Transparencia y protección de datos: (II) RGPD POST-transparencia

Revisado 28 junio 2022

Resumen

La transparencia es esencial para el control de lo público, como indica el primer párrafo del preámbulo de la ley 19/2003. La protección de datos es esencial en la privacidad, y surge una colisión con la transparencia que tiene dos vertientes:

  • RGPD PRE-transparencia: al realizar solicitudes de información se limita el acceso en base a RGPD.
  • RGPD POST-transparencia: se limita la difusión de información obtenida vía transparencia en base a RGPD. 

En post separado trato ideas generales y la parte "PRE": Transparencia y protección de datos: (I) RGPD PRE-transparencia  

En este post me centro en la segunda parte "POST", que creo que es menos conocida (aunque es conocida por periodistas/prensa para divulgar información).

Es algo importante porque me llevó / me ha llevado a plantear cerrar este blog (tras notificación de Madrid de enero 2020 / respuesta de AEPD noviembre 2020). Quiero intentar documentar y argumentar por qué pienso que la difusión de información que hago en este post es correcta y además es legal. Aparte de eso, reitero mi disposición comentada en el post de presentación a retirar información  si se me argumenta, así como revisar mi argumentación de este post, que como todos, está en revisión.

Algunas partes sobre firmas manuscritas las tenía escritas en post Normativa webs, aplicaciones y protección de datos en educación, y muevo aquí sin más, lo que puede generar duplicados, pendiente revisar.

Post relacionados:

 

Detalle

Índice

  • Visión general RGPD post-transparencia
    • Transparencia de lo publicado activamente
  • La ponderación y anonimización realizada antes de recibir la información es o no es suficiente 
  • Quién tiene responsabilidad en datos protegidos obtenidos vía transparencia
  • Firmas manuscritas: mi caso en 2020 y respuesta AEPD
  • Cómo divulgar cumpliendo RGPD post-transparencia
    • Quitar CSV
    • Quitar nombres y apellidos
    • Quitar direcciones, físicas y correos electrónicos
    • Quitar NIF
    • Ofuscación NIF
    • Quitar metadatos
    • Quitar firmas digitales
    • Quitar firmas manuscritas 
  • Visión combinada: transparencia a prueba de RGPD  

Recomiendo leer antes el post Transparencia y protección de datos: (I) RGPD PRE-transparencia, ya que se solapan y puede haber referencias cruzadas sobre algunas ideas.

Visión RGPD post-transparencia

Tras haber conseguido información vía transparencia, que es pública y que ya se ha ponderado, llega el momento de ver cómo usarla. 

https://www.boe.es/buscar/act.php?id=BOE-A-2013-12887#a15

5. La normativa de protección de datos personales será de aplicación al tratamiento posterior de los obtenidos a través del ejercicio del derecho de acceso.

Una visión simplificada de ese artículo es que convierte la información pública obtenía vía solicitud de transparencia en información "privada para el solicitante que ha conseguido acceso"  

Sin embargo, la propia ley 19/2013 usa el término "DIVULGACIÓN" al hablar de dar acceso al solicitante.

https://www.boe.es/buscar/act.php?id=BOE-A-2013-12887#a15

3. Cuando la información solicitada no contuviera datos especialmente protegidos, el órgano al que se dirija la solicitud concederá el acceso previa ponderación suficientemente razonada del interés público en la divulgación de la información y los derechos de los afectados cuyos datos aparezcan en la información solicitada, en particular su derecho fundamental a la protección de datos de carácter personal.

En 2021 hay normativa que nueva asociada

Artículo 64. Modificación de la Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público.

https://www.boe.es/buscar/act.php?id=BOE-A-2021-17910#a6-6 

4. En ningún caso, podrá ser objeto de reutilización, la información en que la ponderación a la que se refieren los artículos 5.3 y 15 de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, arroje como resultado la prevalencia del derecho fundamental a la protección de datos de carácter personal, a menos que se produzca la disociación de los datos a la que se refiere el artículo 15.4 de la citada Ley.»

 

Transparencia de lo publicado activamente

Puede parecer extraño tener que pensar en RGPD si se publica activamente, pero hay ejemplos a tener en cuenta.
 
8 junio 2021
Los datos personales publicados en el BOE no son para cualquier cosa
 
Es una preconcepción muy extendida que si un dato personal está disponible en internet puede usarse para cualquier finalidad.

Mucha gente cree que el dato es “público” y que por tanto eso legitima para tratarlo como le apetezca. Nada más lejos de la realidad.

ElReglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD) es bastante claro al respecto de esta concreta cuestión.

Resumiendo mucho el sentido jurídico de su articulado, lo que nos dice esta norma es que para tratar un dato personal necesitamos dos elementos:

- Cumplir con los principios básicos del tratamiento.

- Una base jurídica legitimadora.

El primer elemento (de los dos indicados) implica el cumplimiento de determinados requisitos como que el tratamiento ha de ser lícito y transparente, que los datos deben ser exactos, que solo se tratará los datos para una finalidad determinada (y no otra), etcétera.

Mientras que el segundo elemento nos exige que tengamos una justificación para tratar los datos, y esto puede ser porque el interesado nos haya prestado su consentimiento expreso, o bien porque una ley nos obligue a su tratamiento, o, en su caso, porque el tratamiento sea necesario para ejecutar un contrato que nos solicita el propio interesado, etc.

Pero la concurrencia de ambos elementos resulta necesaria para que la utilización del dato personal sea lícita, es decir, que es necesario cumplir con los principios básicos del tratamiento, como también contar con una base legitimadora para su empleo. Si falta uno de los pilares, el tratamiento es ilegal.

De modo que, el silogismo “si está en internet puedo usar el dato” es por completo falso y nos puede llevar a situaciones de completa ilegalidad en su uso.

 
Disculpad mi ignorancia pero, ¿algún jurista podría por favor explicarme en qué se fundamenta la prohibición de descargar «masivamente» las sentencias del #CENDOJ del Consejo General del Poder Judicial?
¿Qué pasaría si las descargara, como el ROLECE? 
El mensaje que aparece es 
"No está permitida la utilización de la base de datos para usos comerciales, ni la descarga masiva de información. " 


Se comparte
 

Me contaron en su día que la "explicación" de que no haya accesibilidad total a las sentencias ⤵️y que la base de datos CENDOJ tenga un buscador manifiestamente mejorable era que Competencia había dicho que seróa competencia desleal en relación con las editoriales jurídicas.¿?
1⃣ ¿Cuál es el precio de la opacidad en el acceso a las sentencias de los tribunales?

👉 El Poder Judicial ingresa anualmente unos 950.000 € vendiendo las sentencias —que son públicas— a las editoriales jurídicas.
...
2⃣ ¿Y cuál es el negocio de las editoriales jurídicas que venden luego estas bases de datos a la Administración Pública?

— Aranzadi: 13,1 millones de euros.
— Lefebvre: 3,3 millones.
— Tirant lo Blanch: 862.000 euros.

La ponderación y anonimización realizada antes de recibir la información es o no es suficiente 

La primera idea es que si la administración a la que se ha realizado la solicitud ya ha realizado la ponderación usando RGPD, ha podido preguntar a interesado, ha podido anonimizar, y ha acabado dando información solicitada, se puede pensar que ya no hay problema en su divulgación, pero artículo 15.5 indica explícitamente que hay que volver a aplicar RGPD. En este caso la ponderación la hace la propia persona que ha hecho la solicitud, pero no depende de ella, ya que si hay datos de terceros, tendría que [volver a] pedir su consentimiento.

Pedir el consentimiento de listados de personas es inviable si son muchas. Se puede ponderar que los nombres de personas facilitados son de empleados públicos / personas que reciben dinero público y que aplica la transparencia en la provisión de sus puestos, por lo que debería haber transparencia previa en sus nombres, siendo esta transparencia de publicidad activa.

Si tras facilitar un documento con un nombre se pide consentimiento desde la administración, eso implicaría pedirlo cada vez que un nuevo solicitante solicite el mismo documento, y convierte la transparencia en "privada para los solicitantes que han conseguido acceso". 

El hecho de tener que "anonimizar" lo que la administración no da anonimizado resulta bastante peculiar. De hecho en ocasiones se facilitan documentos que han estado publicados por la administración, incluyendo datos personales.

Cuando se trata de publicidad activa, el consentimiento de la administración se pide solamente una vez, o incluso puede que no se pida si es obligatorio publicar esa información, y creo que hay cierta analogía.

Aplicando RGPD, se podría pensar en que la divulgación posterior es lícita sin el consentimiento del afectado en ciertos casos

https://www.boe.es/buscar/doc.php?id=DOUE-L-2016-80807

Artículo 6.1.e "el tratamiento es necesario para el cumplimiento de una misión realizada en interés público". En respuesta AEPD noviembre 2020 me citan artículo 6.1  

Creo recordar haber escuchado a prensa citar la libertad de información como derecho que les permite divulgar nombres para informar si lo consideran "de interés público"

3 junio 2016

 El PP pide cárcel e inhabilitación para dos periodistas de Vocento por revelar la verdad
Un diputado asturiano solicita tres años y ocho meses de prisión para un redactor y el exdirector de 'El Comercio' por una noticia cuya veracidad quedó demostrada

https://www.ideal.es/nacional/201606/03/pide-carcel-inhabilitacion-para-20160603013005-rc_amp.html

En un ataque sin precedentes a la libertad de prensa, el diputado asturiano del PP David González Medina solicita tres años y ocho meses de prisión y la inhabilitación para el ejercicio de su profesión durante el mismo periodo de dos periodistas de Vocento por publicar que fue condenado por tráfico de drogas en 2004 y sancionado por consumo de estupefacientes en 2011, informaciones ambas cuya veracidad quedó demostrada.

Quién tiene responsabilidad en datos protegidos obtenidos vía transparencia

Ver "Firmas manuscritas"

La clave es el artículo 15 de Ley 19/2013


Artículo 15. Protección de datos personales.
1. Si la información solicitada contuviera datos personales que revelen la ideología, afiliación sindical, religión o creencias, el acceso únicamente se podrá autorizar en caso de que se contase con el consentimiento expreso y por escrito del afectado, a menos que dicho afectado hubiese hecho manifiestamente públicos los datos con anterioridad a que se solicitase el acceso.
Si la información incluyese datos personales que hagan referencia al origen racial, a la salud o a la vida sexual, incluyese datos genéticos o biométricos o contuviera datos relativos a la comisión de infracciones penales o administrativas que no conllevasen la amonestación pública al infractor, el acceso solo se podrá autorizar en caso de que se cuente con el consentimiento expreso del afectado o si aquel estuviera amparado por una norma con rango de ley.
2. Con carácter general, y salvo que en el caso concreto prevalezca la protección de datos personales u otros derechos constitucionalmente protegidos sobre el interés público en la divulgación que lo impida, se concederá el acceso a información que contenga datos meramente identificativos relacionados con la organización, funcionamiento o actividad pública del órgano.
3. Cuando la información solicitada no contuviera datos especialmente protegidos, el órgano al que se dirija la solicitud concederá el acceso previa ponderación suficientemente razonada del interés público en la divulgación de la información y los derechos de los afectados cuyos datos aparezcan en la información solicitada, en particular su derecho fundamental a la protección de datos de carácter personal.
Para la realización de la citada ponderación, dicho órgano tomará particularmente en consideración los siguientes criterios:
a) El menor perjuicio a los afectados derivado del transcurso de los plazos establecidos en el artículo 57 de la Ley 16/1985, de 25 de junio, del Patrimonio Histórico Español.
b) La justificación por los solicitantes de su petición en el ejercicio de un derecho o el hecho de que tengan la condición de investigadores y motiven el acceso en fines históricos, científicos o estadísticos.
c) El menor perjuicio de los derechos de los afectados en caso de que los documentos únicamente contuviesen datos de carácter meramente identificativo de aquéllos.
d) La mayor garantía de los derechos de los afectados en caso de que los datos contenidos en el documento puedan afectar a su intimidad o a su seguridad, o se refieran a menores de edad.
4. No será aplicable lo establecido en los apartados anteriores si el acceso se efectúa previa disociación de los datos de carácter personal de modo que se impida la identificación de las personas afectadas.
5. La normativa de protección de datos personales será de aplicación al tratamiento posterior de los obtenidos a través del ejercicio del derecho de acceso.

La idea es que en lo marcado en naranja, el órgano tiene que ponderar la protección de datos en la información que facilita, así que en principio no habría problema en divulgar lo obtenido vía transparencia. 
Pero 15.3.5 lo veo como que a mi, tras recibir vía transparencia la documentación que no está publicada de forma activa, me aplica la normativa de protección de datos para compartirlo, de modo que también tengo responsabilidad en cumplir la norma.


Eso enlaza con un tema lateral en otro post: verificación de documentos con CSV. Uno puede borrar datos personales, pero si deja el CSV permite descargar el documento original que los incluye, de modo que los CSV, sin ser datos personales, deben ser borrados, ya que es una puerta abierta a datos personales.


Según respuesta AEPD 6 noviembre 2020 (ver firmas manuscritas), la responsabilidad es de quien lo difunde, no del organismo que pondera.

 

Una idea: si las reglas que aplican a la administración para publicidad activa son las mismas que para solicitudes de acceso (creo recordarlo escrito así en algún CI de CTBG y AEPD), eso se podría interpretar como que las cosas que se han dado vía solicitud de acceso estarían en condiciones de ser publicadas vía publicidad activa.


Firmas manuscritas: mi caso en 2020 y respuesta AEPD

Ver apartado "Quién tiene responsabilidad en datos protegidos obtenidos vía transparencia"

CI/004/2015 Publicidad activa de los datos del DNI y de la firma manuscrita
https://www.consejodetransparencia.es/dam/jcr:936f611d-e6f4-436f-bc3c-6e56a8e38779/C4_2015_firma_manuscrita.pdf

III. CONCLUSIÓN

a) Los organismos y entidades incluidas en el ámbito de aplicación de la Ley deben publicar la identidad de los adjudicatarios de los contratos que suscriban y los convenios con mención a las partes firmantes.

b) Tanto el número de DNI como la firma manuscrita tienen la consideración de dato de carácter personal y, por lo tanto, sería de aplicación lo dispuesto en el artículo 15 de la Ley 19/2013, de 9 de diciembre.

c) Al no tratarse de datos especialmente protegidos ni tener la consideración de meramente identificativos, su publicidad debe ponderarse en atención al interés público que hubiera en su divulgación y a los derechos de sus titulares.

https://ayudaleyprotecciondatos.es/2011/03/15/tratamiento-de-la-firma-en-el-dni-por-representantes-de-empresas/

Informe 0322/2010
El consultante se refiere a si es posible el tratamiento del dato personal del documento nacional de identidad DNI de las personas físicas en cuanto actúan y estampan su firma en los documentos contractuales de empresas, ya que aquellas personas físicas representan a estas en las citadas operaciones.
https://www.aepd.es/es/documento/2010-0322.pdf


Revista digital CEMCI Nº34 abril a junio 2017
Visibilidad de las firmas en el documento administrativo electrónico, ley de transparencia y derechos de los interesados en el procedimiento
Miguel Iglesias Martínez
https://revista.cemci.org/numero-34/pdf/trabajos-de-evaluacion-3-visibilidad-de-las-firmas-en-el-documento-administrativo-electronico-ley-de-transparencia-y-derechos-de-los-interesados-en-el-procedimiento.pdf


25 enero 2020
Planteo consulta en sede AEPD
https://sedeagpd.gob.es/sede-electronica-web/vistas/formConsulta/consulta.jsf 

---
He recibido una notificación de Madrid indicando que al compartir documentos que tienen firmas manuscritas estoy incumpliendo normativa de protección de datos ya que no he pedido consentimiento.
Son documentos obtenidos fundamentalmente vía transparencia, en los que aparecen nombres de funcionarios públicos y en ocasiones sus firmas. En algún caso puntual son documentos publicados por la administración o de algunos trámites que incluyen esas firmas manuscritas.
La notificación es
https://drive.google.com/open?id=1lMIaqNMX6HwSi-DU-PJd42vvC4S2geBs

Dos ejemplos (lo único que no tenía anonimizado era la firma manuscrita)
https://drive.google.com/open?id=0B-t5SY0w2S8iYXpLV21UODBJX1JJX3lpNElEd3RGVVg3TVhN
https://drive.google.com/open?id=0B-t5SY0w2S8ielZBZkNQb0NhWU0

Mi consulta es:
-Qué normativa indica explícitamente que la firma manuscrita es un dato personal y que es sancionable su difusión sin consentimiento
-Estoy eliminando las firmas manuscritas en los documentos según las veo, pero comparto muchos y me llevará tiempo. ¿Podría ser sancionado? En el sitio donde comparto información indicaba explícitamente que eliminaría datos personales si se me indicaba.
-¿Es válida la notificación de Madrid en la que no indica en concreto qué normativa incumplo ni en qué documentos?
-¿Puede Madrid iniciar acciones en nombre de terceros?
-La afirmación "la puesta a disposición de terceros, de documentación relativa a procedimientos en los que estos no son interesados ni afectados, puede ser constitutivo de infracción administrativa." ¿tiene alguna relación con protección de datos?

---

26 enero 2020
Pongo nueva consulta en AEPD
---
Tras poner consulta con Nº registro 003666/2020 y asunto "Protección de datos de firma manuscrita" he visto que pasa todo a mayúsculas y los enlaces que incluía que combinaban mayúsculas y minúsculas no funcionan, por lo que como los citaba puede no entenderse, y pongo nueva consulta, incluyendo un enlace que en mayúsculas sí permite ver los documentos que referenciaba
HTTPS://TWITTER.COM/FIQUIPEDIA/STATUS/1220385026581377025
Añado nuevas cuestiones respecto la consulta anterior:
-En los documentos recibidos vía solicitudes de transparencia, si ya han pasado un filtro para que se me envíen esos datos a mi ¿qué datos debo revisar para anonimizar además de firmas manuscritas? ¿Nombres y apellidos de cargos o funcionarios públicos que realizan trámites es necesario en algún caso? ¿Números de DNI siempre?
---

11 febrero 2020
Respuesta de AEPD vía correo con un adjunto

LE REMITIMOS, EN EL DOCUMENTO ADJUNTO, CONTESTACIÓN A SU CONSULTA SOBRE LA NORMATIVA DE PROTECCIÓN DE DATOS Y LAS COMPETENCIAS DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS.

https://drive.google.com/open?id=1tFHAhaWdE8-PN3amXQoKwUVmWTfkhl3Y

14 febrero 2020
Recibo correo desde no-reply-notifica@correo.gob.es

Le informamos que dispone de una nueva comunicación como TITULAR procedente del organismo AGENCIA ESPAñOLA DE PROTECCION DE DATOS (Agencia Española de Proteccion de Datos) con los siguientes datos:

Titular: ENRIQUE GARCIA SIMON con NIF/NIE ***0368**
Identificador: 41547325e43d92c8db7b
Concepto: Contestación a Consulta

Entrando en sede, tiene fecha de 12 febrero pero es mismo documento recibido día 11.

6 septiembre 2020

Planteo solicitud vía registro electrónico común a AEPD

---

SOLICITO, AMPARÁNDOME EN ARTÍCULO 53.1 DE LEY 39/2015:
-EL ESTADO DE LA TRAMITACIÓN DEL PROCEDIMIENTO ASOCIADO AL CUMPLIMIENTO DE LA CONSULTA PLANTEADA PARA LA
QUE 11 FEBRERO CON CSV APDPF6A35E4FC88FA4CBB6730-60943 SE ME INDICÓ 

"REGISTRO DE ENTRADA: 003666/2020
REGISTRO DE SALIDA: 010565/2020
ACUSAMOS RECIBO DE SU CONSULTA Y LE COMUNICAMOS QUE EL ASUNTO PLANTEADO VA A SER DERIVADO A LA UNIDAD
COMPETENTE DE ESTE ORGANISMO, EN SU CASO, SUBDIRECCIÓN GENERAL INSPECCIÓN DATOS, A LA QUE PODRÁ
DIRIGIRSE EN FUTURAS OCASIONES."
-IDENTIFICAR LAS AUTORIDADES Y PERSONAL BAJO CUYA RESPONSABILIDAD SE HA TRAMITADO O SE TRAMITAN LOS
PROCEDIMIENTOS ASOCIADOS A DICHA CONSULTA.

---

Registro O00007128e2000001071

2 noviembre 2020

Planteando recurrir a CTBG tras silencio, me doy cuenta que AEPD no es territorial, y que se puede poner solicitud  vía portal transparencia estatal.

La pongo con mismo texto: solicitud 001-049634 

6 noviembre 2020

Recibo respuesta AEPD a consulta de enero

https://drive.google.com/file/d/12VWr95eul42LR2YNr1HGWWs2YxT4ZrZY/view?usp=sharing

... se planteaba si documentos obtenidos vía transparencia en los que aparecen
nombres de funcionarios públicos y en ocasiones su firma manuscrita, puede ser sancionable su difusión sin su consentimiento. Sobre esta cuestión se planteaba si la firma manuscrita se trata de un dato de carácter personal. 

....

De la citada definición se pone de manifiesto que el nombre y apellidos de funcionarios públicos y la firma manuscrita tienen la consideración de datos de carácter personal. 

...

En consecuencia, en los supuestos en que proceda atender la solicitud de acceso a información pública, el artículo 15.5 de la LTAIBG, establece expresamente que toda actividad que se lleve a cabo con dichos datos y que suponga un tratamiento de estos a los efectos previstos en la normativa de protección de datos de carácter personal queda íntegramente sometido a sus disposiciones. Ello implica que quienes hayan accedido a los datos, ya sea mediante obtención de copia de los documentos u otro medio y pretendan algún uso de estos, incluida su comunicación o difusión implicará un tratamiento de datos de carácter personal que deberá traer su causa de licitud en alguno de los supuestos establecidos por el artículo 6.1 del RGPD, sea en el consentimiento del interesado, esto es el titular de los datos personales, o en alguno de los otros supuestos en que, conforme a
dicho precepto cabe el tratamiento de los datos personales. Del mismo modo estaría sometido, en tanto que los datos no han sido recabados directamente del interesado, a informar a aquél acerca del tratamiento, conforme a lo establecido en el artículo 14 del aludido Reglamento, a dar cumplimiento a los principios relativos al tratamiento recogidos en el artículo 5 de dicha norma y a atender las
solicitudes de ejercicio de los derechos en los términos previstos en el RGPD. 

En esta respuesta parece haber una inconsistencia con CI4/2015, ya que nombres y apellidos de adjudicatarios sí deben ser publicados, pero el tema es que eso sí es necesario según artículo 6.1b RGPD

https://www.boe.es/buscar/doc.php?id=DOUE-L-2016-80807

Difundir datos de transparencia es un "tratamiento de datos" y hay que tener licitud según artículo 6 RGPD. No menciona transparencia, pero se podría pensar en la transparencia como "interés público" e "interés legítimo perseguido"

e)el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f)el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

 

Cómo divulgar cumpliendo RGPD post-transparencia

Divulgar modificando el original supone citar de alguna manera que se tiene el original 
Se cita documento general de Madrid
 

23 abril 2020
RECOMENDACIONES PARA LA PROTECCIÓN DE DATOS PERSONALES EN   LA PUBLICACIÓN Y/O COMUNICACIÓN DE DOCUMENTACIÓN ADMINISTRATIVA
https://dpd.educa2.madrid.org/web/educamadrid/principal/files/69a6601a-e199-4519-a2eb-192663576204/Recomendaciones/20200423%20Recomendaciones%20-%20%20Censura%20del%20NIF%20en%20un%20PDF%20para%20su%20publicaci%C3%B3n.pdf?t=1587639125676

En consecuencia, se recomienda que los documentos destinados a publicación en Internet, así como los que sean objeto de comunicación como consecuencia de solicitudes de información en cumplimiento  de  la  normativa vigente,  como  es  el  caso  dela transparencia  y  acceso  a  la información  pública  (en  adelante publicación),sean objeto  de ocultación de  los siguientes datos personales:
•Número de identificación personal (NIF, DNI, NIE, Número de Pasaporte o cualquier otro tipo de código alfanumérico identificativo personal) de los interesados.
•En el caso de que el documento contenga firmas electrónicas deberá ocultarse el NIF cuando éste sea visible en el recuadro de firma.
•Igualmente deberán ocultarse, en su caso, las firmas manuscritas y rúbricas o “visé”.
•El CVS(código de verificación seguro) de todas las páginas de los documentos firmados electrónicamente,que posibilita  obtener  el documento  electrónico  original.Si  aparece códigos de barras éstos también deberán ser ocultados en todas las páginas.

Para ello es necesario obtener, a partir del documento original en formato PDF,una imagen con un formato PDF puramente gráfico, una vez enmascarados los datos personales que deben ser ocultados según la relación anterior.
En el documento generado, una vez enmascarados todos los datos personales, deberá constar expresamente la advertencia de que el original contiene todas las firmas auténticas.

>Se citan herramientas:

Anexo I: Enmascaramiento de un documento PDF para eliminar datos personales antes de su publicación o comunicación

Para enmascarar los datos personales en un documento PDF es necesario editarlo para tacharlos superponiendo una franja o rectángulo que impida su lectura. Existen varias alternativas:
• Editarlo con una versión profesional del programa Acrobat DC Profesional, usando la herramienta “censura” ...

• Editarlo con el programa ABBYY PDF Transformer+, proporcionado por MadridDigital, que permite editar documentos PDF....

• Editarlo con la aplicación LibreOffice. ...En la aplicación LibreOfficeDraw, abrir el documento PDF mediante el menú “Archivo”. 2) Activar la barra de herramientas “Censura”...

 

Ese documento de recomendaciones es un ejemplo concreto en el que no se siguen las recomendaciones: ver apartado "Quitar firmas digitales"
 

Un ejemplo concreto de enero 2021
Sobre el tema de RGPD y transparencia, un ejemplo reciente
"se han ocultado los datos personales protegidos y los códigos que permitían acceder al original"
Siguen saliendo nombre y apellidos de persona que lo firma, DG de Salud Pública.
 
Al ser DG general será nivel superior nivel a 28, y por lo tanto prevalece transparencia sobre privacidad según lo comentado.
 
Veo que se ha tapado Ref: desconozco que la referencia de registro en Madrid permite acceder al original, no es un CSV. Creo recordar que en algún caso se podía recuperar documento original usando Ref + fecha y hh:mm:ss de registro, pero no recuerdo enlace.
 

 



Quitar CSV

Quitar el CSV es lo primero a realizar si el documento tiene datos personales, ya que el CSV permite recuperar documento original con todos los datos que contenga. 

A veces el CSV viene de varias maneras, que pueden ocurrir varias al mismo tiempo, y hay que eliminar todas: como conjunto de letras y números (una o varias veces), como código de barras y como código QR.  

A veces se incluye un documento dentro de otro.


 



Ver post Verificación de documentos con CSV

7 mayo 2018
Hacer pública la sentencia de “La Manada” con el código CSV es ilegal
https://elderecho.com/hacer-publica-la-sentencia-de-la-manada-con-el-codigo-csv-es-ilegal

Quitar el CSV supone que lleva a que no se puede "demostrar que se tiene el original", pero es imprescindible como se ve en el caso anterior. Si el documento no tiene datos personales, no habría problema.

Quitar nombres y apellidos

Es algo comentado en el post Transparencia y protección de datos: (I) RGPD PRE-transparencia   

Hay ciertos nombres que no hay por qué eliminar, pero hay que tenerlo presente. 

Casi siempre va a aparecer al menos un nombre y apellidos, que es el del funcionario que envía la resolución de transparencia, y se puede ver que en resoluciones de Consejo de Transparencia se anonimiza en el pie para quitarlo.


Quitar direcciones, físicas y correos electrónicos

Si son correos personales son claramente datos personales y deben ser eliminados. Si son correos "públicos" de organizaciones administrativas o correos de un empleado público dentro de la organización de la administración no debería haber problema, aunque de nuevo enlazaría con "el nivel jerárquico" del puesto dentro de la administración. 

Hay sitios como CENDOJ donde se publican datos por transparencia, pero hay limitaciones en divulgación de sentencias


Sancionada por publicar una sentencia favorable en redes sociales
Aunque se trate de un asunto personal, podía haber hecho uso de su libertad de expresión sin necesidad de difundir datos íntimos

https://cincodias.elpais.com/cincodias/2021/06/24/legal/1624529778_024727.html

En este asunto concreto, una mujer subió a sus redes la sentencia íntegra de un juicio de faltas en el que fue parte. No solo se limitó a transmitir el fallo, favorable a sus intereses, sino que la publicó entera, sin limitación alguna. De esa forma, aparecían los datos personales del condenado: domicilio, teléfono … e incluso la concurrencia de un retraso mental moderado. Según el magistrado, esto no es proporcional.

Quitar NIF

En general hay que quitarlo. Ver "firmas manuscritas". Se cita CI004/2015


b) Tanto el número de DNI como la firma manuscrita tienen la consideración de dato de carácter personal y, por lo tanto, sería de aplicación lo dispuesto en el artículo 15 de la Ley 19/2013, de 9 de diciembre.

c) Al no tratarse de datos especialmente protegidos ni tener la consideración de meramente identificativos, su publicidad debe ponderarse en atención al interés público que hubiera en su divulgación y a los derechos de sus titulares.

Sobre que "el DNI ya sea público"

https://twitter.com/SecuoyaGroup/status/1437698837037060099

La Agencia Española de Protección de Datos confirma la sanción de 3.000 € a una empresa, por mandar el número de DNI de un trabajador a otro. La empresa alegó que el DNI ya era público https://aepd.es/es/documento/reposicion-ps-00360-2020.pdf #lopd #rgpd #aepd

 

Ofuscación NIF

Es algo que se puede aplicar también a RGPD PRE-transparencia 

https://boe.es/buscar/act.php?id=BOE-A-2018-16673#da-7

Disposición adicional séptima. Identificación de los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos.

1. Cuando sea necesaria la publicación de un acto administrativo que contuviese datos personales del afectado, se identificará al mismo mediante su nombre y apellidos, añadiendo cuatro cifras numéricas aleatorias del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente. Cuando la publicación se refiera a una pluralidad de afectados estas cifras aleatorias deberán alternarse.

 

 

ORIENTACIÓN PARA LA APLICACIÓN PROVISIONAL DE LA DISPOSICIÓN ADICIONAL SÉPTIMA DE LA LOPDGDD

https://www.aepd.es/es/media/docs/orientaciones-da7.pdf

La   publicación   de documento   nacional   de   identidad,   número   de   identidad   de extranjero, pasaporte o documento equivalente podrá realizarsede la siguiente forma:

•Dado  un  DNI  con  formato  12345678X,  se  publicarán  los  dígitos que  enel formato  que  ocupen  lasposiciones  cuarta,quinta,  sexta  y  séptima.En  el ejemplo: ***4567**.

•Dado  un  NIE  con  formato  L1234567X,  se  publicarán  los  dígitos  que  en  el formato   ocupen   las posiciones, evitando el   primer carácter alfabéticos, cuarta, quinta, sexta y séptima.En el ejemplo: ****4567*. 


Quitar metadatos

Hay ficheros que pueden tener datos no visibles. Por ejemplo un pdf puede tener nombre y apellidos de autor, aparte de firmas digitales.

Un ejemplo

https://twitter.com/FiQuiPedia/status/1296845941996216320


Quitar firmas digitales

Además de nombre y apellidos y NIF visible, al firmar digitalmente el documento puede incluirlos en los metadatos.  

 

Un ejemplo

https://twitter.com/FiQuiPedia/status/1268662999583272967

A la espera @AEPD_es, hoy veo documento 23 abril de recomendaciones @educacmadrid  que indica deben eliminarse firmas manuscritas junto a DNI de firma digital, en un documento publicado con firma digital y DNI en metadatos ¿que no sigue sus recomendaciones?

RECOMENDACIONES PARA LA PROTECCIÓN DE DATOS PERSONALES EN   LA PUBLICACIÓN Y/O COMUNICACIÓN DE DOCUMENTACIÓN ADMINISTRATIVA
https://dpd.educa2.madrid.org/web/educamadrid/principal/files/69a6601a-e199-4519-a2eb-192663576204/Recomendaciones/20200423%20Recomendaciones%20-%20%20Censura%20del%20NIF%20en%20un%20PDF%20para%20su%20publicaci%C3%B3n.pdf?t=1587639125676

En el momento de escribir esto, junto a nombre y apellidos se puede ver NIF en firma digital, que empieza por 09 y acaba en 6T.

Quitar firmas manuscritas

Deben quitarse de manera general, aunque no lo debe hacer un ciudadano si el documento ya está compartido por publicidad activa y tiene las firmas.

En documento citado 23 abril 2020

•Igualmente deberán ocultarse, en su caso, las firmas manuscritas y rúbricas o “visé”.

Ejemplo: en este documento de AEPD aparecen nombre y apellidos y firmas manuscrita, aunque precisamente el documento habla de la buena práctica de eliminarlas: se han decidido difundir con esos datos personales de manera activa, y no hay problema en su redifusión.

Criterio 4/2015: Publicidad activa sobre los datos del DNI y la firma manuscrita

https://www.consejodetransparencia.es/dam/jcr:936f611d-e6f4-436f-bc3c-6e56a8e38779/C4_2015_firma_manuscrita.pdf


 
Curiosidad: el firmante en 2015 como director de AEPD tiene en 2020 el cargo de la otra firma, presidente de  CTBG

De manera similar Madrid publica muchos convenios escaneados con las firmas manuscritas

http://gestiona.madrid.org/rcnv_app/secure/buscador/buscador.jsf

Licitud de la divulgación de datos en este blog

El tema de divulgar datos en este blog, reiterando mi disposición a retirar datos en cumplimiento RGPD si se me argumenta (como hice en enero con firmas), enlaza con la licitud de la prensa en divulgación.
 
Pongo artículos que he "generado" en prensa en 2020:
https://www.eldiario.es/sociedad/comunidad-madrid-indra-desarrollo-andalucia_1_1091727.html
 
 
 
 

He publicado nombres y apellidos, considero que asociados a procesos públicos en los que considero que no solo es lícito que se publiquen, sino que podrían/deberían publicarse como parte de publicidad activa y transparencia.

Visión combinada: transparencia a prueba de RGPD 

Intentando ver algo positivo de las limitaciones a difundir que impone RGPD, pienso que dado que pone una limitación en nivel 28 para que prevalezca transparencia sobre RPGD en funcionarios, se me ocurre pedir datos de comisiones de servicio para esos niveles, que sería una petición " a prueba de RGPD". Por ejemplo directores DAT que son docentes (y docentes son nivel 23 y 24): el nivel del puesto debería estar en tabla RPTs.

Comentarios

Entradas populares de este blog

Ratios en educación: normativa

Oposiciones: transparencia enunciados

Configurar cliente para leer correo EducaMadrid