La Agencia Española de Protección de Datos hizo públicas sus orientaciones sobre las implicaciones del citado derecho fundamental en el contexto de las iniciativas y proyectos de reutilización de la información del sector público. Estamos ante una verdadera encrucijada ya que se pretende ofrecer el acceso a la información en mano de las entidades públicas pero, a su vez, la información es probable que esté vinculada con la identidad de personas físicas, ya porque aparece recogida en expedientes administrativos relativos a la tramitación de procedimientos que les afectan como interesadas o porque su identificación resulta imprescindible para el cumplimiento de los fines propios de las Administraciones Públicas.
Con carácter general el artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de los Datos de Carácter Personal exige que la información relativa a personas físicas identificadas o identificables sólo pueda ser tratada previo su consentimiento informado o, en su defecto, cuando exista habilitación legal al respecto. Precisamente, la legislación que regula el acceso y la reutilización de la información en manos del sector público ha supuesto un avance importante a este respecto, de manera que la simple presencia de datos personales no supone necesariamente un impedimento definitivo para impedir la reutilización . O, en palabras del Grupo de Trabajo del Artículo 29 sobre Protección de Datos, no puede constituir un obstáculo injustificado al desarrollo del mercado de la reutilización en el ámbito europeo, tal y como ha señalado en su Dictamen 06/2013 .
Desde estas premisas, la AEPD pretende fijar en el ámbito estatal los criterios generales para hacer compatibles la protección de los datos personales con la reutilización de la información a la que se encuentran vinculados. En todo caso, debe tenerse en cuenta que se trata simplemente de una interpretación pero que no tiene carácter vinculante por cuanto dichos criterios no son propiamente normas jurídicas en sentido estricto, ni tampoco se fijan al amparo de la potestad que tiene dicha institución para dictar instrucciones en virtud de lo dispuesto en el artículo 37.1.c) de la citada Ley Orgánica 15/1999 .
Ahora bien, es muy previsible que la Agencia se basaría en las orientaciones que ha hecho públicas en el supuesto de que tuviera que ejercer sus competencias, en particular si se iniciara un procedimiento sancionador, de ahí la importancia de conocer de manera precisa el alcance de las mismas.
En primer lugar se debe tener en cuenta que, según reconoce la Agencia, no se puede impedir la reutilización de la información por el simple hecho de que aparezca vinculada a una persona física, pues dicha conclusión sería contraria a la necesidad de ponderar cuál de ambos bienes jurídicos debe prevalecer, exigencia que se deriva de lo dispuesto en el artículo 3.4 de la Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público . Salvo que, como indica este mismo precepto, se proceda a la disociación de los datos respecto de su titular, lo que nos obligaría a tener en cuenta las orientaciones específicas que la propia Agencia ha publicado en relación a los procedimientos de anonimización .
En segundo lugar, la Agencia establece una distinción de gran relevancia en función de cómo se hubiese obtenido la información que se pretende reutilizar, partiendo para ello de las dos modalidades que se distinguen en la legislación general sobre transparencia: es decir, de una parte, los supuestos denominados de publicidad activa, donde es la propia entidad pública la que sin petición alguna está obligada a difundir la información o decide hacerlo sin que exista una obligación legal y, de otra, el caso en que sí existe una solicitud formal de acceso a información que se encuentre en poder de un sujeto obligado legalmente a ofrecerla. Pues bien, la Agencia considera que considera que la modalidad del acceso puede resultar determinante en cuanto a las posibilidades de reutilizar la información que incluya datos personales de manera que:
- Cuando se trate de información libremente accesible a través de la publicidad activa (sede electrónica, página web, portales de transparencia…) en principio existiría una inclinación a permitir su reutilización, si bien la licitud de dicho tratamiento pasaría por un previo análisis de compatibilidad entre la finalidad que justificó la difusión y la garantía del derecho fundamental. En otras palabras, podría darse el caso de que el uso que se pretende dar a la información publicada no fuese conforme con la razón que justificó la publicación, supuesto en que resultaría necesaria la anonimización.
- Por el contrario, cuando se acceda a la información como consecuencia del ejercicio del derecho de acceso la Agencia considera que, más allá del juicio de compatibilidad antes referido, debería tenerse en cuenta si la razón que justifica el acceso también podría servir para permitir la reutilización. Este planteamiento nos lleva, en consecuencia, a admitir la posibilidad de que se pueda disponer de los datos vinculados a su titular pero no, en cambio, emplearlos para finalidades distintas de las que se fundamentaron el acceso y, en particular, proceder a su reutilización con fines comerciales. Se trata, pues, de una limitación importante si tenemos en cuenta que en el caso de las Administraciones Públicas la información se trata para la consecuencia de finalidades vinculadas con el interés general y, con carácter general, sin consentimiento de los afectados. Así pues, difícilmente cabría aceptar que se utilizase para cualquier otra finalidad, incluso en el ámbito público, ya que en este caso se aplicarían las restricciones que específicamente prevé la normativa sobre protección de datos.
Así pues, el simple hecho de disponer lícitamente de información vinculada a personas físicas identificadas o identificables no permite, sin mayores consideraciones, su reutilización con carácter general, siendo preciso tener en cuenta los criterios expuestos. En definitiva, si no se cumplen tales presupuestos y según el criterio de la Agencia Española de Protección de Datos, la única alternativa admisible sería la anonimización de los datos, es decir, desvincularlos de su titular, lo que determinaría en definitiva la inaplicación de las restricciones derivadas de la normativa sobre protección de datos personales puesto que, si se realiza conforme a las exigencias que ella misma plantea, ya no podrían considerarse identificable la persona física a que se refiere la información.