Els portals de transparència i el límit de la protecció de dades personals – Carles San José

La transparència és un principi d’actuació de les administracions públiques que està directament connectat amb el dret que tenim totes les persones a una bona Administració. En efecte, tothom té dret a saber què fan les administracions públiques i com ho fan, i aquest dret és inherent a la democràcia. Transparència i democràcia són dos conceptes que caminen junts i que són inseparables. Per tant, l’opacitat és incompatible amb la democràcia.

Però la transparència no ens va arribar de la mà de la democràcia, sinó molts anys després. Tot i que al nostre ordenament jurídic hi havia normes que imposaven la divulgació d’informació a internet, no es va apostar de manera clara i decidida per la transparència fins que es van aprovar la Llei estatal 19/2013, de transparència, accés a la informació pública i bon govern (LTAIBG) i la Llei catalana 19/2014, de transparència, accés a la informació pública i bon govern (LTAIBGCat). Aquestes lleis basen la transparència en dos eixos o pilars: la publicitat activa i el dret d’accés a la informació pública.

Amb la publicitat activa, s’obliga les entitats del sector públic a divulgar molta informació als seus portals de transparència. El compliment d’aquesta obligació permet fer efectiu el dret a saber que tenen totes les persones, sense haver d’exercir el dret d’accés a la informació pública. En aquest sentit, al preàmbul de la LTAIBGCat el legislador català explica que “entén la transparència com una obligació a càrrec de l’Administració, que ha de facilitar de manera proactiva —és a dir, sense necessitat de demanda expressa— la informació sobre dades i continguts de naturalesa diversa que són referencials respecte de la seva organització, funcionament, presa de decisions més importants i la gestió dels recursos públics. D’aquesta manera es dona compliment al mandat de l’article 71.4 de l’Estatut d’autonomia, que obliga l’Administració de la Generalitat a fer pública la informació necessària perquè la ciutadania en pugui avaluar la gestió.”

En la mateixa línia, al preàmbul de la LTAIBG el legislador estatal exposa que “només quan l’acció dels responsables públics se sotmet a escrutini, quan els ciutadans poden conèixer com es prenen les decisions que els afecten, com es gestionen els fons públics o sota quins criteris actuen les nostres institucions podem parlar de l’inici d’un procés en què els poders públics comencen a respondre a una societat que és crítica, exigent i que demana participació dels poders públics.”

La visió de la transparència com un instrument que permet a la ciutadania fiscalitzar l’acció pública se simbolitza amb aquesta frase: “Les dictadures fan transparents els ciutadans i opacs els governants; mentre que a la democràcia és —o ha de ser— a l’inrevés”. És a dir, que en un sistema democràtic els governants han de ser transparents en la gestió de la cosa pública, per retre compte a la ciutadania i que aquesta pugui conèixer i avaluar l’activitat dels governants. Per contra, els governants han de garantir la privacitat de la ciutadania, assegurant la confidencialitat de les dades personals que tenen en el seu poder. Aquest dret de la ciutadania està expressament recollit a l’article 13 de la Llei 39/2015, quan inclou el següent en el catàleg de drets de totes les persones en les seves relacions amb les administracions públiques: “h) A la protecció de dades de caràcter personal, i en particular a la seguretat i confidencialitat de les dades que figurin als fitxers, sistemes i aplicacions de les administracions públiques”. Per tant, el dret a la protecció de dades opera com a límit als deures de transparència i al dret a saber de la ciutadania.

Les lleis de transparència han recollit expressament aquesta limitació. D’una banda, l’article 7 de la LTAIBGCat, sota la rúbrica “Límits a les obligacions de transparència”, disposa que els límits aplicables als deures de publicitat activa són els mateixos que els previstos per al dret d’accés a la informació pública, i afegeix que “especialment els relatius a la protecció de dades de caràcter personal”. Per la seva banda, la LTAIBG conté una previsió similar a la de l’article 5.3 de la LTAIBGCat, quan determina que cal aplicar a la publicitat activa els mateixos límits previstos per al dret d’accés, i afegeix el següent: “quan la informació contingui dades especialment protegides, la publicitat només s’ha de portar a terme amb la dissociació prèvia d’aquestes”. Per tant, en la publicació d’informació cal tenir en compte el límit de les dades personals.

En qualsevol cas, hi ha una prohibició general d’incloure en els portals dades especialment protegides, ara denominades de categories especials a l’article 9 del RGPD. Entre aquestes, hi figuren les que revelen l’origen ètnic o racial, les opinions polítiques, les conviccions religioses o filosòfiques i l’afiliació sindical, que no es poden publicar al portal tret que la persona afectada les hagi fet manifestament públiques. Les dades genètiques o biomètriques, les relatives a la salut o a la vida sexual o les orientacions sexuals també estan incloses en aquesta categoria especial i, per tant, no es poden publicar llevat que hi hagi el consentiment exprés de l’afectat o l’habilitació d’una llei. A aquesta llista caldria afegir-hi les dades relatives a la comissió d’infraccions penals o administratives que no comporten l’amonestació pública a l’infractor que, tot i que el RGPD no n’ha reconegut la consideració de categoria especial, als efectes de transparència s’equiparen a aquesta condició, atès que en el nou redactat que la LOPDGDD ha donat a l’article 15.1 de la LTAIBG s’hi han inclòs expressament entre les dades en què regeix la prohibició general de publicitat i accés.

En definitiva, per fer efectiu el dret a saber de la ciutadania, les administracions públiques han de publicar molta informació en els seus portals de transparència però, alhora, han de respectar el dret a la protecció de dades de les persones afectades. Ens trobem, doncs, amb dos drets aparentment enfrontats, que cal conciliar adequadament. Els drets no són absoluts i, per tant, és habitual que estiguin subjectes a limitacions o restriccions. En aquest cas, cal fer un equilibri entre la transparència i el dret a la protecció de dades, sense caure ni en l’opacitat excessiva ni en una sobreexposició informativa. Cal reconèixer, però, que la gestió d’ambdós drets és una qüestió més aviat complexa.

Aquesta situació va portar l’Autoritat Catalana de Protecció de Dades (APDCAT) a efectuar una auditoria sobre els portals de transparència, per tal de verificar si les entitats del sector públic català compleixen la normativa de protecció de dades personals a l’hora de gestionar els seus portals de transparència. En l’informe de l’auditoria, s’anuncia que l’objectiu principal perseguit era ajudar les entitats a complir amb la normativa aplicable, i això es feia a través d’un seguit de pautes i recomanacions generals i específiques. També la Secretaria Tècnica de la Junta Consultiva de Contractació Administrativa de la Generalitat ha publicat la nota informativa 1/2019, sobre el compliment del deure de transparència i de la normativa de protecció de dades personals en la contractació pública, que es pot consultar aquí.

A continuació, exposaré breument aquestes pautes generals que ha donat l’APDCAT i que estan fonamentades, sobretot, en els seus dictàmens i resolucions. Això sens perjudici de recomanar la lectura també de les pautes específiques per la seva utilitat a l’hora de resoldre situacions concretes. Es pot consultar el text íntegre de l’informe aquí.

1. D’acord amb el principi de licitud (art. 5.1.a RGPD), només es poden publicar dades personals als portals de transparència si es disposa d’una base jurídica. Cal, doncs, assegurar-se que les lleis de transparència o una altra norma amb rang de llei habiliten que es publiquin aquestes dades, com és el cas de la identitat de persones adjudicatàries de contractes públics o perceptores de subvencions, en els articles 13 i 15 de la LTAIBGCat, respectivament.

2. El principi de minimització (art. 5.1.c RGPD) obliga a tractar només les dades personals necessàries per a la finalitat de transparència perseguida. D’acord amb aquest principi, es donen tres pautes: una, relativa a la identificació de les persones amb el nom i cognoms; l’altra, relativa a les signatures manuscrites i la tercera, sobre el DNI a les signatures electròniques.

2.1. Quan cal identificar una persona al portal, escau fer-ho amb el nom i cognoms; seria innecessari, i per tant excessiu, afegir-hi el número sencer de DNI o NIE. Respecte d’aquesta qüestió, la disposició addicional setena de la nova LOPDGDD disposa expressament que no s’ha de publicar el nom i cognoms de manera conjunta amb el número complet del DNI o NIE, i preveu que s’incloguin quatre xifres numèriques aleatòries d’aquests documents, addicionalment al nom i cognoms.

En relació amb aquesta previsió de la disposició addicional setena, cal fer dues consideracions. La primera, que no seria aplicable a tota la informació que s’ha d’incloure als portals de transparència, sinó únicament a la publicació d’actes administratius. I la segona, que recentment l’Agència Espanyola de Protecció de Dades (AEPD) ha publicat un informe sobre la publicació de qualificacions universitàries en el qual indica el següent: en atenció al principi de minimització de les dades, l’afegitó del DNI parcial a la identificació amb el nom i cognoms previst a la disposició addicional setena de la LOPDGDD només pertocaria si hi ha dos estudiants amb els mateixos noms i cognoms; aquest raonament sembla extrapolable a la publicació de qualsevol acte administratiu en què s’identifiquin una pluralitat de persones. Es pot consultar l’informe de l’AEPD aquí.

2.2. En les verificacions de l’auditoria, es va detectar la presència de molts documents amb signatures manuscrites. La persona que signa desenvolupa unes traces pròpies i personals que la identifiquen, que la persona utilitza també en la seva esfera privada. En l’informe es fa notar que la publicació de la signatura implica un risc de reproducció, que s’accentua si la publicació es reitera en diversos documents. D’acord amb això, es conclou que cal ocultar la signatura manuscrita dels documents publicats al portal, tot i que s’hi pot fer constar que la versió original està signada.

2.3. També es va detectar la publicació de documents signats electrònicament en els quals es podia visualitzar el número de DNI de la persona, dada innecessària a l’efecte d’identificar la persona que signa i, per tant, excessiva. D’altra banda, també hi havia documents signats electrònicament en els quals no apareixia el número de DNI, però que en descarregar-los era possible accedir a les propietats de la signatura del document i, d’aquesta manera, arribar a conèixer el número de DNI. Les pautes que es donen respecte d’aquesta qüestió són no incloure la signatura al document publicat, o bé incloure-la amb l’aparença modificada perquè no hi consti el número de DNI. I, d’altra banda, evitar que en descarregar el document es pugui accedir al número de DNI.

3. D’acord amb el principi d’exactitud (art. 5.1.d RGPD), cal evitar difondre informació incompleta o desactualitzada de tal manera que pugui perjudicar les persones afectades. En l’informe es recorda el deure de l’entitat responsable de vetllar perquè la informació sigui correcta i actualitzada, així com perquè en cessi la difusió quan contingui dades errònies o no vigents.

4. En aplicació del principi de limitació del termini de conservació, la publicació de dades personals al portal només es pot mantenir durant el termini necessari per assolir els fins de transparència. Per això, es recomana a les entitats que adoptin les mesures tècniques i organitzatives necessàries per garantir que les dades personals es difonen només durant el període que estableix la normativa aplicable, o durant el temps necessari per assolir la finalitat de transparència. Aquestes mesures podrien consistir, per exemple, a establir controls per retirar automàticament la informació.

5. De conformitat amb el principi de transparència (art. 12 RGPD) i per tal de fer efectiu el dret d’informació (art. 13 i 14 RGPD), cal informar la persona afectada que les seves dades es publicaran al portal; el fet que hi hagi una base jurídica que n’habilita la publicació no eximeix d’aquest deure. En efecte, només si la persona interessada està adequadament informada pot, si escau, al·legar una situació personal especialment vulnerable que desaconselli divulgar-ne les dades. Val a dir que aquesta obligació d’informar s’hauria de complir també respecte del personal propi de qui es poden publicar dades, a fi que les persones empleades poguessin comunicar una situació singular que aconsellés ocultar-ne les dades (víctima de violència de gènere, testimoni protegit, etc.).

6. A l’últim, en l’informe s’indica que en les verificacions es va detectar que, en fer una cerca per nom i cognoms d’una persona a través dels cercadors d’internet (Google, Bing, Yahoo, etc.), s’indexaven dades personals publicades en portals de transparència, cosa que facilita que es puguin fer cerques massives a partir del nom i cognoms de persones; això possibilita que la informació indexada s’utilitzi per obtenir perfils personals o informació indiscriminada d’una persona concreta.

És per això que es recomana a les entitats que estableixin mesures per evitar que els cercadors d’internet indexin les dades personals que publiquen als seus webs. Aquestes mesures poden consistir en la implantació, per defecte, de mecanismes que impedeixin als cercadors externs d’internet indexar els continguts, com seria el cas del protocol de “robots.txt”. També es podria implementar algun mecanisme addicional, que limités la possibilitat de fer cerques massives d’informació mitjançant la indexació automàtica de continguts.

Totes aquestes pautes generals que aquí he mencionat, complementades amb les pautes específiques que també s’expliciten a l’informe de l’APDCAT, han de servir per ajudar les entitats que gestionen portals de transparència a complir amb les obligacions de publicitat activa sense vulnerar el RGPD i, per tant, sense vulnerar els drets i llibertats de les persones.

Per acabar, i amb la intenció d’ajudar a recordar les pautes que he mencionat, a continuació les enumero novament, a manera de manaments o regles d’or:

I. No publicaràs dades personals si no disposes de base jurídica.

II. No publicaràs més dades personals de les necessàries per als fins de transparència.

III. No publicaràs dades errònies, inexactes, incompletes o no actualitzades.

IV. No mantindràs publicades dades més enllà del termini previst a l’efecte, o el que sigui necessari per als fins de transparència.

V. Informaràs les persones afectades de la publicació de les seves dades.

VI. Limitaràs l’ús abusiu dels cercadors d’internet.

Carles San José Amat
Consultor del sector públic, especialista en matèria de protecció de dades i transparència i professor col·laborador de dret administratiu a la UOC

Deixa un comentari