Cómo afecta el RGPD a mi Portal de Transparencia

La entrada en vigor del Reglamento Europeo de Protección de Datos (RGPD) ha obligado a todos, sector público y sector privado, a redefinir sus políticas de comunicación, publicidad y acceso a la información, para garantizar la protección reforzada de los datos personales que el marco europeo ha impuesto. Refuerzo que, a priori, podría chocar con las políticas públicas en materia de transparencia. Porque no cabe duda de que el encaje de ambos derechos, el de transparencia y el de protección de datos personales, fundamentales en un Estado democrático y necesitados de máxima protección en su ejercicio, plantean diferentes y complejas implicaciones.

Y es precisamente esa interacción entre ambos derechos la que obliga a  la revisión de los Portales de Transparencia de la diferentes administraciones públicas para asegurarse de que la publicidad activa de grandes cantidades información que se ofrece en los mismos se ajusta al marco del RGPD. Pero… ¿Cómo hacerlo?

A continuación enumeramos una serie de elementos que pueden resultar de utilidad:

  • Base de legitimación. Para poder ser llevado a cabo, el tratamiento de datos debe tener una base en el Derecho de la Unión o de los Estados miembros, es decir, que siempre que se traten datos personales ha de existir algún tipo de habilitación y se debe tener en cuenta, entre otras cosas, cualquier relación entre los fines que justificaron la recogida de los datos y los fines del tratamiento previsto posteriormente, es decir, es precisa una base jurídica concreta.
  • Legitimación del Portal de Transparencia.  El art. 6 RGPD contempla como base jurídica del tratamiento el cumplimiento de una tarea en interés público o el ejercicio de poderes públicos, que deben estar establecidos en una norma con rango de ley, en este caso, en particular, encontramos esa base en la Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la Información Pública y Buen Gobierno, así como en las demás Leyes autonómicas en la materia.
  • Ámbito objetivo de la limitación. El límite de la protección de datos no opera únicamente en relación con las solicitudes que se formulen en ejercicio del derecho de acceso a la información pública, sino que afecta también a las obligaciones de publicidad activa, es decir, tanto a la publicación de la información recogida en los artículos 6 a 8 LTBG, como a la información cuyo conocimiento sea relevante para garantizar la transparencia de su actividad relacionada con el funcionamiento y control de la actuación pública, y a aquélla que es objeto de mayor solicitud.
  • Distinción publicidad activa/derecho de acceso. Es necesario distinguir el alcance de la protección de datos en las dos versiones de las transparencia, activa y pasiva. La causa: la diferente afectación a la privacidad de las personas en uno y otro caso. Aunque determinada información no pueda ser objeto de publicidad activa al no contar con habilitación legal suficiente, o consentimiento de los interesados, esa misma información, solicitada en el ejercicio del derecho de acceso a la información pública, y tras la oportuna ponderación de intereses, podría ser entregada al peticionario (Dictamen de la Agencia de Protección de Datos del País Vasco,CN15-032).
  • Criterio 2/2015, de 24 de junio de 2015, CTBG-AEPD. Sigue vigente el recurso al Criterio 2/2015 de 24 de junio de 2015, relativo a la “Aplicación de los límites al derecho de acceso a la información”, que tras señalar que los artículos 14 y 15 de la LTBG establecen los límites del derecho de acceso a la información pública que, de conformidad con el artículo 5.3, resultan también aplicables a las obligaciones de publicidad activa regulados en la norma, interpretado, por supuesto a la luz del RGPD.
  • Registro de Actividades de Tratamiento. La publicación de información en el Portal de Transparencia constituye una actividad de tratamiento que debe inscribirse en el Registro de Actividades de Tratamiento que toda administración tiene obligación de crear, en los términos previstos en el artículo 30 RGPD, como nueva herramienta frente al modelo anterior de inscripción de ficheros de datos protegidos ante la autoridad de control.

No publicar la información no puede ser una opción. El marco legal ofrece diferentes instrumentos y técnicas que, utilizadas ponderando los intereses y derechos en conflicto, permitirán ejercer satisfactoriamente el derecho a la información y al derecho a la protección de datos personales. Para ello, el recurso a las técnicas de anonimización, el principio de minimización de datos o, de un modo más integral y transversal, el novedoso principio derivado del RGPD, de “privacy by design”, facilitarán la conciliación entre ambos derechos.

Tal y como recuerda el Síndic de Greuges de Cataluña, en Informe extraordinario de julio de 2012, «el derecho de acceso a la información pública y el derecho a la intimidad no son derechos antagónicos, sino que han de ser vistos también como dos derechos complementarios que tienen por nalidad proteger las libertades personales ante los poderes públicos, y ambos están relacionados con la obligación de las autoridades públicas de rendir cuentas».