L'Agència Espanyola de Protecció de Dades va fer públiques les seves orientacions sobre les implicacions del citat dret fonamental en el context de les iniciatives i projectes de reutilització de la informació del sector públic. Estem davant una veritable cruïlla ja que es pretén oferir l'accés a la informació en mà de les entitats públiques però, al seu torn, la informació és probable que estigui vinculada amb la identitat de persones físiques, ja perquè apareix recollida en expedients administratius relatius a la tramitació de procediments que els afecten com a interessades o perquè la seva identificació resulta imprescindible per al compliment de les finalitats pròpies de les Administracions Públiques.
Amb caràcter general el article 6 de la Llei Orgànica 15/1999, de 13 de desembre, de Protecció de les Dades de Caràcter Personal
exigeix que la informació relativa a persones físiques identificades o identificables només pugui ser tractada previ el seu consentiment informat o, en defecte d'això, quan existeixi habilitació legal sobre este tema. Precisament, la legislació que regula l'accés i la reutilització de la informació en mans del sector públic ha suposat un avanç important referent a això, de manera que la simple presència de dades personals no suposa necessàriament un impediment definitiu per impedir la reutilització . O, en paraules del Grup de Treball de l'Article 29 sobre Protecció de Dades, no pot constituir un obstacle injustificat al desenvolupament del mercat de la reutilització en l'àmbit europeu, tal com ha assenyalat en el seu Dictamen 06/2013 .
Des d'aquestes premisses, l'AEPD pretén fixar en l'àmbit estatal els criteris generals per fer compatibles la protecció de les dades personals amb la reutilització de la informació a la qual es troben vinculats. En tot cas, ha de tenir-se en compte que es tracta simplement d'una interpretació però que no té caràcter vinculant puix que aquests criteris no són pròpiament normes jurídiques en sentit estricte, ni tampoc es fixen a l'empara de la potestat que té aquesta institució per dictar instruccions en virtut del que es disposa en l'article 37.1.c) de la citada Llei Orgànica 15/1999 .
Ara bé, és molt previsible que l'Agència es basaria en les orientacions que ha fet públiques en el cas que hagués d'exercir les seves competències, en particular si s'iniciés un procediment sancionador, d'aquí la importància de conèixer de manera precisa l'abast de les mateixes.
En primer lloc s'ha de tenir en compte que, segons reconeix l'Agència, no es pot impedir la reutilització de la informació pel simple fet que aparegui vinculada a una persona física, doncs aquesta conclusió seria contrària a la necessitat de ponderar quin de tots dos béns jurídics ha de prevaler, exigència que es deriva del que es disposa en el article 3.4 de la Llei 37/2007, de 16 de novembre, sobre reutilització de la informació del sector públic . Tret que, com indica aquest mateix precepte, es procedeixi a la dissociació de les dades respecte del seu titular, la qual cosa ens obligaria a tenir en compte les orientacions específiques que la pròpia Agència ha publicat en relació als procediments d'anonimització .
En segon lloc, l'Agència estableix una distinció de gran rellevància en funció de com s'hagués obtingut la informació que es pretén reutilitzar, partint per a això de les dues modalitats que es distingeixen en la legislació general sobre transparència: és a dir, d'una part, els supòsits denominats de publicitat activa, on és la pròpia entitat pública la que sense petició alguna està obligada a difondre la informació o decideix fer-ho sense que existeixi una obligació legal i, d'una altra, el cas en què sí existeix una sol·licitud formal d'accés a informació que es trobi en poder d'un subjecte obligat legalment a oferir-la. Doncs bé, l'Agència considera que considera que la modalitat de l'accés pot resultar determinant quant a les possibilitats de reutilitzar la informació que inclogui dades personals de manera que:
- Quan es tracti de informació lliurement accessible a través de la publicitat activa (seu electrònica, pàgina web, portals de transparència…) en principi existiria una inclinació a permetre la seva reutilització, si bé la licitud d'aquest tractament passaria per una prèvia anàlisi de compatibilitat entre la finalitat que va justificar la difusió i la garantia del dret fonamental. En altres paraules, podria donar-se el cas que l'ús que es pretén donar a la informació publicada no fos conforme amb la raó que va justificar la publicació, suposat que resultaria necessària l'anonimització.
- Per contra, quan es accedeixi a la informació com a conseqüència de l'exercici del dret d'accés l'Agència considera que, més enllà del judici de compatibilitat abans referit, hauria de tenir-se en compte si la raó que justifica l'accés també podria servir per permetre la reutilització. Aquest plantejament ens porta, en conseqüència, a admetre la possibilitat que es pugui disposar de les dades vinculades al seu titular però no, en canvi, emprar-los per a finalitats diferents de les quals es van fonamentar l'accés i, en particular, procedir a la seva reutilització amb finalitats comercials. Es tracta, doncs, d'una limitació important si tenim en compte que en el cas de les Administracions Públiques la informació es tracta per a la conseqüència de finalitats vinculades amb l'interès general i, amb caràcter general, sense consentiment dels afectats. Així doncs, difícilment caldria acceptar que s'utilitzés per a qualsevol altra finalitat, fins i tot en l'àmbit públic, ja que en aquest cas s'aplicarien les restriccions que específicament preveu la normativa sobre protecció de dades.
Així doncs, el simple fet de disposar lícitament d'informació vinculada a persones físiques identificades o identificables no permet, sense majors consideracions, la seva reutilització amb caràcter general, sent precís tenir en compte els criteris exposats. En definitiva, si no es compleixen tals pressupostos i segons el criteri de l'Agència Espanyola de Protecció de Dades, l'única alternativa admissible seria l'anonimització de les dades, és a dir, desvincular-los del seu titular, la qual cosa determinaria en definitiva la inaplicación de les restriccions derivades de la normativa sobre protecció de dades personals lloc que, si es realitza conforme a les exigències que ella mateixa planteja, ja no podrien considerar-se identificable la persona física al fet que es refereix la informació.
