17 julio 2018

Comunicación de datos personales por las Administraciones Públicas en el RGPD

  • Las previsiones generales de la normativa administrativa interna a la luz de las exigencias del nuevo Reglamento

Entre las múltiples formas de tratamiento de datos personales que llevan a cabo las Administraciones Públicas, uno de los más relevantes y con mayor impacto potencial es la que el nuevo Reglamento General de Protección de Datos (RGPD)[1] califica como “comunicación por transmisión” a terceros y que, como toda modalidad de tratamiento, debe ampararse en alguno de los criterios de licitud previstos en el art. 6 del propio Reglamento.

Tan frecuente como la comunicación de datos personales entre Administraciones basada en el consentimiento previo y expreso de su titular (pensemos, por ejemplo, en los supuestos tradicionales de autorizaciones otorgadas para que la Administración que tramita un expediente solicite determinados datos a las autoridades fiscales o de la seguridad social), lo serán también aquellas comunicaciones amparadas en “el cumplimiento de una obligación legal aplicable al responsable del tratamiento” (art.6.1 c) RGPD) y en “el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento” (art.6.1 e) RGPD).

En los dos últimos casos mencionados el RGPD exige la existencia de una determinada base jurídica[2] (el Derecho de la Unión o el Derecho del Estado miembro aplicable al responsable del tratamiento), y no solo eso, se impone un determinado grado o suficiencia de predeterminación normativa que alcanza en todo caso a la especificación de la finalidad del tratamiento. Por otra parte, dicha base jurídica preceptiva ha de cumplir un objetivo de interés público y ser proporcional al fin legítimo perseguido.

Entre los contenidos que habrá de especificar el Derecho de la Unión y el Derecho de los Estados miembros se encuentra el relativo a la determinación de “las entidades a las que se pueden comunicar datos personales y los fines de tal comunicación” (art.6.3, párrafo segundo, RGPD); no en vano, una de las facultades que integran el derecho de acceso de los interesados es la de conocer “los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales” (art. 15.1 c) RGPD), siendo ésta una de las informaciones objeto del “registro de las actividades de tratamiento” (art.30.1 d) RGPD) en aquellos supuestos en que tal registro sea preceptivo, como es el caso de las Administraciones Públicas que cuenten con más de 250 empleados o en los demás supuestos previstos en el art. 30.5 RGPD.

Por lo que respecta a nuestro derecho interno, la normativa sobre régimen general de la Administración recientemente aprobada (Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público) cumple escuetamente con las mencionadas exigencias al limitarse a prever la obligación genérica de cada Administración de facilitar al resto de Administraciones Públicas los datos relativos a los interesados que obren en su poder, con los únicos condicionantes de que especifiquen “las condiciones, protocolos y criterios funcionales o técnicos necesarios para acceder a dichos datos con las máximas garantías de seguridad, integridad y disponibilidad” (art. 155.1) y de que dicha disponibilidad de datos ha de estar “limitada estrictamente a aquellos que son requeridos a los interesados por las restantes Administraciones para la tramitación y resolución de los procedimientos y actuaciones de su competencia, de acuerdo con la normativa reguladora de los mismos” (art. 155.2),  previsiones que habrán de completarse con las contenidas en la Ley Orgánica de Protección de Datos y su normativa de desarrollo.

Mención especial merecen los supuestos contemplados en el art. 28.2 y 3 de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas, precepto en el que se permite tanto la comunicación entre Administraciones de datos personales de los administrados como de documentos administrativos que los contengan, siempre que los interesados hayan prestado su consentimiento para dicha comunicación. El problema radica en que el citado precepto, además, presume el consentimiento del interesado “salvo que conste en el procedimiento su oposición expresa o la ley especial aplicable requiera consentimiento expreso”.

A nuestro juicio, esa última previsión de nuestro derecho interno vulneraría la exigencia de consentimiento explícito (y correlativa prohibición de consentimientos tácitos o presuntos) que se desprende de los arts. 4, 6 y 9 del RGPD. En este sentido el   legislador bien podría haber optado por amparar la comunicación de datos personales en los criterios de “cumplimiento de una obligación legal aplicable al responsable del tratamiento” o de “cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento” (art.6.1 c) y e) RGPD), como por otro lado prevé el art. 6.2 de la LOPD (“cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias”), pero al basar la licitud de la comunicación en el consentimiento del interesado entendemos debe adecuarse a las nuevas exigidas contenidas en el RGPD.  

Finalmente el RGPD introduce una novedosa disposición respecto de la comunicación al público de datos personales contenidos en documentos oficiales por razones de transparencia o información administrativa.

En concreto, el art.86 RGPD parte del principio de que la comunicación a tales efectos pueda tener la consideración de “misión de interés público”, presunción que impediría una regulación interna en materia de protección de datos basada en criterios de exclusión absoluta de tratamiento. Por otro lado el citado precepto impone la necesaria conciliación entre el derecho de acceso de los ciudadanos a los documentos públicos y el derecho a la protección de los datos personales, previsión que junto con los criterios de ponderación de finalidades de tratamiento distintas, previstos en el art.6.4 RGPD, habrá de determinar la necesaria adecuación del derecho interno en esta materia, constituida esencialmente en nuestro caso por la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno.

[1] apdo. 2 del art. 4 RGPD

[2] art. 6.3 RGPD

Javier Núñez Seoane. Abogado

PROLEY ABOGADOS. Socio ENATIC

@abotgado_es

 

Comparte: