El Gabinete Jurídico de la Agencia Española de Protección de Datos ha emitido un Informe (núm. 2018/0175) sobre las diferentes bases jurídicas que legitiman el tratamiento de datos por la Administración Pública.
Este Informe es una ampliación del anteriormente emitido en los expedientes 108/2018 y 155/2018, e incorpora unas “Conclusiones” para un más fácil entendimiento y aplicación del mismo, sobre todo en los supuestos de cesión de datos que puedan plantearse, y en general en los casos en que necesite acudir al mismo para resolver alguna duda.
El documento presenta las siguientes conclusiones:
- 1. Con carácter general, la base jurídica del tratamiento en las relaciones con la Administración, en aquellos supuestos en que existe una relación en la que no puede razonablemente predicarse que exista una situación de equilibrio entre el responsable del tratamiento (la Administración), y el interesado (el administrado) no sería el consentimiento (art. 6.1.a) RGPD), sino, según los casos, el cumplimiento de una obligación legal (art. 6.1.c) RGPD) o el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos (art. 6.1.e) RGPD).
- 2. El sentido de la expresión “obligación legal” contenida en el artículo 6.1.c) RGPD, equivale, en la regulación española de protección de datos, a “obligación establecida en una norma con rango de ley”.
- 3. Los tratamientos de datos que lleve a cabo la Administración están sujetos a los principios establecidos en el RGPD, y entre ellos, el principio de minimización (art. 5.1.c) RGPD), por lo que sólo están amparados los tratamientos de datos personales que sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que dichos datos son tratados.
- 4. Dado que, en principio, la Administración ha de actuar siempre vinculada a la ley y al derecho, su actuación tanto en el campo del derecho público como del derecho privado vendría amparado por el concepto de “interés público” previsto en el art. 6.1.e) RGPD) .
- 5. La Administración no puede utilizar como base jurídica del tratamiento el interés legítimo del apartado f) del párrafo 1 del artículo 6, siempre que se entienda que el apartado e) “misión de interés público” habrá de interpretarse en un sentido amplio de forma que permita a las Administraciones, incluso en el ámbito del Derecho Privado, los tratamientos de datos personales necesarios para las finalidades legítimas que el ordenamiento les concede o permite.El informe añade, sin embargo, que pese a que esta interpretación del RGPD es la que se considera más correcta, otras autoridades nacionales, como el ICO británico, podrían sostener una interpretación distinta, por lo que “si llega algún asunto al Tribunal de Justicia [a este] le corresponderá la decisión definitiva”.
- 6. No es necesario el consentimiento del interesado para que por otra Administración diferente se ceda el dato personal del domicilio del interesado con la finalidad de notificarle algún trámite en un procedimiento administrativo.(Como ocurre, por ejemplo cuando ante la imposibilidad de notificar un trámite a un interesado, y antes de recurrir a la publicación prevista en el artículo 44 LPAC, se intenta una nueva notificación en otro domicilio del interesado del que otro órgano administrativo u otra Administración pública tienen conocimiento).
- 7. No cabe un acceso masivo e indiscriminado a datos personales [recogidos por una Administración Pública a otra Administración] (1) . Cuando exista la posibilidad de cesión establecida en una ley, dicho acceso deberá ser siempre “específico en cada caso ajustado a los datos que resulten precisos para la tramitación de un expediente determinado y no de un acceso masivo e indiscriminado” y “tal acceso sólo podría producirse cuando ese dato resulte necesario o pertinente en relación con la tramitación de un concreto expediente, lo que permite analizar o determinar en cada caso la conformidad del acceso con lo establecido en el régimen General que le resulte de aplicación.” (STC 19/2013, FJ 7º)
- 8. Ahora bien, cabrán cesiones de datos entre las Administración Públicas (entre otros supuestos a que se hace referencia más adelante) cuando sus competencias no sean diferentes o no versen sobre materias distintas.
- 9. En relación con la posibilidad contemplada en los apartados c) y e) del art. 6.1 del RGPD, que permite que se introduzcan por el legislador nacional “disposiciones más específicas a fin de adaptar la aplicación de las normas del presente Reglamento con respecto al tratamiento en cumplimiento del apartado 1, letras c) y e), (…)”, el informe concluye que “Si existiese dicha norma, un tratamiento basado en la misma sería “lícito”, por disposición del propio RGPD aun cuando su finalidad fuese incompatible con la finalidad para la que se recogieron los datos inicialmente”.Por ello, sería lícito, desde el punto de vista de la normativa de protección de datos personales, una cesión de datos personales efectuada por una Administración a otra, aun cuando dichos datos hubiesen sido recogidos para una finalidad diferente a la finalidad para la que se van a utilizar los datos por la Administración cesionaria, si las finalidades para las que se van a utilizar están contenidas en una norma del Derecho de la Unión o del Estado miembro que constituya que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el Gabinete Jurídico 22 artículo 23, apartado 1 (art. 6.4 RGPD). Y
- 10. Incluso en aquellos casos en que la finalidad del tratamiento para el que se solicita la cesión de los datos por una Administración a otra es distinta de la finalidad inicial para la que se recabaron dichos datos, podría tener lugar dicha cesión, siempre que el responsable (la Administración cedente), tras realizar un análisis de las circunstancias conforme a los criterios previstos en el art. 6.4 RGPD (u otros razonables, ya que no tienen carácter exhaustivo) considere que dicha finalidad diferente para las que se solicitan es compatible con el fin para el cual se recogieron inicialmente los datos personales.
En definitiva, se trata, como señala el informe, de intentar evitar que existan lo que ha dado en denominarse “ciudadanos de cristal”, de modo que cualquier Administración no ha de tener un conocimiento expandido de todos los aspectos posibles de la personalidad de los ciudadanos, incluso de aquellos aspectos que sean innecesarios o superfluos para el ejercicio de sus potestades, conferidas por el ordenamiento para el interés público.
Fuente: www.diariolaley.es