accesskey_mod_content

A reutilización da información vinculada a persoas físicas: O alcance dos criterios interpretativos da Axencia Española de Protección de Datos

  • Escoitar
  • Imprimir PDF
  • Compartir

"Noticia dispoñible unicamente con fins históricos e de hemeroteca. A información e ligazóns mostradas correspóndense cos que estaban operativos á data da súa publicación. Non se garante que continúen activos actualmente".

10 febreiro 2017

Trátase, sen dúbida, dunha das principais dificultades xurídicas que se expoñen cando se pretende ofrecer o acceso á información en man das entidades públicas, xa que con relativa frecuencia a información adoita estar vinculada coa identidade de persoas físicas.

A Axencia Española de Protección de Datos fixo públicas as súas orientacións sobre as implicacións do citado dereito fundamental no contexto das iniciativas e proxectos de reutilización da información do sector público. Estamos ante unha verdadeira encrucillada xa que se pretende ofrecer o acceso á información en man das entidades públicas pero, á súa vez, a información é probable que estea vinculada coa identidade de persoas físicas, xa porque aparece recollida en expedientes administrativos relativos á tramitación de procedementos que lles afectan como interesadas ou porque a súa identificación resulta imprescindible para o cumprimento dos fins propios das Administracións Públicas.

Con carácter xeral o  artigo 6 da Lei Orgánica 15/1999, do 13 de decembro, de Protección dos Datos de Carácter Persoal(Abre en nova xanela)  esixe que a información relativa a persoas físicas identificadas ou identificables só poida ser tratada previo o seu consentimento informado ou, na súa falta, cando exista habilitación legal respecto diso. Precisamente, a lexislación que regula o acceso e a reutilización da información en mans do sector público ha suposto un avance importante a este respecto, de maneira que  a simple presenza de datos persoais non supón necesariamente un impedimento definitivo para impedir a reutilización(Abre en nova xanela) . Ou, en palabras do Grupo de Traballo do Artigo 29 sobre Protección de Datos, non pode constituír un obstáculo inxustificado ao desenvolvemento do mercado da reutilización no ámbito europeo, tal e como sinalou no seu  Ditame 06/2013(Abre en nova xanela) .

Desde estas premisas, a AEPD pretende fixar no ámbito estatal os criterios xerais para facer compatibles a protección dos datos persoais coa reutilización da información á que se atopan vinculados. En todo caso, debe terse en conta que se trata simplemente dunha interpretación pero que non ten carácter vinculante por canto este criterios non son propiamente normas xurídicas en sentido estrito, nin tampouco se fixan ao abeiro de  a potestade que ten dita institución para ditar instrucións en virtude do disposto no artigo 37.1.c) da citada Lei Orgánica 15/1999(Abre en nova xanela) .

Agora ben, é moi previsible que a Axencia se basearía nas orientacións que fixo públicas no caso de que tivese que exercer as súas competencias, en particular se se iniciase un procedemento sancionador, de aí a importancia de coñecer de maneira precisa o alcance das mesmas.

En primeiro lugar débese ter en conta que, segundo recoñece a Axencia, non se pode impedir a reutilización da información polo simple feito de que apareza vinculada a unha persoa física, pois dita conclusión sería contraria á necesidade de ponderar cal de ambos os bens xurídicos debe prevalecer, esixencia que se deriva do disposto en o  artículo 3.4 de la Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público(Abre en nova xanela) . Salvo que, como indica leste mesmo precepto, procédase á disociación dos datos respecto do seu titular, o que nos obrigaría a ter en conta as  orientacións específicas que a propia Axencia publicou en relación aos procedementos de anonimización(Abre en nova xanela) .

En segundo lugar, la Agencia establece una distinción de gran relevancia en función de cómo se hubiese obtenido la información que se pretende reutilizar, partiendo para ello de las dos modalidades que se distinguen en la legislación general sobre transparencia: es decir, de una parte, los supuestos denominados de publicidad activa, donde es la propia entidad pública la que sin petición alguna está obligada a difundir la información o decide hacerlo sin que exista una obligación legal y, de otra, el caso en que sí existe una solicitud formal de acceso a información que se encuentre en poder de un sujeto obligado legalmente a ofrecerla. Pues bien, la Agencia considera que considera que la modalidad del acceso puede resultar determinante en cuanto a las posibilidades de reutilizar la información que incluya datos personales de manera que:

  • Cando se trate de información libremente accesible a través da publicidade activa (sede electrónica, páxina web, portais de transparencia…) en principio existiría unha inclinación a permitir a súa reutilización, aínda que a licitud do este tratamento pasaría por unha previa análise de compatibilidade entre a finalidade que xustificou a difusión e a garantía do dereito fundamental. Noutras palabras, podería darse o caso de que o uso que se pretende dar á información publicada non fose conforme coa razón que xustificou a publicación, suposto en que resultaría necesaria a anonimización.
  • Pola contra, cando se acceda á información como consecuencia do exercicio do dereito de acceso a Axencia considera que, máis aló do xuízo de compatibilidade antes referido, debería terse en conta se a razón que xustifica o acceso tamén podería servir para permitir a reutilización. Esta formulación lévanos, en consecuencia, a admitir a posibilidade de que se poida dispor dos datos vinculados ao seu titular pero non, en cambio, empregalos para finalidades distintas das que se fundamentaron o acceso e, en particular, proceder á súa reutilización con fins comerciais. Trátase, pois, dunha limitación importante se temos en conta que no caso das Administracións Públicas a información trátase para a consecuencia de finalidades vinculadas co interese xeral e, con carácter xeral, sen consentimento dos afectados. Así pois, dificilmente cabería aceptar que se utilizase para calquera outra finalidade, mesmo no ámbito público, xa que neste caso aplicaríanse as restricións que especificamente prevé a normativa sobre protección de datos.

Así pois, o simple feito de dispor lícitamente de información vinculada a persoas físicas identificadas ou identificables non permite, sen maiores consideracións, a súa reutilización con carácter xeral, sendo preciso ter en conta os criterios expostos. En definitiva, se non se cumpren tales orzamentos e segundo o criterio da Axencia Española de Protección de Datos, a única alternativa admisible sería a anonimización dos datos, é dicir, desvinculalos do seu titular, o que determinaría en definitiva a inaplicación das restricións derivadas da normativa sobre protección de datos persoais posto que, se se realiza conforme ás esixencias que ela mesma expón, xa non poderían considerarse identificable a persoa física a que refírese a información.

Fonte orixinal da noticia(Abre en nova xanela)

  • Cidadán
  • Goberno aberto, Informes e Estudios
  • Seguridade e Protección de Datos