Mig any després de l’inici de l’aplicació plena del nou Reglament general europeu de protecció de dades (RGPD), s’ha aprovat la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (LOPDGDD). Casualment —o potser no—, la publicació al BOE d’aquesta llei orgànica va coincidir amb el dia de la Constitució.

Aquesta nova llei té per objecte el dret fonamental de les persones físiques a la protecció de dades personals, emparat per l’article 18.4 de la Constitució, en el qual es disposa que “la llei limitarà l’ús de la informàtica per garantir l’honor i la intimitat personal i familiar dels ciutadans i el ple exercici dels seus drets”. Sobre la base d’aquest precepte, en la Sentència 254/1993, de 20 de juliol, el Tribunal Constitucional argumentava que s’havia incorporat “una nueva garantía constitucional, como forma de respuesta a una nueva forma de amenaza concreta a la dignidad y a los derechos de la persona, de forma en último término no muy diferente a como fueron originándose e incorporándose históricamente los distintos derechos fundamentales. En el presente caso estamos ante un instituto de garantía de otros derechos, fundamentalmente el honor y la intimidad, pero también de un instituto que es, en sí mismo, un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos, lo que la Constitución llama “la informática”. I després afegia que “la garantía de la intimidad adopta hoy un contenido positivo en forma de derecho de control sobre los datos relativos a la propia persona. La llamada ‘libertad informática’ es, así, también, derecho a controlar el uso de los mismos datos insertos en un programa informático (habeas data).”

Més endavant, en la Sentència 94/1998, de 4 de maig, el Tribunal Constitucional manifestava obertament que estàvem davant d’un dret fonamental a la protecció de dades, pel qual es garanteix a la persona el control sobre les seves dades.

I finalment, en la Sentència emblemàtica 292/2000, de 30 de novembre, el Tribunal Constitucional qualifica el dret a la protecció de dades com un dret autònom i independent, que consisteix en un “poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso”. En aquesta sentència, el TC també afirma que el dret fonamental a la protecció de dades, a diferència del dret a la intimitat de l’article 18.1 CE —que protegeix la vida privada contra les intromissions de tercers—, garanteix a la persona física un poder de control sobre les seves dades personals; té, per tant, un objecte més ampli que el dret a la intimitat.

En efecte, el dret fonamental a la protecció de dades es configura com un dret de caràcter autònom, amb uns contorns diferents dels del dret a la intimitat, amb el qual s’amplia la garantia constitucional a les dades personals que tenen incidència en l’exercici de qualssevol dels drets de la persona, siguin o no constitucionals, i siguin o no relatius a l’honor, la ideologia i la intimitat personal i familiar. 

Visió general de l’LOPDGDD

El desenvolupament legislatiu del dret fonamental a la protecció de dades es va dur a terme, inicialment, amb la Llei orgànica 5/1992, de 29 d’octubre, de regulació del tractament automatitzat de les dades de caràcter personal (LORTAD), que fou derogada per la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD). Aquesta darrera, al seu torn, ha estat derogada per l’LOPDGDD, tot i que l’LOPD es manté vigent en relació amb els àmbits que regula la Directiva 2016/680 (policial i penal), mentre no es transposi a l’ordenament espanyol.

La regulació principal del dret fonamental a la protecció de dades no la trobem avui, però, a l’LOPDGDD, sinó a l’RGPD: té eficàcia directa i, per tant, és la norma a la qual cal acudir en primer terme i de forma preferent. L’LOPDGDD es limita a desplegar i complementar l’RGPD i, per això, es va voler tenir-la aprovada al mes de maig de 2018. Finalment, però, es va demorar més enllà d’aquestes previsions, entre altres circumstàncies, a causa de l’afegitó a darrera hora d’un elenc de drets digitals que s’han inclòs al títol X de la llei, alguns dels quals no tenen el rang d’orgànic.

En el preàmbul de l’LOPDGDD, aquest títol X es justifica en la necessitat de reconèixer i garantir aquests drets digitals, mentre no s’actualitzi la Constitució espanyola a l’era digital. Hi ha drets relatius a: Internet (neutralitat, accés universal); l’àmbit laboral (desconnexió digital i protecció davant la videovigilància o geolocalització); i els menors (educació digital o protecció a Internet). També n’hi ha d’altres que són una mena de concreció per a entorns digitals de drets generals consagrats a la normativa de protecció de dades, entre els quals trobem, per exemple, el dret a l’oblit en cerques d’Internet i en xarxes socials, o el dret de rectificació a Internet.

Anoto, a continuació, algunes de les novetats més destacables de l’LOPDGDD:

• Amb relació a les dades de les persones difuntes, l’article 3 reconeix els drets d’accés, rectificació, i supressió als familiars i persones vinculades, tret que la persona morta ho hagués prohibit. Aquests drets poden entrar especialment en joc en l’entorn de la societat de la informació, com seria el cas de les imatges publicades a les xarxes socials. I, en connexió amb això, l’article 96 (títol X) introdueix el dret al testament digital.

• Els articles 13 i 14 de l’RGPD han ampliat substancialment la informació que s’ha de facilitar a les persones interessades (fet que coneixíem com a “clàusula informativa LOPD”). Davant d’això, l’article 11 de l’LOPDGDD permet informar només sobre el que qualifica com a “informació bàsica” (identitat del responsable, finalitat del tractament i possibilitat d’exercir els drets), i indicar una adreça electrònica que permeti accedir a la resta d’informació. Amb aquesta mateixa finalitat de simplificar el compliment del deure d’informació, l’article 22 de l’LOPDGDD conté una previsió específica per a l’àmbit de la videovigilància (cartells informatius).

• L’article 24 de l’LOPDGDD habilita la creació i el manteniment de sistemes que permetin la presentació de denúncies internes anònimes, o amb garantia de confidencialitat si la persona denunciant s’identifica. Aquesta opció està en sintonia amb diverses iniciatives legislatives que s’estan tramitant darrerament, encaminades a garantir la protecció deguda dels denunciants o alertadors. El sistema recollit a l’article 24 es preveu per a entitats del sector privat, però l’article 24.5 afegeix que aquests principis i garanties de confidencialitat de la persona alertadora o denunciant també són aplicables als sistemes de denúncies internes que es creïn a les administracions públiques (AP).

• L’article 27 restringeix el tractament de les dades relatives a infraccions i sancions administratives, que a l’article 7.5 de l’antiga LOPD tenien la consideració d’especialment protegides, a diferència de l’RGPD, que no les inclou a la llista de “categories especials” de dades de l’article 9. El que sorprèn d’aquest precepte és que anuncia les restriccions “Als efectes de l’article 86” de l’RGPD, relatiu a la conciliació entre el dret a la protecció de dades i el dret d’accés a la informació pública; és a dir, una qüestió aliena a la que regula l’article 27 de l’LOPDGDD.

Curiosament, en un altre precepte de l’LOPDGDD també s’han regulat les infraccions administratives, en aquest cas amb una incidència directa en el dret d’accés a la informació pública. Em refereixo a la disposició final 11a, que modifica l’article 15.1 de la llei estatal de transparència (Llei 19/2013), a fi d’adequar el contingut del precepte a les categories especials de dades de l’article 9 de l’RGPD. En aquesta nova redacció del precepte, que fixa la prohibició general de facilitar l’accés a informació que contingui dades d’aquestes categories, afegeix la menció a les dades genètiques i biomètriques i manté la menció a les infraccions administratives. Per tant, encara que les dades sobre infraccions administratives no tinguin la consideració de categoria especial, als efectes del dret d’accés a la informació pública se les equipara a aquesta categoria.

• L’LOPDGDD, als articles 34 a 37, desenvolupa i concreta moltes qüestions relatives a la figura del delegat de protecció de dades (DPD). M’interessa destacar aquí la possibilitat d’intervenció del DPD davant possibles reclamacions, com una mena de primera instància a la qual pot acudir voluntàriament la persona interessada per resoldre el problema. Fins i tot es preveu que, si s’acudeix a l’autoritat de control, aquesta pugui —remarco el caràcter potestatiu— remetre la reclamació al DPD a fi que la resolgui. També en relació amb el DPD, i en compliment de l’article 34.4 de l’LOPDGDD, l’APDCAT ha publicat al seu web el registre de DPD, que permet consultar-ne les dades de contacte, a fi que les persones afectades puguin adreçar-s’hi per exercir els seus drets; això, sense perjudici de la possibilitat de reclamar directament davant l’APDCAT, d’acord amb l’article 77 de l’RGPD.

• Pel que fa al règim sancionador, l’LOPDGDD parteix d’un catàleg d’infraccions de l’RGPD que segueix un sistema de dues llistes d’infraccions genèriques. Sobre aquesta base, en el preàmbul de l’LOPDGDD s’explica que la descripció de conductes típiques que es fa als articles 72 a 74 “té com a únic objecte l’enumeració de manera exemplificativa d’alguns dels actes sancionables que s’han d’entendre inclosos dins dels tipus generals que estableix la norma europea”, i que la distinció entre infraccions lleus, greus i molt greus es fa “només a l’efecte de determinar els terminis de prescripció”. 

• Quant a les sancions, l’article 77 de la nova llei ha optat per mantenir el sistema de l’article 46 de l’antiga LOPD. És a dir, no preveu imposar multes a les administracions públiques quan cometen infraccions, sinó imposar una “sanción de apercibimiento” (advertència, en la versió catalana publicada al BOE) i les mesures correctores necessàries. Tot això, sense perjudici que es proposin actuacions disciplinàries contra els empleats públics que siguin materialment responsables de les infraccions; i si aquests són autoritats o directius i hi ha informes interns que avisen de la possible vulneració —cosa que podria haver fet el DPD—, s’ha de publicar al BOE o al diari oficial autonòmic una amonestació amb la denominació del càrrec responsable.

 

Un apunt particular per a les administracions públiques

La disposició addicional 7a de l’LOPDGDD té una rellevància formidable en la publicació d’actes administratius, àmbit en el qual s’ha de tenir ben present el principi de minimització de les dades (article 5.1.c de l’RGPD). En virtut d’aquest principi, només s’han de tractar les dades adequades, pertinents i limitades al que sigui necessari en relació amb les finalitats perseguides, que constitueix una continuació del principi de qualitat de les dades, en el seu vessant de proporcionalitat, recollit a l’article 4.1 de l’antiga LOPD. La mateixa legislació de procediment administratiu ja ha tingut en compte aquest principi, quan estableix que si s’aprecia que la publicació d’un acte administratiu pot lesionar drets o interessos legítims, s’ha de limitar a publicar una mera indicació del contingut de l’acte i del lloc on poden comparèixer les persones interessades (articles 58.5 de la Llei 26/2010 i 46 de la Llei 39/2015).

Des de fa molts anys, l’APDCAT ha tingut coneixement de supòsits de publicació d’actes en què esqueia identificar les persones interessades, cosa que s’havia anat fent amb el nom i cognoms i també amb el número sencer del DNI. Davant d’això, en els seus dictàmens i resolucions l’APDCAT ha mantingut sempre el criteri de considerar que la inclusió del número complet del DNI, acompanyant el nom i cognoms, era innecessari i per tant clarament excessiu; en conseqüència, es vulnerava el principi de proporcionalitat, actualment consagrat a l’article 5.1.c de l’RGPD amb la denominació de principi de minimització. En aquests pronunciaments, l’APDCAT indicava que només en el cas que pogués existir alguna confusió respecte de la persona interessada (per exemple, per la possible coincidència de dues o més persones amb el mateix nom i cognoms) seria pertinent afegir-hi la dada relativa al DNI, però no amb la numeració completa, sinó que n’hi hauria prou amb les quatre últimes xifres. En aquest sentit, els esmentats pronunciaments evidencien que l’accés sense cap restricció al número complet del DNI podria comportar un perjudici per als drets i llibertats de les persones afectades, si terceres persones en fessin un ús indegut, com ara propiciar casos de suplantació d’identitat.

Per oferir una mostra d’aquests pronunciaments, se citen aquí dos supòsits, un d’antic i un altre de molt recent. El primer el tenim a la resolució del procediment sancionador número PS 24/2011, relatiu a un supòsit de publicació de llistes amb el nom i cognoms i el DNI complet de persones que participaven en un procediment de concurrència competitiva. I el segon, en el dictamen CNS 1/2019, referent a la publicació de persones adjudicatàries d’un contracte públic.

Doncs bé, aquest criteri consolidat de l’APDCAT ha estat recollit a la disposició addicional 7a de l’LOPDGDD, si bé no de manera mimètica, sinó que s’hi introdueixen alguns matisos rellevants, com s’exposarà a continuació. Per al cas de “publicació d’actes administratius” amb dades personals, la DA 7a determina que la identificació s’ha de fer amb el nom i cognoms, “amb l’afegit de quatre xifres numèriques aleatòries” del DNI, i disposa també que quan “la publicació es refereixi a una pluralitat d’afectats, aquestes xifres aleatòries s’han d’alternar”. Al meu entendre, aquest afegit relatiu al DNI parcial es podria haver evitat en tots els casos en què amb el nom i cognoms s’identifiqui la persona sense risc de confusió; aquesta solució s’ajustaria millor al principi de minimització de les dades de l’article 5.1.c de l’RGPD.

El primer que cal fer notar és que aquesta regla introduïda per la DA 7a de l’LOPDGDD es refereix únicament a la “publicació d’actes administratius”, que és procedent en els casos previstos als articles 58 de la Llei 26/2010 i 45 de la Llei 39/2015; és a dir, supòsits d’actes integrants d’un procediment selectiu o de concurrència competitiva, o que tenen per destinatari una pluralitat indeterminada de persones o quan l’Administració considera que la notificació efectuada a un sol interessat és insuficient per garantir la notificació a tots. Per tant, en puritat, aquesta regla de la DA 7a de publicar el nom i cognoms i les quatre xifres aleatòries del DNI no seria aplicable, per exemple, a molta informació amb dades personals que s’ha de publicar als portals de transparència. A banda d’aquesta delimitació sobre els supòsits a què es refereix la DA 7a, considero que aquest afegit introduït pel legislador relatiu al DNI parcial es podria haver evitat, ja que no sembla necessari en tots els casos en què la persona interessada es pot identificar amb el nom i cognoms sense que hi hagi risc de confusió.

A més, cal parar atenció que la publicació de quatre xifres aleatòries pot comportar que en un acte es publiquin les xifres de les posicions 1, 3, 5 i 7 del DNI, i en un altre acte es publiquin les de les posicions 2, 4, 6 i 8, en ambdós casos al costat del nom i cognoms de la persona interessada. D’aquesta manera, es podria obtenir el número complet del DNI d’una persona, que és precisament el que es volia evitar. Davant d’això, sembla doncs que l’opció d’identificar la persona només amb el seu nom i cognoms resultaria més ajustada al principi de minimització de les dades de l’article 5.1.c de l’RGPD.

A l’últim, la mateixa DA 7a de l’LOPDGDD es refereix també a un altre supòsit diferent: el relatiu a les notificacions per mitjà d’anuncis o notificacions edictals efectuades de conformitat amb els articles 58.4.a de la Llei 26/2010 i 44 de la Llei 39/2015. Per a aquest cas, la DA 7a obliga a identificar la persona interessada exclusivament amb el número complet del DNI, NIE o document equivalent, i afegeix que si l’afectat no té cap dels documents esmentats se l’ha d’identificar únicament mitjançant el nom i cognoms, tot insistint que “En cap cas s’ha de publicar el nom i cognoms de manera conjunta amb el número complet del DNI”.

I per què aquesta diferència en la forma d’identificació de les persones afectades? És a dir, per què en el cas de publicació d’actes administratius s’ha de fer amb el nom i cognoms, i en les notificacions edictals amb el DNI? Doncs perquè la finalitat és diferent.

En efecte, en les notificacions per edicte, la finalitat és que la persona destinatària a qui no se li ha pogut notificar l’acte personalment tingui coneixement de l’existència d’aquell acte. I per això és pertinent la utilització del DNI, dada coneguda per la mateixa persona afectada i única interessada en aquella notificació. Per contra, en la publicació d’actes administratius —per exemple, les llistes de persones admeses i/o seleccionades en un procés selectiu—, la finalitat perseguida és que la identificació de les persones allà incloses no sigui només coneguda per cadascuna d’elles, sinó també per altres; per tant, resulta pertinent identificar-les mitjançant el nom i cognoms, en lloc del DNI.

Confio que aquesta primera aproximació a l’LOPDGDD resulti útil per tenir-ne una visió panoràmica i serveixi, també, per ajudar a aplicar bé el principi de minimització en la publicació d’actes administratius i les notificacions edictals. Deixo per a properes entrades l’anàlisi d’altres aspectes d’aquesta nova llei o de l’RGPD, que poden afectar més directament les administracions públiques.

Carles San José Amat
Cap de l’Àrea d’Inspecció a l’Autoritat Catalana de Protecció de Dades i professor col·laborador de dret administratiu a la UOC