Noticia para divulgación en Público
1 – Falta de adaptación eficaz del principio de minimización de datos
Aquí extracto del procedimiento abierto ante la CE:
A) IDENTIFICACIÓN EN EL PROCEDIMIENTO ADMINISTRATIVO
Con la Ley 39/2015 (en adelante, LPAC), se incrementó la práctica consistente en la recogida ingente de datos personales cuya motivación y necesidad es de difícil justificación en el marco del RGPD.
El art. 11.1 LPAC requiere acreditar la identidad de la ciudadanía “con carácter general, para realizar cualquier actuación prevista en el procedimiento administrativo, es decir, cualquier trámite ante esta.
Además, el art. 9LPAC fija los requisitos de dicha identificación debiendo proporcionarse el DNI (art. 8 de la Ley Orgánica 4/2015) o documento equivalente. En el ámbito digital, se exige la identificación por medio de certificados electrónicos u otros medios que las Administraciones establezcan.
El Gobierno de España ha recalcado recientemente la obligatoriedad de esta identificación (DOC.1).
B) IDENTIFICACIÓN PARA TRÁMITES DE LA LEY DE TRANSPARENCIA
El derecho de las personas a acceder a la información pública está reconocido tanto en el ámbito internacional como europeo y en España se regula por la Ley 19/2013 (en adelante, LTAIBG), desarrollando el art.105.b) de la Constitución. Se configura como un derecho universal disponible a “todas las personas” sin discriminación por motivo de nacionalidad o residencia, edad, formación, recursos, circunstancias personales o condición o situación social.
El art. 17.2LTAIBG establece que la solicitud de acceso debe presentarse por cualquier medio que permita tener constancia de la identidad del solicitante. Si bien es cierto que no establece la comprobación de la identidad por medio del DNI o certificados electrónicos, en este aspecto se aplica de manera supletoria la LPAC.
En comparaciones legislativas (DOCS. 2 y 3), se observa que en la mayoría de países la solicitud de información pública puede realizarse sin identificarse (ni uso de certificados/firmas electrónicas), utilizando una palabra de reconocimiento distinta del nombre real, siendo suficiente disponer de una dirección de correo electrónico. La situación en España va en sentido contrario a estas dinámicas y al espíritu del RGPD.
El Consejo de Transparencia y Buen Gobierno (en adelante, CTBG) admitió que los sistemas de identificación electrónica pueden percibirse como una traba para el ejercicio del derecho de acceso (DOC. 4) porque pueden resultar de difícil uso, además de discriminar (DOC.4) tanto a personas jurídicas sin DNI ni certificados electrónicos, como ciudadanos españoles residentes en el extranjero sin identificación electrónica, personas extranjeras sin DNI o certificados y europeas porque no todos los países de la UE/ EEE están adheridos a la plataforma STORK.
Además, algunas solicitudes se refieren a información que debería haber sido publicada por la Administración; es ilógico requerir al solicitante que se identifique cuando debería poder acceder a ella libremente.
Finalmente, debe tenerse presente que la falta de identificación no constituye ni un límite ni una causa de inadmisión de la solicitud en los arts. 14, 15 y 18 LTAIBG, las Administraciones debiendo decidir sobre las solicitudes de acceso de manera objetiva, tomando sólo en consideración la información que se solicita dichos límites sin que deba justificarse ningún interés en la solicitud (art.17.3LTAIBG).
Art. 5.1. Los datos personales serán:
[…] c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (« minimización de datos »); […]
Considerando (39)
[…]Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Ello requiere, en particular, garantizar que se limite a un mínimo estricto su plazo de conservación.[…] Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios. […]
Disposiciones sobre los tratamientos que no requieren identificación del RGPD:
Art. 11.1. Si los fines para los cuales un responsable trata datos personales no requieren o ya no requieren la identificación de un interesado por el responsable, este no estará obligado a mantener, obtener o tratar información adicional con vistas a identificar al interesado con la única finalidad de cumplir el presente Reglamento.[…]
Considerando (57)
Si los datos personales tratados por un responsable no le permiten identificar a una persona física, el responsable no debe estar obligado a obtener información adicional para identificar al interesado con la única finalidad de cumplir cualquier disposición del presente Reglamento. […] La identificación debe incluir la identificación digital de un interesado, por ejemplo mediante un mecanismo de autenticación, como las mismas credenciales, empleadas por el interesado para abrir una sesión en el servicio en línea ofrecido por el responsable.
Principios de protección de datos desde el diseño y por defecto del RGPD:
Art. 25.
1. Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.
2. El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad.[…]
Considerando (78)
[…] el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto. Dichas medidas podrían consistir, entre otras, en reducir al máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales. […] Al desarrollar, diseñar, seleccionar y usar aplicaciones, servicios y productos que están basados en el tratamiento de datos personales o que tratan datos personales para cumplir su función, ha de alentarse a los productores de los productos, servicios y aplicaciones a que tengan en cuenta el derecho a la protección de datos cuando desarrollan y diseñen estos productos, servicios y aplicaciones, y que se aseguren, con la debida atención al estado de la técnica, de que los responsables y los encargados del tratamiento están en condiciones de cumplir sus obligaciones en materia de protección de datos. Los principios de la protección de datos desde el diseño y por defecto también deben tenerse en cuenta en el contexto de los contratos públicos.
Además, el RGPD establece que en el diseño y configuración un tratamiento de datos personales, debe garantizarse que por defecto sólo sean objeto de tratamiento los datos necesarios, estableciendo a este efecto que los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios y que los datos identificativos no deben recogerse al solo fin de cumplir con el citado reglamento.
En el caso que nos ocupa, el legislador es quien diseñó el tratamiento consistente en la recogida y comprobación de los datos identificativos de la ciudadanía, en la LPAC y la LTAIBG, lo cual conlleva que las administraciones requieran por defecto más datos de los necesarios aplicando estas leyes, además de órdenes y otras disposiciones adoptadas bajo su régimen.
En el proceso de elaboración de la LOPDGDD el legislador revisó estas normas pero no en el sentido que aquí se expone sin asegurar que el derecho interno no colisionaba con el europeo ni limitaba su efectividad en las relaciones entre la ciudadanía y la Administración en las cuales existe una asimetría evidente.
En concreto, las disposiciones nacionales que se consideran contrarias al derecho europeo son las siguientes:
• Arts. 9 y 11 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
• Art. 17.2.a) de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno.
Asimismo, órdenes, circulares, formularios y protocolos establecidos por parte de la Administración General del Estado subordinados a estas reglas. Ejemplos sin ánimo exhaustivo:
• Art. 16.4 de la Orden ECC/2502/2012, de 16 de noviembre, por la que se regula el procedimiento de presentación de reclamaciones ante los servicios de reclamaciones del Banco de España, la Comisión Nacional del Mercado de Valores y la Dirección General de Seguros y Fondos de Pensiones.
• Anexo 3 de la Circular 7/2013, de 25 de septiembre, de la Comisión Nacional del Mercado de Valores, por la que se regula el procedimiento de resolución de reclamaciones y quejas contra empresas que prestan servicios de inversión y de atención a consultas en el ámbito del mercado de valores.
Suprimir este requisito para cumplir con los principios del RGPD, salvo cuando sea esencial para tramitar la solicitud, como previsto en las normas internacionales, serviría para ser coherentes con la regulación internacional, facilitaría su ejercicio, garantizaría su universalidad, y reduciría la burocracia para su ejercicio.
Sin ánimo exhaustivo, confirmando nuestra posición y tendencia en la práctica administrativa y legislativa, encontramos:
• El Ministerio de Presidencia señaló en 2017 su voluntad de simplificar el sistema de identificación de los solicitantes de información (DOC. 5), pero todavía no ha emprendido ninguna actuación al respecto.
• El Reglamento (UE) 910/2014 sobre servicios de identificación electrónica y servicios fiduciarios para transacciones electrónicas en el mercado interior que recuerda que la autenticación debe implicar exclusivamente el tratamiento de los datos identificativos adecuados, pertinentes y no excesivos para la concesión del acceso al servicio en línea de que se trate (considerando 11) y establece la posibilidad de utilizar seudónimos (art. 5) o niveles más bajos de identificación (considerando 15).
• El Buzón Ético del Ayuntamiento de Barcelona y sus réplicas (DOC. 6): En la labor de reivindicación de la importancia de proteger a aquellos que revelan abusos para el interés general (whistleblowers), nuestra organización ha instalado por primera vez en una institución pública un buzón de alerta contra abusos sistémicos completamente anónimo, el cual se ha replicado y continúa replicándose en otras instituciones españolas y se recoge en la Proposición de Ley de Protección Integral de los Alertadores de nuestra organización, para la transposición de la Directiva (UE) 2019/1937, de 23 de octubre de 2019, del Parlamento Europeo y del Consejo, registrada en el Congreso de los Diputados (DOC.7).
• Con la previsión de la aprobación de la mencionada Directiva (UE) 2019/1937, la LOPDGDD permitió la presentación de denuncias anónimas a través de los sistemas de denuncias internas en su art.24.1.
• Siguiendo este precepto y el camino abierto por nuestra organización, la Agencia Española de Protección de Datos, con la aprobación de su Código Ético en enero de 2020 (DOC.8), incorporó un canal de consulta y alerta en los que no es preciso indicar la identidad de quién consulta o alerta.
• Práctica del Consejo General del Poder Judicial (en adelante, CGPJ): Antes de la entrada en vigor de la LTAIBG el CGPJ puso en marcha su Portal de Transparencia sujetándose a los estándares internacionales fijados en el Convenio n.º 205 del Consejo de Europa. El 18 de noviembre de 2014 CGPJ adoptó un “Protocolo de Integración de la gestión de solicitudes de información de los ciudadanos en el funcionamiento de la organización interna del CGPJ” (DOC.9) donde establece en su punto 1.1.1: “El CGPJ tramitará todas las solicitudes de información con independencia de los datos de identificación proporcionados. Sólo cuando se requiera un acceso cualificado (p. ej, si se solicita el acceso presencial a una gran cantidad de documentación) se exigirá una identificación.” Justifica que no se requiera identificación del siguiente modo: “Aunque la Ley 19/2013 exige la identificación del solicitante, la falta de necesidad de identificación del solicitante es un estándar internacionalmente fijado, al entenderse que el acceso a la información pública es un derecho fundamental de carácter universal en cuya garantía priman las obligaciones de transparencia de los poderes públicos frente a cualquier requisito impuesto al ciudadano que solicita el acceso”.
• Práctica del Ayuntamiento de Madrid: En la Ordenanza de Transparencia, aparte de prever el régimen general aplicable de acuerdo con la LTAIBG, se estableció la posibilidad de solicitar el acceso a información pública sin identificación del solicitante, quien sólo debe facilitar una dirección de correo electrónico (DOC.10).
• Práctica de la Federación Española de Municipios y Provincias: art. 26.1 de su “Ordenanza tipo de transparencia, acceso a la información y reutilización” (DOC. 11).
La Comisión solo puede investigar estos casos si la infracción se debe a la aplicación de la legislación de la UE en el ámbito nacional.
Artículo 7. Respeto de la vida privada y familiar
Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de sus comunicaciones.
Artículo 8. Protección de datos de carácter personal
1. Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan.
2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación.
3. El respeto de estas normas quedar• sujeto al control de una autoridad independiente.
Artículo 52. Alcance de los derechos garantizados.
1. Cualquier limitación del ejercicio de los derechos y libertades reconocidos por la presente Carta debe ser establecida por la ley y respetar el contenido esencial de dichos derechos y libertades. Sólo se podrán introducir limitaciones, respetando el principio de proporcionalidad, cuando sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o la necesidad de protección de los derechos y libertades de los demás.
DOC.1: Respuesta a pregunta escrita congreso 184/5275, emitida el 25 de marzo de 2020 http://www.congreso.es/l14p/e1/e_0018177_n_000.pdf
DOC.2: Estudio comparado sobre normativa internacional en materia de derecho de acceso a la información pública
https://www.consejodetransparencia.es/ct_Home/dam/jcr:38363e0e-62b9–40db-b726–419e2bf3dbe2/Estudio%20comparado%20sobre%20normativa%20internacional.epub
DOC.3: Informe sobre los requisitos de identificación de los solicitantes de acceso a la información pública de Emilio Guichot Reina, realizado por encargo del Consejo de Transparencia y Buen Gobierno, https://www.consejodetransparencia.es/dam/jcr:977fc69c-b6a9–4df6–90d8–25d5b75993a9/Informe_requisitos_identificacion.pdf
DOC.4: páginas 103–104 de la Memoria Anual del Consejo de Transparencia y Buen Gobierno de 2015 https://www.consejodetransparencia.es/dam/jcr:b4186ab2–141b-464f-99ac-156c2587ffeb/memoria_completa.pdf
DOC.5: III Plan de Acción de España 2017–2019 de la Alianza para el Gobierno Abierto, de 27 de junio de 2017, páginas 23, 29 y 59,
https://transparencia.gob.es/transparencia/dam/jcr:74d66aee-760c-4962–983e-0b250fb583b8/2017_Junio_Spain_III_Plan_GA_OGP_vf.pdf
DOC.6:
https://ajuntament.barcelona.cat/bustiaetica/es
DOC.8: https://www.aepd.es/sites/default/files/2020–01/codigo-etico.pdf
• Respuestas de consultas realizadas a administraciones públicas que consideraron excesivos los datos recogidos (Documento Nacional de Identificación) para algunos de los trámites mencionados en la presente denuncia.
¿Autorizas a la Comisión a revelar tu identidad en sus contactos con la Administración a la que se refiere tu denuncia?
En efecto, en la LOPDGDD solo se menciona la libertad de expresión en relación al derecho de rectificación (art. 85–86) y se deduce en relación con el derecho a supresión y olvido (art. 93–94). Ambos casos resultan muy circunscritos y en ningún caso despliegan completamente la conciliación de derechos exigida en el art. 85 del RGPD.
Los efectos de esta omisión ya han podido observarse en el ámbito académico español, cuando la Universidad de Alicante decidió eliminar de los resultados de búsqueda de buscadores como Google, tras una petición realizada vía la Ley de Protección de Datos, el nombre de Antonio Luis Baena Tocón, alférez del Ejército franquista que ejerció de secretario judicial en uno de los consejos militares que condenaron a muerte al poeta Miguel Hernández, de varios textos firmados por el catedrático Juan Antonio Ríos Carratalá. Finalmente, la Universidad rectificó y decidió no eliminar los resultados de búsqueda al considerar que el nombre y actuación del alférez era información de interés público, elaborada con fines de investigación histórica (https://web.ua.es/es/actualidad-universitaria/2019/julio19/29–31/la-universidad-de-alicante-mantendra-el-nombre-de-baena-tocon-en-su-repositorio.html).
Relevantes para el caso que se presenta son las declaraciones que Margaitis Schinas hizo como portavoz de la Comisión Europea (https://audiovisual.ec.europa.eu/en/video/I-163519):
“El derecho a la protección de datos personales no es un derecho absoluto. El artículo 85 del Reglamento General de Protección de Datos indica claramente que el derecho a la protección de datos debe equilibrarse con las libertades de expresión e información. Utilizar el Reglamento General de Protección de Datos contra estos dos otros derechos fundamentales sería un abuso claro de la regulación.”
Artículo 85. Tratamiento y libertad de expresión y de información
1. Los Estados miembros conciliarán por ley el derecho a la protección de los datos personales en virtud del presente Reglamento con el derecho a la libertad de expresión y de información, incluido el tratamiento con fines periodísticos y fines de expresión académica, artística o literaria.
2. Para el tratamiento realizado con fines periodísticos o con fines de expresión académica, artística o literaria, los Estados miembros establecerán exenciones o excepciones de lo dispuesto en los capítulos II (principios), III (derechos del interesado), IV (responsable y encargado del tratamiento), V (transferencia de datos personales a terceros países u organizaciones internacionales), VI (autoridades de control independientes), VII (cooperación y coherencia) y IX (disposiciones relativas a situaciones específicas de tratamiento de datos), si son necesarias para conciliar el derecho a la protección de los datos personales con la libertad de expresión e información.
3. Cada Estado miembro notificará a la Comisión las disposiciones legislativas que adopte de conformidad con el apartado 2 y, sin dilación, cualquier modificación posterior, legislativa u otra, de las mismas.
Considerando (153)
El Derecho de los Estados miembros debe conciliar las normas que rigen la libertad de expresión e información, incluida la expresión periodística, académica, artística o literaria, con el derecho a la protección de los datos personales con arreglo al presente Reglamento. El tratamiento de datos personales con fines exclusivamente periodísticos o con fines de expresión académica, artística o literaria debe estar sujeto a excepciones o exenciones de determinadas disposiciones del presente Reglamento si así se requiere para conciliar el derecho a la protección de los datos personales con el derecho a la libertad de expresión y de información consagrado en el artículo 11 de la Carta. Esto debe aplicarse en particular al tratamiento de datos personales en el ámbito audiovisual y en los archivos de noticias y hemerotecas. Por tanto, los Estados miembros deben adoptar medidas legislativas que establezcan las exenciones y excepciones necesarias para equilibrar estos derechos fundamentales. Los Estados miembros deben adoptar tales exenciones y excepciones con relación a los principios generales, los derechos del interesado, el responsable y el encargado del tratamiento, la transferencia de datos personales a terceros países u organizaciones internacionales, las autoridades de control independientes, la cooperación y la coherencia, y las situaciones específicas de tratamiento de datos. Si dichas exenciones o excepciones difieren de un Estado miembro a otro debe regir el Derecho del Estado miembro que sea aplicable al responsable del tratamiento. A fin de tener presente la importancia del derecho a la libertad de expresión en toda sociedad democrática, es necesario que nociones relativas a dicha libertad, como el periodismo, se interpreten en sentido amplio.
Considerando (4)
El tratamiento de datos personales debe estar concebido para servir a la humanidad. El derecho a la protección de los datos personales no es un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad. El presente Reglamento respeta todos los derechos fundamentales y observa las libertades y los principios reconocidos en la Carta conforme se consagran en los Tratados, en particular el respeto de la vida privada y familiar, del domicilio y de las comunicaciones, la protección de los datos de carácter personal, la libertad de pensamiento, de conciencia y de religión, la libertad de expresión y de información, la libertad de empresa, el derecho a la tutela judicial efectiva y a un juicio justo, y la diversidad cultural, religiosa y lingüística.
En el caso español, la Ley Orgánica 3/2018 de Protección de Datos y garantía de los derechos digitales prevé que “Todos tienen derecho a la libertad de expresión en Internet”, pero no hay previsión alguna sobre la conciliación de estas libertades con el derecho a la protección de datos personales en el sentido dictado por el RGPD. Con este gesto, el poder legislativo deja a merced de las Autoridades de Protección de Datos y de los jueces y tribunales este deber de conciliación, que deberá realizarse en cada caso concreto, y no legislativamente como manda el RGPD.
La Comisión solo puede investigar estos casos si la infracción se debe a la aplicación de la legislación de la UE en el ámbito nacional.
Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de sus comunicaciones.
Artículo 8. Protección de datos de carácter personal
1. Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan.
2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación.
3. El respeto de estas normas quedar• sujeto al control de una autoridad independiente.
Artículo 11. Libertad de expresión y de información
1. Toda persona tiene derecho a la libertad de expresión. Este derecho comprende la libertad de opinión y la libertad de recibir o de comunicar informaciones o ideas sin que pueda haber injerencia de autoridades públicas y sin consideración de fronteras.
2. Se respetan la libertad de los medios de comunicación y su pluralismo.
Artículo 52. Alcance de los derechos garantizados.
1. Cualquier limitación del ejercicio de los derechos y libertades reconocidos por la presente Carta debe ser establecida por la ley y respetar el contenido esencial de dichos derechos y libertades. Sólo se podrán introducir limitaciones, respetando el principio de proporcionalidad, cuando sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o la necesidad de protección de los derechos y libertades de los demás.
• Caso en otro país de la Unión.
¿Autorizas a la Comisión a revelar tu identidad en sus contactos con la Administración a la que se refiere tu denuncia?