Consultas más relevantes atendidas a través del Canal del DPD

Con carácter general, la base jurídica del tratamiento en las relaciones con la Administración, en aquellos supuestos en que existe una relación en la que no puede razonablemente predicarse que exista una situación de equilibrio entre el responsable del tratamiento (la Administración), y el interesado (el administrado) no sería el consentimiento (art. 6.1.a) RGPD), sino, según los casos, el cumplimiento de una obligación legal (art. 6.1.c) RGPD: aplicable a la Administración cedente) o el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos (art. 6.1.e) RGPD: aplicable a la Administración que solicita los datos, o cesionaria).

Al amparo de la potestad de verificación recogida en la disposición adicional octava de LOPDGDD el tratamiento se llevaría a cabo en el ejercicio de poderes públicos, conforme al artículo 6.1 e) del RGPD.

En cuanto al sentido de la expresión “obligación legal” contenida en el artículo 6.1.c) RGPD, en la regulación española de protección de datos, hay que interpretarla como “obligación establecida en una norma con rango de ley” (artículo 8.1 LOPDGDD).

Es decir, la operación de tratamiento que consiste en la cesión de los datos personales puede basarse en bases jurídicas diferentes, según se trate del cedente o cesionario. Por ejemplo, la verificación de datos personales puede ampararse en la potestad que le concede a las Administraciones Públicas la Ley (art. 6.1.e RGPD), y la cesión del dato o el acceso al mismo para efectuar la verificación en el cumplimiento de una obligación legal (art. 6.1.c RGPD).

En cuanto a la aplicación del art. 6.1.e) RGPD, como base jurídica del tratamiento de datos personales, lo será siempre y cuando derive de una competencia atribuida por una norma con rango de ley (artículo 8.2 LOPDGDD), y sólo se considerará lícito un tratamiento de datos personales sobre la base de dicho precepto si el mismo es necesario para el cumplimiento de una misión realizada en interés público, o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Por ello, si un determinado tratamiento no es “necesario” para el cumplimiento de la misión realizada en interés público, o en el ejercicio de los poderes públicos conferidos por el ordenamiento, dicho tratamiento no sólo carecería de la base jurídica suficiente para legitimar el tratamiento, sino que, además, contravendría el principio de minimización de datos contenido en el artículo 5.1.c) RGPD, aplicable igualmente a los tratamientos de datos llevados a cabo por la Administración pública.

Las Plataformas de Intermediación de datos entre las Administraciones Públicas, que son el instrumento que en la práctica utiliza la Administración para hacer efectivo el derecho del ciudadano a no aportar documentación que haya sido elaborada por cualquier Administración (art. 28.2 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas).

Dicha consulta interadministrativa es, en términos amplios, un mecanismo de relación interadministrativa, que busca la “eficiencia en la gestión de los recursos públicos, compartiendo el uso de recursos comunes” (art. 140.1.f) de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público).

Desde un punto de vista más específico, se considera por la ley 40/2015 un mecanismo de “relación electrónica entre Administraciones Públicas” (art. 155), y sujeta estas obligaciones de “transmisión de datos entre Administraciones Públicas” a lo dispuesto en la normativa de protección de datos. Ello supone que la utilización, procedimientos y sistemas de estas herramientas habrán de adaptarse, tras el RGPD, a las nuevas bases jurídicas del tratamiento por los poderes públicos, en las que el consentimiento no juega ya de la misma manera que lo hacía en el régimen de la LOPD, para que continúen siendo, como hasta el momento, una herramienta eficaz que permita la descarga al ciudadano en materia de aportación, documentación y verificación de datos en los procedimientos administrativos.

El derecho de oposición se regula en el art. 21 RGPD, y del mismo resulta que requiere que el interesado alegue los motivos derivados de su situación personal en que basa dicha oposición al tratamiento. La base jurídica del tratamiento basada en el interés público (art. 6.1 e) RGPD) admite el derecho de oposición con expresión de la causa, y los motivos que habrán de ser ponderados por el responsable del tratamiento.

En consecuencia, el ejercicio del derecho de oposición ha de ir acompañado de la expresión de su causa para que el responsable realice una ponderación de los motivos alegados, no siendo válida por tanto una oposición en términos absolutos, ya que en tal caso ésta podría ser entendida como análoga a la revocación del consentimiento que, no constituye la base jurídica legitimadora del tratamiento.

Cuando se recaban datos de los ciudadanos vinculados a un trámite concreto a través de los diferentes formularios disponibles en las sedes electrónicas de las Administraciones Públicas, la administración actuante, en aplicación del principio de transparencia, deberá informar al ciudadano sobre los datos que van a ser consultados o verificados para la resolución del trámite en cuestión así como la posibilidad de ejercer sus derechos en materia de protección de datos, entre ellos el de oposición, a que se lleve a cabo la consulta a través de las plataformas de intermediación, facilitando los mecanismos para que motive su decisión así como para que aporte la documentación requerida que ya obrase en poder de la Administración actuante o que hubiera sido elaborada por otra y a cuya consulta se opone, no siendo válida una oposición de forma absoluta y sin justificación motivada,  pues en ese supuesto no podría estimarse la solicitud.

De igual manera, y de acuerdo con la Disposición adicional octava de la LOPDGDD, la administración actuante queda facultada, en el ejercicio de sus competencias, a realizar las verificaciones que resulten necesarias para comprobar la exactitud de los datos aportados por el ciudadano en las solicitudes formuladas.

Se excepciona el ejercicio del derecho de oposición cuando la consulta o solicitud de datos por parte de la Administración en el marco del ejercicio de potestades sancionadoras o de inspección, en cuyo caso el ciudadano no podrá impedir, a través de su oposición, que la Administración actuante consulte o recabe la documentación que precise.

Sólo en los casos en que, como consecuencia del tipo de trámite, pueda ser necesaria la consulta, la cesión o comunicación de datos de naturaleza tributaria o de algún otro tipo cuya legislación específica regule la necesidad de un consentimiento expreso por parte del interesado, será necesario incluir una cláusula en la que el interesado autorice su consulta por parte de la administración actuante a la administración cedente de los datos responsable de estos.

Como recomendaciones adecuadas para el tratamiento de datos que supone la publicación de información personal en procesos selectivos, pueden considerarse las siguientes:

• La publicación deberá realizarse de manera que no suponga un acceso indiscriminado a la información. Se recomienda que se realice en la intranet del Organismo (con acceso restringido a los interesados en el procedimiento en cuestión).
• Cuando la normativa específica prevea la publicación en su página web en abierto, se aconseja facilitar la no indexación por los motores de búsqueda añadiendo los documentos al protocolo robots.txt
• La transparencia afecta exclusivamente a los admitidos o excluidos, deviniendo la exposición de datos desproporcionada cuando dichos datos resultan visibles para todo el mundo, pues no es necesario para la finalidad de publicidad y transparencia que estos lo conozcan
• El acceso por cualquier persona a los datos resulta invasivo, y es contrario al principio de minimización en el tratamiento de estos.
• Cuando hayan transcurridos los plazos de posibles impugnaciones, deberían retirarse los documentos publicados, sin perjuicio de la conservación por la Unidad de la correspondiente documentación acreditativa.
• No se debe publicar información que ponga de manifiesto una situación personal, familiar o social (capacidad económica, situación de riesgo de exclusión, o cualquier otra circunstancia similar), salvo que sea estrictamente necesaria para garantizar la transparencia de la actividad relacionada con el funcionamiento y control de la actuación pública o venga expresamente dispuesto en norma de rango legal, en cuyo se hará utilizando códigos o identificadores.
• Cuando la publicación se refiera a una pluralidad de afectados se deberá observar el principio de minimización de datos en el sentido previsto en la Orientación para la aplicación provisional de la Disposición Adicional Séptima de la Ley Orgánica 3/2018

En todo caso, la aplicación de las previsiones de la Disposición Adicional Séptima de la LOPDGDD corresponde a la Administración responsable del acto administrativo cuya publicación se pretende.

Por último, se señala que, hasta la fecha, no han sido definidos procedimientos de publicación y notificación de actos administrativos a fin de prevenir riesgos para víctimas de violencia de género.

En este punto podemos recordar que hay casos especiales en los que las subvenciones y ayudas públicas no deberán publicarse:

• No serán publicadas las subvenciones concedidas cuando la publicación de los datos del beneficiario pueda ser contraria al respeto y salvaguarda del honor y a la intimidad personal o familiar de las personas físicas en virtud de lo establecido en la Ley Orgánica 1/1982, de 5 de mayo, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen. (art. 20.8.b Ley de Subvenciones).
• No se publicarán las subvenciones cuando el propio objeto de la convocatoria proporcione información o datos especialmente protegidos de los beneficiarios o relativos a las categorías especiales de datos relacionados en los artículos 9 y 10 del RGPD (art. 7.5.a Real Decreto 130/2019, de 8 de marzo, por el que se regula la Base Nacional de Subvenciones y la publicidad de las subvenciones y demás ayudas públicas).
• No se publicarán las subvenciones o ayudas públicas concedidas a personas físicas cuando la persona se encuentre en una situación de protección especial que pueda verse agravada con la cesión o publicación de sus datos personales, en particular, cuando sea víctima de violencia de género o de otras formas de violencia contra la mujer (art. 7.5.b Real Decreto 130/2019)

Se puede consultar el informe del Gabinete Jurídico de esta AEPD, sobre la publicación de los datos personales de aspirantes que participan por el turno de discapacidad en procesos selectivos, disponible en el siguiente enlace:

https://www.aepd.es/documento/2022-0002.pdf

El artículo 7 de la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana, dispone que “Todas las autoridades y funcionarios públicos, en el ámbito de sus respectivas competencias y de acuerdo con su normativa específica, deberán colaborar con las autoridades y órganos a que se refiere el artículo 5, y prestarles el auxilio que sea posible y adecuado para la consecución de los fines relacionados en el artículo 3. Cuando, por razón de su cargo, tengan conocimiento de hechos que perturben gravemente la seguridad ciudadana o de los que racionalmente pueda inferirse que pueden producir una perturbación grave, estarán obligados a ponerlo inmediatamente en conocimiento de la autoridad competente”

Por su parte, la Ley de Enjuiciamiento Criminal aprobada por Real Decreto de 14 de septiembre de 1882, establece en su artículo 259 relativo a la obligación de denunciar que “El que presenciare la perpetración de cualquier delito público está obligado a ponerlo inmediatamente en conocimiento del Juez de instrucción, de paz, comarcal o municipal, o funcionario fiscal más próximo al sitio en que se hallare...”

A su vez el artículo 262 de la misma Ley relativo a la obligación de denunciar hechos conocidos por razón del cargo, profesión u oficio, señala que, “Los que por razón de sus cargos, profesiones u oficios tuvieren noticia de algún delito público, estarán obligados a denunciarlo inmediatamente al Ministerio Fiscal, al Tribunal competente, al Juez de instrucción y, en su defecto, al municipal o al funcionario de policía más próximo al sitio, si se tratare de un delito flagrante”

En consecuencia, aunque la finalidad de las cámaras de vigilancia sea la relativa al control del tráfico, constituye una conducta obligada la denuncia de la comisión de cualquier delito visionado o grabado por dichas cámaras, por lo que dicha actuación, así como la utilización de las grabaciones como medio de prueba vendría legitimada en lo previsto tanto en la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana como en la Ley de Enjuiciamiento Criminal.

Tratándose del uso de sistemas de firma electrónica por parte de los empleados públicos, no siendo el DNI/NIE/NIF un dato que deba legalmente figurar en los actos administrativos, el mismo no debería figurar ni en los certificados electrónicos ni en la firma electrónica, garantizándose en todo caso que no se tiene conocimiento del mismo a través de los sistemas de código seguro de verificación, pudiendo optarse, entre otros posibles sistemas de identificación adicionales, por otros números de identificación, por el reflejo del cargo/departamento en que se encuadra el empleado público o, incluso, por la ampliación de los supuestos de uso de seudónimo, atendiendo a la actividad pública desarrollada, posibilidad que ahora abre la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza en el apartado 1 de su artículo 6.

De este modo se estaría dando cumplimiento al principio de minimización de datos, estableciéndose las garantías adecuadas por el legislador conforme al citado artículo 87 del RGPD, debiendo modificarse en este sentido la normativa nacional reguladora del uso de la firma electrónica en el ámbito de los certificados emitidos para el personal al servicio de la Administración General del Estado y de sus organismos públicos vinculados o dependientes. En este contexto, sería igualmente deseable la adopción de un perfil de certificado con seudónimo común que, cumpliendo los requisitos exigidos para los certificados cualificados, establezca como identificador un número de identificación profesional construido en base a una misma regla de codificación aplicable a toda la Administración General del Estado y sus organismos públicos dependientes.

Sobre esta cuestión se puede consultar el siguiente informe:

https://www.aepd.es/documento/2020-0088.pdf

Si a finalidad perseguida es la de ejercitar reclamaciones judiciales por responsabilidad contractual, extracontractual, derivada de hechos ilícitos ..., para lo que resultaría preciso conocer la identidad de la persona en cuestión a los efectos de dirigir contra él las acciones legales pertinentes; ya que en la tensión entre ambos derechos, si el derecho fundamental al acceso a la justicia y a la tutela judicial efectiva (ver artículo 24 de la Constitución) ha de prevalecer sobre el derecho a la protección de datos en el presente caso concreto, habida cuenta además de que la legislación establece como una carga procesal el acudir a la justicia para reclamar y ejercitar los derechos de los particulares, y dicha carga no podría cumplirse sin el conocimiento de frente a quién habrá de dirigirse la acción procesal.

Respecto a las unidades TIC que realizan actividades de tratamiento de datos personales y no tiene dependencia orgánica de del responsable, el artículo 33.5 de la LOPDGDD, recoge una previsión ya comúnmente aceptada y reiteradamente sostenida en diversos dictámenes de la Agencia Española de Protección de Datos, cual es que en el ámbito del sector público la designación de encargado del tratamiento podrá derivar de una norma que determine las competencias de un determinado órgano u organismo que preste sus servicios en un ámbito concreto; en estos casos, la propia norma reguladora del órgano u organismo podrá servir para atribuir la condición de encargado del tratamiento e incorporar los contenidos que resulten necesarios para delimitar su ámbito de actuación, siempre que cumpla con los requisitos previstos en el artículo 28.3 del RGPD.

En cuanto al contenido mínimo que señala el Reglamento y en base a la interpretación que viene manteniendo esta Agencia, puede interpretarse lo siguiente:

• Si se instrumentaliza a través de un Convenio, supone la concertación del acuerdo por escrito, estableciendo expresamente el tratamiento según las instrucciones del responsable, para las finalidades previstas, prohibiendo cualquier comunicación de los datos y previendo la destrucción de los datos una vez resuelto el convenio.
• Si se trata de un caso particular, en el que la prestación de servicios de tratamiento de datos – en este caso, prestar soporte informático – deriva del propio ordenamiento jurídico,  porque la propia normativa atribuye a las Unidades TIC estas funciones y competencias, que no inciden en el poder decisorio sobre la finalidad, contenido y uso de los datos, sino que fundamentalmente versan sobre la implantación y utilización de los sistemas de información para que sean utilizados por los órganos y organismos correspondientes. En este supuesto, la atribución de funciones y competencias a la Unidad TIC en virtud de (por ejemplo), un Real Decreto supone ya la existencia de un contrato de encargo de tratamiento, sin que por tanto sea necesaria la celebración de contratos específicos para cada órgano u organismo en los términos del art. 28.3 del RGPD. Y decimos esto porque en virtud de la atribución competencial que se pueden cumplir ya todos los requisitos establecidos en dicho artículo 28.3, teniendo en cuenta las normas generales del derecho administrativo.

El artículo 8.1 b) de la Ley 19/2013 de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, impone a los sujetos incluidos en el ámbito de aplicación de su Título I, dentro de las obligaciones relacionadas con el principio de publicidad activa, la obligación de hacer pública, como mínimo, “la relación de los convenios suscritos, con mención de las partes firmantes, su objeto, plazo de duración, modificaciones realizadas, obligados a la realización de las prestaciones y, en su caso, las obligaciones económicas convenidas”. Añade el precepto que “igualmente, se publicarán las encomiendas de gestión que se firmen, con indicación de su objeto, presupuesto, duración, obligaciones económicas y las subcontrataciones que se realicen con mención de los adjudicatarios, procedimiento seguido para la adjudicación e importe de la misma”.

En relación con estas obligaciones de información, ha de tenerse en cuenta que el artículo 5.3 de la Ley 19/2013 clarifica que “serán de aplicación, en su caso, los límites al derecho de acceso a la información pública previstos en el artículo 14 y, especialmente, el derivado de la protección de datos de carácter personal, regulado en el artículo 15. A este respecto, cuando la información contuviera datos especialmente protegidos, la publicidad sólo se llevará a cabo previa disociación de los mismos”.

Estos preceptos establecen como criterio mínimo de publicidad es la identificación de los firmantes de los Convenios y adjudicatarios de las encomiendas de gestión, toda vez que la identificación clara e inequívoca de tales personas coadyuvará a un adecuado conocimiento de la actividad de los órganos que celebren el convenio o encomienden la gestión de una determinada competencia, así como el adjudicatario de la misma para, en este caso, garantizar el cumplimiento en el procedimiento de adjudicación de los principios que deben regir la actividad de las Administraciones Públicas.

La difusión de los datos personales que pueda contener la información relativa a los  procedimientos de contratación pública objeto de publicación en el perfil del contratante de acuerdo con los preceptos de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público (LCSP), deberá adecuarse, en cualquier caso, al principio de  minimización de datos.

En el contexto de la contratación pública, lo que se hace imprescindible en términos de   transparencia es la publicación de la identidad de las personas que han resultado ser   adjudicatarias, incluido el resto de licitadores, de un contrato público, dado que de lo contrario   no sería posible hacer un control eficaz del proceso de adjudicación del contrato y, por tanto, de la   gestión de los recursos públicos (artículo 63.3 del LCPS).  Y esto, hay que decir, con independencia de que se trate de personas   jurídicas o personas físicas (caso de los empresarios individuales y profesionales liberales).

Resultando necesaria la publicación de esta información para alcanzar la  finalidad de transparencia pretendida por la LCSP, se entiende que resultaría suficiente publicar el nombre y apellidos, sin  añadir ninguna otra información identificativa.

La propia LCSP al prever la publicación de la resolución de adjudicación del contrato en el perfil del contratante,  exige únicamente la difusión del nombre del adjudicatario (artículo 151.2.c)).  Es decir, la publicación del número de DNI, NIF o documento identificativo equivalente de las  personas afectadas, a efectos de transparencia, resultaría innecesaria y, por tanto, contraria  al principio de minimización.

Se puede consultar las conclusiones alcanzadas en el criterio interpretativo conjunto CI/004/2015 del CONSEJO DE TRANSPARENCIA Y BUEN GOBIERNO y la AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS, a las obligaciones de publicidad activa impuestas por la LCSP que se encuentra disponible en el siguiente enlace:

https://www.aepd.es/documento/ci-002-2015.pdf

Los datos personales relativos a las víctimas de acoso en el trabajo y a las mujeres supervivientes a la violencia de género, y en particular su identidad, tienen, con carácter general, la consideración de categorías especiales de datos personales y, en todo caso, son datos sensibles que exigen una protección reforzada.

Las Administraciones entidades tienen el deber de poner en marcha los mecanismos de actuación previstos en sus políticas de prevención del acoso, iniciando las actuaciones disciplinarias pertinentes contra los responsables de estas conductas.

Sobre estas cuestiones puede encontrar información en los siguientes enlaces:

https://www.aepd.es/prensa-y-comunicacion/blog/recomendaciones-prevencion-acoso-digital

https://www.aepd.es/documento/la-proteccion-de-datos-en-las-relaciones-laborales.pdf

https://www.aepd.es/documento/2019-0149.pdf

La Junta de personal, como órgano colegiado de representación del personal funcionario y siempre para el ejercicio de las funciones que la ley le atribuye, tendría derecho a conocer determinada información de que dispone la administración, que puede contener datos personales de los trabajadores. Ello, no obstante, la Junta de personal y sus miembros quedarán sometidos a la normativa de protección de datos con respecto al tratamiento posterior de la información personal obtenida en ejercicio de sus funciones (artículo 40 de la Ley del Estatuto Básico del Empleado Público la Ley 7/2007, EBEP).

En concreto, el artículo 41.3 del EBEP dispone que “Cada uno de los miembros de la Junta de Personal y ésta como órgano colegiado, así como los Delegados de Personal, en su caso, observarán sigilo profesional en todo lo referente a los asuntos en que la Administración señale expresamente el carácter reservado, aún después de expirar su mandato. En todo caso, ningún documento reservado entregado por la Administración podrá ser utilizado fuera del estricto ámbito de la Administración para fines distintos de los que motivaron su entrega.”

Por su parte, la Ley 19/2014, de 29 de diciembre, de transparencia, acceso a la información pública y buen gobierno (LTAIP), establece la obligación de difundir los convenios, los acuerdos y los pactos de naturaleza funcionarial, laboral y sindical (artículo 9.1.i)).

Con respecto a los datos de carácter personal que pudieran constar en las actas, la publicación o difusión sólo de la información identificativa de las personas que forman parte de la Junta de personal y la condición en que participan (representantes de los trabajadores de la sección sindical de que se trate) tampoco parecería que tuviera que plantear inconvenientes desde el punto de vista de la protección de datos. Su inclusión en el acta se adecuaría, por lo tanto, al principio de minimización de datos del artículo 5.1.c) del RGPD, de forma que los datos personales sean "adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados".

En consecuencia, la publicación de actas de órganos colegiados, como puede ser la junta de personal, la Ley 19/2013 no impone la publicación íntegra de las actas y por otra parte, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (artículo 18.1), no exige que las mismas incorporen expresamente las distintas manifestaciones efectuadas durante las deliberaciones de los órganos colegiados por sus miembros.

Respecto a la identificación personal del funcionario “que firman los escritos que son recibidos como contestación a nuestros escritos de petición de información o de queja” podemos señalar con carácter general que, la Ley 40/2015, establece como un deber de las Administraciones públicas, el de respetar en su actuación y relaciones, entre otros, el principio de transparencia, que debe regir igualmente en la actuación de los empleados públicos, de acuerdo con lo previsto en el artículo 52 del EBEP. Habida cuenta de dicho principio, se debe facilitar la identidad de las personas que prestan sus servicios en la Administración Pública a los ciudadanos que lo soliciten, sin perjuicio de situaciones excepcionales en las que dicha identificación pudiera no resultar procedente.

Además, el artículo 53.1.b) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, recoge, entre los derechos de los interesados en el procedimiento administrativo, el de "identificar a las autoridades y al personal al servicio de las Administraciones Públicas bajo cuya responsabilidad se tramiten los procedimientos".

De acuerdo a tenor de lo dispuesto en el artículo 63.3 del Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público (LCSP), parece deducirse  que, en el contexto de la contratación pública, lo que se hace imprescindible en términos de   transparencia es la publicación de la identidad de las personas que han resultado ser   adjudicatarias, incluido el resto de licitadores, de un contrato público, dado que de lo contrario   no sería posible hacer un control eficaz del proceso de adjudicación del contrato y, por tanto, de la   gestión de los recursos públicos.  Y esto, hay que decir, con independencia de que se trate de personas   jurídicas o personas físicas (caso de los empresarios individuales y profesionales liberales).  

Resultando necesaria la publicación de esta información para alcanzar la  finalidad de transparencia pretendida por la LCSP, la cuestión principal se centra, desde el punto de  vista de la minimización de datos, en determinar cuáles son los datos relativos a la  "Identidad" de estos adjudicatarios y citadores que podrían ser objeto de difusión a tal efecto.

Y, en este sentido, se entiende que resultaría suficiente publicar el nombre y apellidos, sin  añadir ninguna otra información identificativa.

La propia LCSP al prever la publicación de la resolución de adjudicación del contrato en el perfil del contratante,  exige únicamente la difusión del nombre del adjudicatario (artículo 151.2.c)).  Es decir, la publicación del número de DNI, NIF o documento identificativo equivalente de las  personas afectadas, a efectos de transparencia, resultaría innecesaria, resultando de aplicación lo dispuesto en la  disposición adicional séptima de la LOPDGDD relativa a la “Identificación de los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos”.

La disposición adicional séptima de la LOPDGDD, sobre Identificación de los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos, ha introducido un mandato específico en relación con la publicación de los actos administrativos que contengan datos de carácter personal, al objeto de minimizar el impacto que, sobre la privacidad y la protección de los datos de las personas.

Esta disposición diferencia el mecanismo de identificación de los interesados según la necesidad de hacer públicos los datos deriven de una obligación de publicar un acto administrativo o bien, sea consecuencia de la necesidad de efectuar La notificación de un acto administrativo mediante anuncios, a uno o varios interesados, y, en particular, como consecuencia de una notificación "infructuosa" prevista en el artículo 44 del LPACAP.

Cuando la publicación del acto administrativo que contenga datos personales tenga una finalidad de publicidad y de conocimiento general por parte de cualquier persona , la identificación de los afectados deberá hacerse de acuerdo con lo establecido en el párrafo primero del apartado primero de la disposición adicional séptima, esto es, mediante el nombre y apellidos del afectado añadiendo cuatro cifras numéricas aleatorias del número de su documento nacional de identidad, el número de identidad de extranjero, el pasaporte o documento equivalente.

Cuando la finalidad de la publicación sea sólo la notificación del acto administrativo a la persona interesada, el párrafo segundo del apartado primero de la disposición adicional séptima de la LOPDGDD ha previsto que el mecanismo de identificación de los afectados contenga los datos mínimos necesarias para permitir que éstos puedan conocer que la comunicación va dirigida a ellos.  En este supuesto, la identificación del interesado se efectuará a través del número completo de su documento nacional de identidad, el número de identidad de extranjero, el pasaporte o un documento equivalente. Únicamente respecto de aquellos interesados que no tenga ninguno de estos documentos, se les podrá identificar mediante su nombre y apellidos.

Cuando la publicación del acto administrativo tiene la doble finalidad, de notificar a los interesados un acto administrativo que les afecta y de conocimiento general, el criterio de identificación deberá ser el establecido en el párrafo primero del apartado primero de la disposición adicional séptima del LOPDGDD esto es, mediante el nombre y apellidos del afectado añadiendo cuatro cifras numéricas aleatorias del número de su documento nacional de identidad, el número de identidad de extranjero, el pasaporte o documento equivalente. Si la publicación se refiera a una pluralidad de afectados,  estas cifras aleatorias deberán alternarse. Este seria el caso de los procedimientos selectivos de personal.

Sobre esta cuestión  la AEPD, la Autoridad Catalana de Protección de Datos, la Agencia Vasca de Protección de Datos y el Consejo de Transparencia y Protección de Datos de Andalucía han elaborado un documento de “ORIENTACIÓN PARA LA APLICACIÓN PROVISIONAL DE LA DISPOSICIÓN ADICIONAL SÉPTIMA DE LA LOPDGDD”
 

La incorporación de la cláusula de protección de datos es un requisito formal y expreso exigido por la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público (LCSP) para todos los Pliegos de Condiciones Administrativas Particulares (PCAP), independientemente de la naturaleza de la prestación (artículo 35.1.d) y 122.2. de la LCP). Se trata de una obligación de mínimos, que garantiza que el contratista, al firmar el contrato, queda formalmente sujeto a respetar toda la normativa (RGPD y LOPDGDD) en cualquier circunstancia que pudiera surgir durante la ejecución.

En la práctica es difícil que un contrato del sector público quede totalmente exento de cualquier forma de tratamiento.
El concepto de "tratamiento" es muy amplio, abarca desde la recogida, el registro o la conservación, hasta el acceso puntual (art. 4.2 del RGPD).

Si la cláusula se omite por considerar que el servicio está totalmente libre de datos, y durante la ejecución surge la necesidad de manejar información de contacto o cualquier dato que identifique a una persona física, el contratista ya tiene la obligación legal de respetar la normativa. La exigencia de incluir una cláusula de protección de datos cuando se traten datos personales siempre existe y puede variar en función de la consideración del contratista como encargado del tratamiento o responsable 
Si la ejecución del contrato requiere el tratamiento de datos personales por cuenta del responsable del tratamiento (actuando el contratista como encargado), el pliego debe contener menciones adicionales, sin perjuicio de lo establecido en el artículo 28.2 del RGPD. En conclusión, la cláusula general es necesaria en todos los PCAP para cumplir con la legislación de contratación pública, garantizando así la licitud, lealtad y transparencia del tratamiento. Si el objeto del contrato lo requiere, esta cláusula debe ampliarse para regular la figura del encargado del tratamiento.

En este caso, dicha comunicación implicará un tratamiento de datos que deberá ampararse en una base jurídica del artículo 6.1 del RGPD, que, al referirse a tratamientos de datos personales por las Administraciones Públicas, vendrá determinada bien por la letra c: “[…]para el cumplimiento de una obligación legal […]” o por la letra e: “[…]para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos […]”, siendo que en ambos supuestos y según indica el artículo 6.2, la base jurídica deberá establecerse por el Derecho de la Unión o de los Estados miembros.

Como estamos ante un caso de norma nacional, la misma deberá tener rango de ley como así se recoge en el artículo 8 de la LOPDGDD. De esta forma, las posibles causas de licitud para la comunicación de datos a las FCS deberán ser analizadas en función de la normativa que resulte de aplicación y de la finalidad del tratamiento que implica la comunicación y teniendo en cuenta que, el tratamiento de dichos datos personales deberá ser necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

Por tanto, y en función de la norma con rango de Ley existente y aplicable en su caso, las FCS son autoridades públicas habilitadas y pueden estar legitimadas para tratar estos datos, en el marco del interés público y la seguridad pública, persiguiendo finalidades que deben ser determinadas, explícitas y legítimas (artículo 5.1.b) RGPD).

Finalmente, es importante indicar que es criterio de esta AEPD que la comunicación de datos entre Administraciones Públicas es lícita cuando se cumplan las siguientes condiciones:

• Resulte necesaria para el ejercicio de sus respectivas competencias y exista cobertura legal. En este caso, sólo se comunican los datos mínimos necesarios (nombre, DNI…)
• Que se trate de una petición concreta y específica y se usen para acciones concretas, como vigilancia en los exámenes o notificación personal. No resulta ser compatible con el principio de limitación de la finalidad, solicitudes masivas de datos. Se debe evitar la comunicación indiscriminada o innecesaria de datos.
• Que la petición se efectúe con la debida motivación, se comunique a las autoridades competentes, siempre bajo control institucional y con trazabilidad sobre el acceso a los datos personales por parte de los agentes.

La exigencia del número de soporte del DNI, para acceder a servicios de consulta y verificación de datos, se da en el contexto de una plataforma de intermediación de datos que busca facilitar el acceso a los datos de identidad sin necesidad de que la persona interesada aporte físicamente documentos. Teniendo en cuenta que el número de soporte es un identificador específico y único de la tarjeta física del DNI/NIE, su uso puede aumentar la precisión y seguridad de la verificación de la identidad y una medida que evite posibles errores o suplantaciones, todo esto en relación con los principios de exactitud e integridad y confidencialidad (artículo 5.1.d) y 5.1.f) del RGPD).

Si su función es mejorar la seguridad y precisión de la identificación electrónica y la consulta interna de datos por parte de la Administración (evitando la solicitud de documentos), se podría considerar una medida proporcionada y compatible con los principios del RGPD y cumpliría lo dispuesto en el artículo 5.1.c) del RGPD en relación con el principio de minimización de datos.

El “Derecho de supresión  se regula en el artículo 17 del RGPD y en los considerandos 65 y 66. Por su parte, el artículo 93 LOPDGDD regula expresamente el derecho al olvido en búsquedas de internet. Ambos derechos, (supresión y olvido) nacen del artículo 17 del RGPD, pero el derecho al olvido frente a buscadores que recoge el articulo 93 LOPDGDD, sirve expresamente a la finalidad de proteger al afectado de la injerencia que supone en su privacidad, que un responsable del tratamiento (el motor de búsqueda) distinto del que trata datos en origen (el editor de la página web), ofrezca una visión completa y estructurada del perfil de una persona.

El derecho de supresión previsto en el artículo 17 del RGPD se configura como el derecho que asiste a los titulares de datos de carácter personal consistente en solicitar a los responsables del tratamiento, la supresión de todos aquellos datos de su titularidad y sobre los cuales el responsable efectúe un tratamiento, cuando se den las circunstancias previstas en sus apartados 1, 2 y 3.

El artículo 17 del RGPD es aplicable al derecho al olvido frente a buscadores, pero también es aplicable al derecho de supresión en cualquier otro ámbito, sin embargo, es el articulo 93 LOPDGDD el que regula expresamente el derecho al olvido en búsquedas de internet.

Puede suceder, y de hecho sucede con frecuencia, que no proceda conceder el derecho al olvido frente al editor, y sí frente al motor de búsqueda, ya que la difusión universal que realiza el buscador, sumado a la información adicional que facilita sobre el mismo individuo cuando se busca por su nombre, puede tener un impacto desproporcionado sobre su privacidad, por lo que el ejercicio del derecho de supresión se ejerce ante el editor ( responsable de la publicación) y el derecho al olvido se debe ejercer ante los buscadores de internet ( responsable de la indexación). Esta última opción se establece para que una persona pueda impedir que se difundan sus datos en internet cuando éstos no cumplen con los requisitos de la normativa como que se trate de desactualizados o no tienen relevancia ni interés público.

Por último, y teniendo en cuenta lo anterior, habría que diferenciar la finalidad que justifica la publicidad de los datos en un sitio web, de la accesibilidad de otros sitios web, dado que mientras la primera tiene por objeto la garantía de transparencia de la Ley 19/2013, o por ejemplo, de notificación del acto administrativo por la Ley 39/2015, la segunda puede dar lugar a una finalidad distinta como es, y así lo pone de manifiesto la sentencia del TJUE de 13 de mayo de 2014, la elaboración de un perfil estructurado de una persona que incorpore toda la información referida a la misma que pudiera resultar accesible en Internet.
Esta distinta finalidad justificaría que por las sedes electrónicas en que se publicase la información pudieran adoptarse medidas que evitasen la indexación de la misma por terceros, garantizando así que el acceso se efectúa con la finalidad de establecida en la Ley que obliga a la publicación.

El tratamiento de datos que se deriva de la gestión de tasas y tributos municipales por parte del Ayuntamiento se considera generalmente un tratamiento necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable (artículo 6.1.e del RGPD y artículo 8 de la LOPDGDD). La consulta específica se refiere a la extensión de la autorización de domiciliación bancaria a un nuevo tributo dentro de un plan de pagos que es, por naturaleza, voluntario y ofrece un beneficio (descuento o fraccionamiento del pago).

Teniendo en cuenta lo anterior, si bien la recaudación del tributo se basa en una Ley (Real Decreto Legislativo 2/2004, de 5 de marzo por el que se aprueba el texto refundido de la Ley Reguladora de las Haciendas Locales y Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local), la adhesión y el mandato de pago requiere una manifestación clara de la voluntad del interesado para esa finalidad específica, especialmente al ampliar su alcance a un nuevo concepto (en este caso, nuevo tributo). Esta manifestación clara debe realizarse mediante consentimiento otorgado a través de una declaración o clara acción afirmativa, debiendo la Administración requerir a los contribuyentes que autoricen expresamente la utilización de la cuenta bancaria ya designada, siendo que, si no se otorga, los contribuyentes pudieran causar baja del plan. Este modo de actuar se alinea plenamente con los principios de licitud, transparencia y responsabilidad proactiva, estando en correlación con el artículo 7 del RGPD que exige una acción afirmativa clara e inequívoca, descartando las formas de consentimiento tácito o por omisión, que se basan en una inacción.

Partimos de la consideración de que la comunicación de los datos de las matrículas de los vehículos que diariamente acceden al aparcamiento de clientes de los negocios ubicados en la zona de bajas emisiones (ZBE), implicará un tratamiento de datos que deberá tener como causa de licitud “al menos” una de las condiciones de entre las recogidas en su artículo 6.1 del RGPD, siendo para las Administraciones Públicas, las bases jurídicas más relevantes las recogidas en:  el 6.1.c) “[…] para el cumplimiento de una obligación legal […]”, y la 6.1.e) “[…] para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos[…]”.

En ambos casos, es imprescindible que exista una norma con rango de ley que regule claramente la finalidad y habilite el tratamiento o la cesión de los datos.

La Ley 7/2021, de 20 de mayo, de cambio climático y transición energética, establece que los municipios de más de 50.000 habitantes deben adoptar planes de movilidad urbana sostenible, que incluyan, al menos, el establecimiento de ZBE.

El artículo 25 de la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local (LBRL), reconoce el medio ambiente urbano, el tráfico, el estacionamiento de vehículos y la movilidad como competencias propias de los municipios. Además, el texto refundido de la Ley sobre Tráfico, Circulación de Vehículos a Motor y Seguridad Vial atribuye a los municipios la competencia para la regulación del tráfico en vías urbanas, incluyendo la restricción de circulación por motivos ambientales.

Por lo tanto, el Ayuntamiento tiene competencias para regular y gestionar la ZBE de su municipio. Sin embargo, la forma en que se obtienen esos datos debe ser compatible con el RGPD y la LOPDGDD.

En este aspecto y enlazando con todo lo dicho, los ayuntamientos tienen la obligación de establecer zonas de bajas emisiones proporcionando, a través de las ordenanzas, qué negocios o aparcamientos públicos o privados pueden comunicar datos de los vehículos estacionados, siempre que dichas ordenanzas sean el desarrollo de una misión de interés público o competencias legales, y siempre alienadas con las bases de legitimación del RGPD.

En este supuesto debemos ponderar el derecho al acceso a dicho expediente administrativo basado en el principio de transparencia, con el derecho fundamental a la protección de datos personales de los terceros implicados.

Teniendo en cuenta lo indicado en el 12.5 de la LOPDGDD al remitir a las leyes aplicables a determinados tratamientos cuando se establezca un régimen especial que afecte al ejercicio de los derechos previstos en el Capítulo III del Reglamento (UE) 2016/79. Siendo éste el caso, acudimos al artículo 53.1 a) de la LPACAP  que reconoce el derecho de los interesados en un procedimiento, a acceder a los datos obrantes en el mismo, entre los que pueden quedar incluidos los de otras personas que pudieran participar en el mismo procedimiento, y, en consecuencia, se genera una obligación de la Administración de facilitar tales datos.

Esta obligación de la Administración será la base jurídica que legitima este tratamiento consistente en la puesta a disposición del expediente, con los datos personales de los afectados, recogido en el artículo 6.1. c) del RGPD. Para poder aplicar, en el caso que nos ocupa, el artículo 6.1.c) del RGPD, es necesario acudir al artículo 8 de la LOPDGDD donde, en su apartado 1, indica que “el tratamiento de datos personales sólo podrá considerarse fundado en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el artículo 6.1.c) RGPD cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley […]. Por lo tanto, y siendo la citada LPACAP norma con rango de ley de acuerdo a este artículo 8.1 LOPDGDD, encontraríamos el amparo al acceso al expediente mediante el artículo 6.1.c) del RGPD.

Por otro lado, teniendo en cuenta que los candidatos ostentan la condición de interesados, se les debe reconocer el derecho establecido en el artículo 53 de la Ley 39/2015, pero debiendo respetarse los principios relativos al tratamiento que, en este caso, el artículo 5.1.c) del RGPD recoge cuando indica “Los datos personales serán: […] c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (“minimización de datos”).

Por tanto, el derecho de acceso a los expedientes administrativos y a la obtención de copias de los documentos contenidos en los mismos, reconocido legalmente a los interesados, no ampara tal acceso por cualquier medio o procedimiento, a voluntad del interesado, ni la posibilidad de obtener fotocopias de la totalidad de los documentos que contiene, sino solo en relación con aquellos documentos en relación con los cuales mostrara un interés legítimo y en la forma prevista por la Administración, siendo que la utilización de esta información para otras finalidades, su comunicación a terceros o su divulgación pueden ser constitutivas de una infracción a lo previsto en la normativa de protección de datos.

En consecuencia, y según todo lo indicado anteriormente, el Tribunal podría facilitar una copia de la plantilla o baremación con el desglose de las puntuaciones otorgadas a todos los candidatos, pero dicha información se deberá proporcionar de forma disociada, mediante códigos anónimos. Y en el caso de que la divulgación de esta documentación pueda suponer un perjuicio negativo a los derechos y libertades de los otros interesados (artículo 15.4 RGPD) aun disociada, se podría denegar el acceso en virtud del límite de protección de datos personales de terceros.

En todo caso, se trata de una decisión que deberá valorar el propio Tribunal con el asesoramiento del DPD.