tema relacionado que afecta también a RGPD post-transparencia, que es el derecho al olvido. 


Derecho al olvido en webs administración y transparencia

Organismos de control de transparencia y de protección de datos

Para transparencia a nivel nacional existe el Consejo de Transparencia y Buen Gobierno, aunque algunas CCAA tienen su propia ley de transparencia y su propio consejo.

https://www.consejodetransparencia.es

https://www.consejodetransparencia.es/ct_Home/transparencia/transparencia-en-espanya.html

Para protección de datos a nivel nacional existe la Agencia Española de Protección de Datos, aunque algunas CCAA tienen su propia agencia como Cataluña, aparte de los DPD de cada consejería.

https://www.aepd.es/

https://apdcat.gencat.cat/

En el caso de Andalucía el consejo de transparencia lo es al mismo tiempo de protección de datos.

El Consejo de Transparencia y Protección de Datos de Andalucía

https://www.ctpdandalucia.es/

 

Visión general

Mi opinión personal: no hay transparencia suficiente en la gestión de lo público

Si una persona ocupa un puesto que gestiona lo público, lo hace voluntariamente, y eso implica (debería implicar) transparencia a muchos niveles:

Yo mismo soy funcionario docente y eso me afecta a mi, sin que tenga ningún problema

Esto es una visión general asociado a la gestión de lo público, puede haber excepciones como FCSE con destinos especiales, o personas víctimas de terrorismo o de violencia de género de las que no se debe conocer su destino, pero son temas que creo que porcentualmente son pequeñas. 
Aparte hay otras situaciones de uso de recursos públicos que son las ayudas y subvenciones: debe haber transparencia en su asignación, aunque en ciertos casos también puede prevalecer la privacidad de las personas beneficiarias, como pueden ser ciertas becas a estudiantes menores.
La transparencia total en subvenciones, y en los criterios para darlas, creo que podría terminar tanto con los chiringuitos como con los mantras de qué es y qué no es chiringuito.

Normativa que muestra que hay que se deben/se pueden conocer datos personales asociadas a recursos público

Intento visualizar situaciones en las que la normativa muestra, a veces implícitamente, que se deben conocer datos personales, y me centro en nombres de empleados públicos.

Artículo 53.1.b Ley 39/2015

https://www.boe.es/buscar/act.php?id=BOE-A-2015-10565#a53

b) A identificar a las autoridades y al personal al servicio de las Administraciones Públicas bajo cuya responsabilidad se tramiten los procedimientos

Abstención y recusación en Ley 40/2015

https://www.boe.es/buscar/act.php?id=BOE-A-2015-10566#s4

No se puede recusar ni abstener si no se sabe qué personas son con su nombre y apellidos.

 

La propia Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales habla de la publicación en situaciones de nombre y apellidos.

https://boe.es/buscar/act.php?id=BOE-A-2018-16673#da-7

Disposición adicional séptima. Identificación de los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos.

1. Cuando sea necesaria la publicación de un acto administrativo que contuviese datos personales del afectado, se identificará al mismo mediante su nombre y apellidos, añadiendo cuatro cifras numéricas aleatorias del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente. Cuando la publicación se refiera a una pluralidad de afectados estas cifras aleatorias deberán alternarse. 

 

Información de beneficiarios de ayudas en situaciones "competitivas"

Artículo 8 Ley 19/2013

https://www.boe.es/buscar/act.php?id=BOE-A-2013-12887#a8

c) Las subvenciones y ayudas públicas concedidas con indicación de su importe, objetivo o finalidad y beneficiarios.

No se hace mención a nombre y apellidos, pero en las subvenciones y becas, y procesos "competitivos" donde algunos son beneficiarios y otros no, debe haber un criterio objetivo para ser beneficiario, y debe poderse comprobar, al menos por los afectados, qué baremo han obtenido el resto. Es algo similar en procesos selectivos. Cuando los beneficiarios de ayudas son menores y se trata de becas, si tiene sentido que prevalezca la protección de datos, aunque no debe impedir que haya transparencia en el baremo.

Aquí se cita sobre DNI en estos casos.

Sistema Nacional de Publicidad de Subvenciones

NOTA INFORMATIVA (04/04/2019)

Anonimización del DNIy del NIE

https://www.pap.hacienda.gob.es/bdnstrans/es/noticia/pdf/SNPSNotainformativaAnonimizacion.pdf

En principio se pueden consultar aquí

https://www.pap.hacienda.gob.es/bdnstrans/GE/es/concesiones

Donde aparecen NIF ofuscados y nombre y apellidos, pero se ven datos personales individuales de CONVOCATORIA BECAS PARA ESTUDIO PROGRAMAS DE SEGUNDA OPORTUNIDAD, ...


Veo que mirando una convocatoria concreta, por ejemplo

http://www.pap.hacienda.gob.es/bdnstrans/GE/es/convocatoria/449835

Aparece la opción "Ver concesiones de esta convocatoria", que muestra aviso

----

La visualización de concesiones está sometida a los criterios generales establecidos en el Real Decreto 130/2019 (art. 7.8), esto es que son visibles:

●  Si el beneficiario es persona física, el año de concesión y el siguiente.

●  Si el beneficiario es persona jurídica, el año de concesión y los cuatro años siguientes.

Y además, según el art. 20.8 de la Ley General de Subvenciones <<No serán publicadas las subvenciones concedidas cuando la publicación de los datos del beneficiario en razón del objeto de la subvención pueda ser contraria al respeto y salvaguarda del honor, a la intimidad personal o familiar de las personas físicas en virtud de lo establecido en la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, y haya sido previsto en su normativa reguladora>>, por lo que esta convocatoria pudiera tener concesiones que no se muestren en el portal.

---

Un ejemplo donde sí hay datos personales

https://www.pap.hacienda.gob.es/bdnstrans/GE/es/concesiones/convocatoria/414594

 

Los altos cargos son nombrados públicamente, y tienen normativa especial, lo que enlaza con el apartado siguiente "no todos somos iguales en transparencia vs RGPD": es necesario saber el nivel del cargo para saber si le aplican ciertos criterios.


Ley 3/2015 reguladora del ejercicio de altos cargos de la Administración General del Estado

https://www.boe.es/buscar/act.php?id=BOE-A-2015-3444#a3

d) Transparencia y responsabilidad: adoptarán sus decisiones de forma transparente y serán responsables de las consecuencias derivadas de su adopción.

Ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo.

Artículo 14. Personas con responsabilidad pública.

https://www.boe.es/buscar/act.php?id=BOE-A-2010-6737#a14


No todos somos iguales en transparencia vs RGPD

La idea esencial es que cuanto más responsabilidades se tienen en la gestión de recursos públicos, parece lógico exigir más transparencia. Una manera de visualizar ideas es llevarlas a extremos, y luego ir retocando: por ejemplo modificar X en la siguiente frase

"El nombre y apellidos de X no se pueden difundir como información pública ya que son datos personales protegidos por RGPD, aunque reciba / gestione recursos públicos sobre los que los ciudadanos pueden pedir transparencia"

Si X=rey, presidente del gobierno/CCAA, ministro/consejero, alcance/concejal... parece claro que que prevalece la transparencia. De hecho sus nombres y apellidos se publican en BOE/boletines cada vez que se publican leyes/decretos.

Si X=alto cargo que firma una orden/resolución/instrucción, creo que parece claro que prevalece transparencia.

Si X=funcionario que recoge un formulario en ventanilla, funcionario tramita un expediente en el INEM, docente que pone las notas en un centro (sea centro público o centro privado sostenido con fondos públicos), conserje de un ayuntamiento que es pagado con dinero público, estudiante que recibe una beca ... se puede dudar.

Personalmente, enlazando con mi opinión personal, no veo problema en que sea pública la información, ya que si todos ellos están recibido dinero público, el proceso por el que se ha decidido que lo reciban debe ser transparente.

De hecho, que no haya la misma transparencia para todos implica romper el principio de igualdad ante la ley.

Parece que mi visión es de extremo, y en esa escala hay un punto de corte fijado por Consejo de Transparencia y AEPD:

CRITERIO 1/2015: Obligaciones del sector público estatal a facilitar información sobre RPT y retribuciones

http://www.consejodetransparencia.es/dam/jcr:9fafdf4d-1fc9-4c4b-a067-6a314c244341/C1_2015_%20AccesoRPT_retribuciones.pdf

Ese pdf está escaneado: texto se puede ver en varias resoluciones posteriores

https://www.consejodetransparencia.es/ct_Home/dam/jcr:761c08bb-8517-4bc6-8018-ac6d56f0ef2d/R-0461-2020.pdf

Personal no directivo de libre designación. En este caso, la prevalencia del interés público sobre los derechos individuales es decreciente en función del nivel jerárquico del empleado o funcionario público, considerándose que en los puestos de nivel 30 no Subdirectores Generales o asimilados, 29 y 28 –éstos últimos siempre que sean de libre designación- o equivalentes, podría prevalecer, con carácter general, el interés público en la divulgación de la información relativa a las retribuciones de los puestos provistos con un grado de discrecionalidad sobre el interés individual en la preservación de la intimidad y los datos de carácter personal y que en los puestos de niveles inferiores prevalecería,  con  carácter  general,  el  interés  individual  en  la  protección  de  los derechos fundamentales citados.

En este caso, asociado a retribuciones, se considera que a partir de nivel 28 hacia arriba prevalece, de manera general, la transparencia.  

Pero puede pasar por ejemplo, que un documento lo firme una persona de nivel 27 por ausencia/delegación de su superior de nivel 27. En este caso el órgano debería ponderar y anonimizar sabiendo el nivel de las personas afectadas, ver "Visión RGPD PRE-transparencia"

También hay otro criterio conjunto con AEPD

Criterio 2/2015: Aplicación de los límites al derecho de acceso a la información

https://www.consejodetransparencia.es/dam/jcr:77d11404-2f9a-45e6-be70-d6c96409acd5/C2_2015_limites_derecho_de_informacion.pdf

Se habla de artículo 14 (que son límites adicionales a RGPD)

Es interesante la idea de que "El Consejo de Transparencia y Bueno Gobierno viene observando una interpretación extensiva de los conceptos contenidos en determinados límites ..."  y se intenta aclarar, dado que se reconoce un cierto uso excesivo.

Jurisprudencia

Además de normativa, hay sentencias que pueden sentar doctrina

12 enero 2021

https://twitter.com/ECHR_CEDH/status/1348940463835930624

L.B. v. Hungary, judgment: Justified publication of applicant’s data, including home address, on tax authority website, for failing to fulfil his tax obligations: no violation https://bit.ly/35xSWDi
#ECHR #CEDH #ECHRlegalsummaries 

https://hudoc.echr.coe.int/eng#{%22itemid%22:[%22002-13078%22]}


 

Visión RGPD PRE-transparencia

La clave es el artículo 15 de Ley 19/2013

https://www.boe.es/buscar/act.php?id=BOE-A-2013-12887#a15

2. Con carácter general, y salvo que en el caso concreto prevalezca la protección de datos personales u otros derechos constitucionalmente protegidos sobre el interés público en la divulgación que lo impida, se concederá el acceso a información que contenga datos meramente identificativos relacionados con la organización, funcionamiento o actividad pública del órgano.

3. Cuando la información solicitada no contuviera datos especialmente protegidos, el órgano al que se dirija la solicitud concederá el acceso previa ponderación suficientemente razonada del interés público en la divulgación de la información y los derechos de los afectados cuyos datos aparezcan en la información solicitada, en particular su derecho fundamental a la protección de datos de carácter personal.

Para la realización de la citada ponderación, dicho órgano tomará particularmente en consideración los siguientes criterios:

a) El menor perjuicio a los afectados derivado del transcurso de los plazos establecidos en el artículo 57 de la Ley 16/1985, de 25 de junio, del Patrimonio Histórico Español.

b) La justificación por los solicitantes de su petición en el ejercicio de un derecho o el hecho de que tengan la condición de investigadores y motiven el acceso en fines históricos, científicos o estadísticos.

c) El menor perjuicio de los derechos de los afectados en caso de que los documentos únicamente contuviesen datos de carácter meramente identificativo de aquéllos.

d) La mayor garantía de los derechos de los afectados en caso de que los datos contenidos en el documento puedan afectar a su intimidad o a su seguridad, o se refieran a menores de edad.

 

La clave es la subjetividad de interpretar ese texto "ponderación" e "interés público" es algo que realiza el órgano al que se le solicita la información, y ante una voluntad de opacidad, puede denegar usando la protección de datos como excusa. Luego en consejo de transparencia correspondiente puede replantear esa ponderación, pero creo que ocurre pocas veces, ya que el consejo puede no conocer detalles del asunto. Realmente la labor de los consejos de transparencia es muy complicada, porque argumentar razonadamente reclamaciones implica estudiar muchos temas muy distintos y conocerlos los suficientes.

Una idea importante es que el organismo que facilita la información, tras su ponderación, tiene la posibilidad de solicitar alegaciones a los interesados (artículo 19.3 Ley 19/2013) y anonimizar/disociar datos personales (artículo 15.4 Ley 19/2013). 

Aunque quitasen todo, y enlaza con la POST-transparencia, las propias resoluciones incluyen datos personales: al menos el nombre del funcionario que la firma. 


Ejemplos reales de no transparencia alegando RGPD

Se citan algunos ejemplos de post RPTs y transparencia
  • No dar nombres de centros educativos alegando protección de datos sobre los nombres de los centros
    RT_0451/2020
    Este Consejo de Transparencia, una vez señalado el anterior criterio interpretativo, no alcanza a comprender qué influencia puede tener dicha materia para no facilitar la información solicitada, puesto que en ningún momento se busca la obtención de datos de carácter personal, que recordemos son aquellos concernientes a personas físicas, sino un listado de
    centros educativos que cuenten con enfermero asignado.

  • No dar nombres de personas cuando resolución CTBG indicaba darlas
    Resolución RT_0184/2018
    Relación de puestos de Trabajo del Ministerio con identificación de sus
    ocupantes
    y del modo de provisión del puesto.
    Relación de los nombramientos libres de personal eventual que ocupan las
    RPTs con tipo de provisión I, incluyendo los nombres de éstos.

    La ejecución no facilita esos nombres
    Se hace constar que los datos de nombre, apellidos y DNIS de los ocupantes en dichos Anexos han sido anonimizados, con el objeto de proteger los datos personales susceptibles de situaciones de especial protección, como pueden ser las de mujeres víctimas de violencia de género o de personas víctimas de la actividad terrorista.
  • No dar nombres de personas alegando RGPD a pesar de que se les muestre que nombres de las personas que ese están solicitando están parcialmente publicados de forma activa.
    https://twitter.com/FiQuiPedia/status/1286338281148485634
    No dan propuestas y concesiones comisiones de servicio alegando RGPD, pero publican listado donde pone nombre y apellidos a 427 comisiones de servicio.
    A ver si lo que @educacmadrid y @eossoriocrespo quieren ocultar no son los nombres @ana_lorenzo



Ver argumentaciones a CTBG en

Comisiones servicio Madrid (VI): programas en centros

8 febrero 2018
https://twitter.com/LosGenoveses/status/961681124966662145
La famiglia : se cumplen tres años sin que el Gobierno informe al contribuyente sobre el número de asesores que ha nombrado, sus nombres, sus CV y sus retribuciones. Esta es la ultima y única información disponible de enero de 2015:
Que enlaza
http://transparencia.gob.es/transparencia/dam/jcr:179d2a64-4f32-4c6e-825e-4443481f49c7/Transparencia_Asesores_06022015_1.pdf

Y sí salen nombres y apellidos, es de 2015

2 marzo 2018
El TS obliga al Gobierno a dar la lista de los empleados públicos a los sindicatos
El Ejecutivo se negaba invocando la protección de datos de los trabajadores, pero la Sala los ve esenciales para la labor de control de las centrales

https://www.lainformacion.com/economia-negocios-y-finanzas/el-ts-obliga-al-gobierno-a-dar-la-identidad-de-todos-sus-empleados-a-los-sindicatos/6343274 

 

23 marzo 2018
El Tribunal Supremo obliga a Hacienda a identificar a las personas que ocupan cada puesto en la AGE
http://www.europapress.es/economia/laboral-00346/noticia-tribunal-supremo-obliga-hacienda-identificar-personas-ocupan-cada-puesto-age-20180323112533.html
Los argumentos de Hacienda para no facilitar la información sobre la Relación de Puestos de Trabajo (RPT) de la AGE se basaban en la necesidad de proteger los datos personales de los trabajadores, como el nombre y los apellidos.


21 marzo 2019
Solo cinco de los 17 ministerios de Pedro Sánchez identifican a todos sus asesores
En 2015, el Gobierno de Mariano Rajoy publicó por primera vez los nombres de todo su personal eventual. Fue también la última: ningún Gobierno tuvo la iniciativa de dar sus nombres, solo accesibles gracias a solicitudes de información pública.
https://civio.es/quien-manda/2019/03/21/solo-cinco-de-los-17-ministerios-Pedro-Sanchez-identifican-a-todos-sus-asesores/
 
4 diciembre 2020
El Gobierno apunta que la protección de datos choca con la exigencia de Transparencia sobre el comité de expertos



 

Recomendación general

Si has llegado a este post pensando cómo plantear solicitudes de acceso a información pública, mi recomendación es:

En las peticiones tener siempre en cuenta RGPD:

  • Si en la información solicitada aparecen/pueden aparecer nombres de personas/datos personales, pero no es lo que interesa y basta con la información sin nombres, citar explícitamente anonimizar, aunque eso pueda suponer denegar por suponer elaboración. 
  • Si lo que se busca es información que implique nombres / datos protegidos, se debe argumentar muy bien porque RGPD es lo primero que esgrimirán para no darlo. Un argumento que he usado, no siempre con éxito, es mostrar ejemplos "similares" donde se publican nombres por esa o por otra administración, o enlaces a normativa o sentencias que implica que se deben publicar. Es algo similar a plantear que se pide acceso a información que otras administraciones están publicando de forma activa, donde esa administración ya ha valorado RGPD al publicar esos datos. Tras esta idea intento recopilar ejemplos reales de transparencia prevaleciendo sobre RGPD que se puedan usar como ejemplo

Ejemplos reales de transparencia prevalenciendo sobre RPGD

 

https://twitter.com/veronicadelcarp/status/1355146753327190021

OJO!!!!! En mayo 2020 pedí vía #Transparencia a @sanidadgob
 los NOMBRES y cv de los miembros del famoso COMITÉ DE DESESCALADA #coronavirus. Y por fin me contestan CON NOMBRE Y CV: y me acaban de notificar la respuesta. Texto completo: 

https://drive.google.com/file/d/1aVyQIlYhqkEy61luygHosHfR6a7j0_Dt/view 

Limitaciones generales de transparencia

No solo asociadas a RGPD

22 abril 2021

Severiano Fernández Ramos y José María Pérez Monguió
Crónica de Jurisprudencia sobre transparencia y buen gobierno 

http://laadministracionaldia.inap.es/noticia.asp?id=1511741

Tiene apartado "1.1.5. Los datos personales"

30 diciembre 2021

Severiano Fernández Ramos y José María Pérez Monguió
Crónica de Jurisprudencia sobre transparencia y buen gobierno

http://laadministracionaldia.inap.es/noticia.asp?id=1512437

Tiene apartado "1.1.4. Datos personales"


 

 

 

 

 

Comentarios

Entradas populares de este blog

Ratios en educación: normativa

Oposiciones: transparencia enunciados

Configurar cliente para leer correo EducaMadrid