Sistemas municipales de gestión de residuos mediante tarjeta ciudadana: exigencias de base jurídica, transparencia y evaluación de impacto

La implantación de sistemas tecnológicos en el ámbito municipal para la gestión de servicios públicos puede implicar el tratamiento de datos personales cuando se utilizan mecanismos para identificar a las personas que los usan. Este tratamiento debe ajustarse plenamente a las exigencias del Reglamento (UE) 2016/679 (RGPD). 

En este contexto, en la Resolución publicada se analiza un caso de implantación de un sistema de apertura de contenedores de residuos orgánicos en una localidad por parte de un Ayuntamiento. Para permitir la apertura de estos contenedores es necesario emplear una tarjeta ciudadana inicialmente creada para acceder a distintos servicios municipales.  

La gestión técnica del sistema se articula a través de una empresa municipal vinculada al propio ayuntamiento, que se encarga de prestar el servicio de recogida de residuos, de tal forma que al pasar la tarjeta por encima del lector del contenedor se remite a los servidores de la empresa municipal la siguiente información: los números completos de las tarjetas ciudadanas de las personas que han utilizado los contenedores, asociados a los identificadores de los contenedores (con lo que se conoce su ubicación), y la fecha y hora de la utilización. A partir de dichos datos, se realizan informes sobre estadísticas y datos agregados sobre la utilización de los contenedores de residuos  que se remiten al ayuntamiento. 

Así pues, el sistema registra las aperturas realizadas mediante el almacenamiento del número de la tarjeta, junto con información relativa al uso del servicio.  

Números de tarjetas ciudadanas o similares como dato personal 

En relación con la naturaleza de los datos tratados, el Ayuntamiento mantenía que no existía tratamiento de datos personales, ignorando con ello que el uso del número de una tarjeta ciudadana constituye tratamiento de datos personales cuando permite la identificación, directa o indirecta, de las personas físicas. De conformidad con la definición del artículo 4 del RGPD, no cabe duda de que el número de la tarjeta ciudadana es un dato personal que se vincula, además, a otros datos personales de la persona, como el nombre y apellidos, DNI, fecha de nacimiento, sexo, domicilio y teléfono.  

Por tanto, es de interés recordar a las entidades que la utilización de este tipo de identificadores no excluye la aplicación del RGPD ni las obligaciones que corresponden al responsable del tratamiento. 

Base de licitud para cada finalidad y necesidad del tratamiento 

Este tipo de tratamiento plantea, en primer lugar, la cuestión de su licitud. De conformidad con el artículo 6 del RGPD, todo tratamiento de datos personales debe basarse en una de las condiciones (bases de licitud) previstas en dicho precepto.  

En el ámbito de las administraciones públicas, ello exige que el tratamiento esté vinculado al ejercicio de una competencia atribuida y cuente con una base jurídica adecuada para cada finalidad del tratamiento.  

La Resolución aclara que las bases de licitud alegadas por el Ayuntamiento no legitimaban el tratamiento. Tanto la base de licitud del artículo 6.1.c) del RGPD (necesario para el cumplimiento obligación legal), como la del artículo 6.1.e) del RGPD (necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos) requieren que la finalidad del tratamiento (en este caso, la necesidad de registrar las recogidas de residuos con tarjetas ciudadanas que registran datos personales) deba estar prevista por una norma del derecho de la UE o el derecho de los Estados miembros.  

En el caso de España, el artículo 8 de la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD) exige que esas bases de legitimación se encuentren en una norma con rango de ley.  En el procedimiento no constó acreditada la existencia de ninguna norma con rango de ley que obligase o legitimase al ayuntamiento en los términos previstos en el artículo 6 del RGPD a realizar tratamiento de datos personales alguno para cumplir con sus obligaciones de recogida, transporte y tratamiento de los residuos domésticos.  

En segundo lugar, debe valorarse si el tratamiento es necesario para prestar este servicio, lo que es requisito previsto en el propio artículo 6.1.c) y e), pero también se deriva de la aplicación del Principio de necesidad y proporcionalidad de los tratamientos previsto en el artículo 5.1.c) del RGPD. La Resolución señala que, en este caso, no se apreciaba la existencia de la mencionada “necesidad”, más cuando el Ayuntamiento manifestó durante las actuaciones de investigación que la finalidad a alcanzar mediante ese tratamiento no era prestar el servicio de recogida de residuos, sino “conocer el uso que se hace de los mismos, en las zonas donde se ha implantado la recogida orgánica y proceder a una mayor o menor frecuencia de recogida o a la instalación de mayor o menor número de este tipo de contenedores”. Esta finalidad podría alcanzarse sin necesidad de realizar un tratamiento de datos personales.  

Debe tenerse presente, en tercer lugar, que la utilización de datos asociados a una tarjeta ciudadana para una finalidad distinta de aquella para la que fue inicialmente concebida requiere, en todo caso, una justificación específica de su licitud, que no puede derivarse de forma genérica de la prestación de servicios municipales, puesto que lo contrario supone una vulneración del Principio de limitación de finalidad previsto en el artículo 5.1.b) del RGPD. 

Otras obligaciones derivadas de este tipo de tratamientos 

Asimismo, el principio de transparencia exige que los interesados sean informados de manera clara y específica sobre las finalidades del tratamiento y el uso de sus datos personales, lo que no sucedió en el caso analizado en la Resolución. La falta de información adecuada impide a la ciudadanía conocer el alcance del tratamiento y ejercer sus derechos en los términos previstos en el Reglamento. Y, en este caso, la información publicada en la política de privacidad de la web y en los formularios sobre el servicio de recogida de residuos no contenía toda la información prevista en los artículos 13 y 14 del RGPD, puesto que no informaba sobre los fines del tratamiento, su base jurídica, ni el plazo durante el cual se conservaban los datos personales. 

También es necesario hacer constar en el Registro de Actividades de Tratamiento (RAT) los elementos previstos en el artículo 30 del RGPD, reconociéndose en este caso que, incluso tras haber rectificado este RAT, el Ayuntamiento seguía sin mencionar de forma detallada  los servicios que se podían utilizar a través de la Tarjeta Ciudadana, sino que se hacía de forma genérica para los Organismos autónomos y empresas municipales.  

Por otra parte, cuando el tratamiento de datos personales se realiza mediante sistemas tecnológicos que registran el uso de servicios públicos asociados a identificadores individuales, debe valorarse la necesidad de realizar una evaluación de impacto relativa a la protección de datos, conforme al artículo 35 del Reglamento, cuando sea probable que dicho tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas. A través del sistema establecido se podían conocer comportamientos de los usuarios, así como sus movimientos, toda vez que el sistema de apertura de los contenedores permite recoger el dato de qué contenedor, así como el momento exacto en el que se ha abierto. Esta evaluación debe realizarse con carácter previo a la implantación del sistema, reconociendo el Ayuntamiento en este caso que llevaba más de dos décadas utilizando la tarjeta ciudadana para diferentes servicios sin haber realizado un análisis de riesgos ni una evaluación de impacto.  

Asimismo, en los supuestos en los que intervienen distintas entidades del sector público en la gestión del sistema, resulta necesario definir adecuadamente las funciones y responsabilidades de cada una de ellas en relación con el tratamiento de datos personales. Y deben fijarse límites de conservación de los datos personales, puesto que lo contrario supone vulnerar el artículo 5.1.e) del RGPD.  

En un caso como el descrito, la utilización de la tarjeta ciudadana para la apertura de contenedores de residuos, con registro de su uso para toda la población, sin una base jurídica adecuadamente definida, sin información específica a las personas que debían usarla, sin hacer constar la finalidad del tratamiento en el Registro de Actividades de Tratamiento, sin poner un límite de conservación de datos personales, y sin la realización previa de una evaluación de impacto, determina la falta de conformidad del tratamiento con el RGPD. 

Esto mismo puede aplicarse a toda implantación de sistemas tecnológicos en el ámbito municipal, y en general, en el sector público, siempre que impliquen el tratamiento de datos personales mediante identificadores asociados a los usuarios de servicios públicos. Ello siempre requerirá, con carácter previo, la justificación de necesidad y proporcionalidad del tratamiento, la definición de una base de licitud adecuada, el ajuste a la finalidad del tratamiento, el cumplimiento del deber de información, la limitación de los plazos de conservación,  la inclusión en el Registro de Actividades  y, en su caso, la realización de una evaluación de impacto relativa a la protección de datos, garantizando en todo momento el respeto a los principios y obligaciones establecidas en el Reglamento General de Protección de Datos.