Publicación de datos personales en tablones electrónicos

El tweet que provoca el debate:

El interrogante inicial:


(Inciso ——> En este momento nace #DebateAbiertoCon)

Ruth: Por lo que te leo, el supuesto podría encajar en el del art. 59.6.b) de la Ley 30/1992, de 26 de noviembre, del Régimen Jurídico de las Administraciones y del Procedimiento Administrativo común (Ley 30/92):

“6. La publicación, en los términos del artículo siguiente, sustituirá a la notificación surtiendo sus mismos efectos en los siguientes casos:

a) (…)

b) Cuando se trata de actos integrantes de un procedimiento selectivo o de concurrencia competitiva de cualquier tipo. En este caso, la convocatoria del procedimiento deberá indicar el tablón de anuncios o medios de comunicación donde se efectuarán las sucesivas publicaciones, careciendo de validez las que se lleven a cabo en lugares distintos”.

Entiendo que, si una normativa lo recogiera para el supuesto concreto, la Administración puede disponer en su convocatoria que la notificación se efectuará por medio de publicación en su tablón de anuncios y en su tablón electrónico, poniendo este artículo en relación con el 12 de la Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (Ley 11/2007), que dispone:

La publicación de actos y comunicaciones que, por disposición legal o reglamentaria deban publicarse en tablón de anuncios o edictos podrá ser sustituida o complementada por su publicación en la sede electrónica del organismo correspondiente.

Deduzco, por lo de #LOLPD (¡qué hashtag tan grande, @NTAbogados!) que la sorna de tu tuit guarda relación con la protección de datos, (¿has visto que perspicaz soy? guiño-guiño-codazo), pero ¿me puedes explicar exactamente el motivo?

Susana: A raíz del “tweet de la discordia” veo que se suscitan, como mínimo, dos preguntas en relación con los tablones de anuncios electrónicos:

1. El contenido que pueden tener dichos tablones.

2. Las medidas en materia de protección de datos que hace falta adoptar en relación con los documentos que se publican en los tablones electrónicos.

En relación con la cuestión 1, hay que destacar que no está establecido de forma expresa qué contenidos deben (o pueden) ser publicados en el tablón de anuncios electrónico, y éstos se infieren de la Ley 30/1992 puesta en relación con la Ley 11/2007.

Los preceptos que se aportan al debate son totalmente correctos, y de hecho el tablón electrónico se puede considerar una versión 2.0, para entendernos, del tablón de anuncios presencial de toda la vida, con lo cual tienen cabida los mismos contenidos que en éste (art. 59.5 + 59.6.b) de la Ley 30/1992). El matiz (o importante diferencia) a tener en cuenta consiste en que el art. 12 de la Ley 11/2007 abre la posibilidad que la publicación en el tablón de anuncios electrónico pueda llegar a sustituir la publicación en los boletines y diarios oficiales, opción que no se contemplaba en relación con los tablones presenciales.

O sea que desde un punto de vista de contenido, es ajustado a Derecho que un tablón de anuncios electrónico pueda incorporar un listado de las personas físicas o jurídicas a las que se ha concedido una subvención, dado que se trata de un procedimiento de concurrencia competitiva que se subsume en el art. 59.6.b) de la Ley 30/1992.

La segunda cuestión es quizás la que más dudas puede suscitar: ¿cómo se protegen los datos personales de un documento colgado en un tablón de anuncios electrónico? De esta respuesta quiero excluir de entrada los mecanismo de no indexación, y centrarme en el contenido que deberían tener dichos actos (o el que NO deberían tener) para que cumplieran con la LOPD.

En este sentido, me remito a la Recomendación 1/2008 de la APDCAT, sobre la difusión de información que contenga datos de carácter personal a través de internet, aplicable a las instituciones públicas de Cataluña (entre ellas, la Administración de la Generalitat).

Para no complicar el asunto más de la cuenta, partamos de la suposición que los perceptores de la subvención han dado su consentimiento a la comunicación de sus datos, y que la finalidad de difusión es legítima (que creo yo que sí). Igualmente, creo que en el caso que yo apuntaba no se ha tenido en cuenta el principio de proporcionalidad que define en estos términos la misma Recomendación 1/2008:

Proporcionalidad: es necesaria la ponderación a fin de que la información facilitada sea la estrictamente adecuada y se mantenga sólo durante el tiempo adecuado para alcanzar la finalidad que legitima la difusión de los datos. Se considerará adecuada la información que sea idónea e imprescindible para alcanzar la finalidad perseguida, siempre que, cuando sea posible difundir electrónicamente la información de diferentes formas, o con diferentes grados de concreción, se opte por aquel sistema que, a la vez que permita alcanzar igualmente la finalidad perseguida, comporte una menor difusión de datos de carácter personal tanto desde un punto de vista cualitativo como cuantitativo”.

En el caso concreto de la publicación del resultado de los procedimientos selectivos o de concurrencia competitiva, en este documento se recomienda, salvo que la normativa específica reguladora de la materia establezca de lo contrario, limitar la publicación a la indicación de los participantes seleccionados, sin hacer mención de la valoración obtenida ni de los participantes que hayan sido descartados, sin perjuicio de la posibilidad de establecer sistemas de acceso restringido que permitan a cada aspirante acceder a la información completa que le afecte.

Es decir, la Recomendación no descarta que se puedan utilizar sistemas de identificación para el acceso que permitan verificar la legitimación de la persona que pretenda acceder a los datos de carácter personal, de manera que éstos se difundan sólo entre los interesados directos o aquellas personas o colectivos titulares de intereses legítimos. Esto implica que cada interesado en un procedimiento disponga de un espacio personal para poder consultar el estado o resultado de dicho procedimiento, y así los datos personales no trasciendan a sujetos ajenos al procedimiento.

R: No estoy tan segura de que deba requerirse necesariamente el consentimiento del interesado, pues entiendo que lo que la Administración hace es una comunicación o revelación de datos y el Art. 11 de la LOPD contempla, entre otras excepciones, que no será preciso el consentimiento cuando la cesión de los datos esté autorizada en virtud de una Ley. Como vemos, el supuesto del que hablamos se encuentra previsto en el Art. 59 de la Ley 30/1992, que autorizaría la publicación de los datos en el boletín oficial, y en el Art. 12 de la Ley 11/2007, que habilitaría la publicación en el tablón electrónico de la Administración.

Por otra parte, siendo prácticos, podemos preguntarnos qué importa que esos datos figuren en el tablón electrónico de la Administración si desde el momento en que han  accedido al boletín oficial en Internet, se encuentran en una fuente accesible al público de forma indefinida y a la que, en términos generales, se puede llegar a través de cualquier buscador.

Hay quien apuntará a un fichero robots.txt como solución, sin embargo a día de hoy, hasta donde yo sé, nada obliga a las administraciones a incluir tales ficheros, pero aunque así fuera, un robots.txt no es más que un archivo de texto que contiene recomendaciones para los indexadores de los buscadores, pero no tienen carácter vinculante, no son más que peticiones, no estando por tanto realmente éstos sujetos a su cumplimiento. Además, el robots.txt por un lado puede facilitar que determinada información no resulte accesible a través de buscadores externos, pero por otro puede provocar un efecto llamada, pues no hay más que introducir en nuestro navegador la url de la web que se quiera seguida de “/robots.txt” para acceder a dicho fichero y saber, por tanto, cuál es la información que no se desea indexar (aunque es cierto que hace falta ser muy curioso para ir mirando los robots.txt. Por cierto, para curioso el robots.txt de la web de la SGAE…)

Retomando el tema, también la Agencia de Protección de Datos de la Comunidad de Madrid (D.E.P.) se pronunció en su día sobre la publicación de datos personales en boletines oficiales, en su Recomendación 2/2008, y sobre el tratamiento de datos personales en servicios de administración electrónica, Recomendación 3/2008, si bien esta última, paradójicamente, no me ha parecido aplicable al supuesto que tratamos. Sí, en cambio la Recomendación 2/2008, en cuyo Art. 17 se refiere concretamente a la publicación de datos relativos a subvenciones y en el 31 a las notificaciones a través de boletines y diarios oficiales en Internet.

En definitiva, creo que, aunque se pueden arbitrar medios para que sólo el interesado acceda a su información en relación con la concesión o no de la subvención, entiendo que la Administración del tuit de la discordia no tiene por qué estar incumpliendo la normativa actual sobre protección de datos y tampoco las recomendaciones que venimos viendo. Otra cosa es que sea deseable que se regule en condiciones la incorporación de datos de carácter personal en boletines oficiales en Internet y en tablones electrónicos. Quizá vaya siendo hora de decidir si la amplificación y la enorme facilidad y rapidez en la obtención de información que se producen hoy en día en Internet justifican una regulación específica para dicho entorno en materia de protección de datos (ahora que tanto se habla del derecho al olvido…).

S: El debate se pone cada vez más interesante. Me explayaría durante horas, pero intentaré contenerme…

Brevemente, creo que sí que tiene relevancia la exposición de los datos en un tablón electrónico, a pesar de que éstos se hayan publicado ya en un boletín oficial en formato digital. Tengamos en cuenta que uno de los principios que rigen las publicaciones oficiales en formato digital es el de la integridad (v., por ej., art. 3.3 de la Ley 2/2007, del DOGC), motivo por el cual no se “descuelgan” o borran los eventuales datos personales que puedan contener sus documentos. Cosa que sí se puede (y de hecho, se debería) hacer con los documentos que se cuelguen de los tablones oficiales, que simplificando son más de usar y tirar, ya que no tienen que estar expuestos más allá del tiempo imprescindible para cumplir con su utilidad, lo cual se traduce en el plazo estipulado para interponer recurso contra él.

En cuanto al robots.txt, totalmente de acuerdo: ni es la solución, ni es la panacea. Más bien hay que considerarla una medida adicional de cara a la protección de datos de carácter personal, y con los efectos limitados que ya conocemos. Pero la medida realmente eficaz consiste ya a priori en la prevención, o en lo que es lo mismo, en no dar publicidad de datos que no son necesarios en virtud del principio de proporcionalidad que antes comentaba: ¿es necesario que todos (interesados o no el procedimiento) tengan acceso a datos personales de sujetos a los que se ha concedido una subvención? En el caso de los interesados se resuelve habilitando el espacio personal antes mencionado. Y en el caso de los no interesados en el procedimiento, se puede entender que esos resultados puedan ser públicos por tiempo indefinido con fines de investigación (más aún en los tiempos que corren, en los que queremos saber a qué se destina el dinero de nuestros impuestos). Pero una solución que satisfaga los intereses legítimos de ambas partes puede pasar, por ejemplo, por la anonimización parcial de los datos relativos a las personas físicas que perciban la subvención (por ejemplo, las iniciales del nombre más los cuatro últimos dígitos del DNI). Ésta es una medida que permite (al menos a priori) que sólo el interesado se reconozca en el listado, y que se ve amparada por la misma Recomendación 1/2008, la cual indica la oportunidad de limitar la publicación de números identificativos, como el número del documento nacional de identidad, el número de afiliación a la seguridad social u otros, de forma conjunta con la identificación completa de la persona a la cual se refieren, a aquellos supuestos en que la publicación de este dato concreto se desprenda de la normativa aplicable.

Esta idea no es totalmente nueva, porque de hecho, en el ámbito de las notificaciones y publicaciones de actos, va en consonancia con el artículo 61 de la LRJPAC:

Si el órgano competente apreciase que la notificación por medio de anuncios o la publicación de un acto lesiona derechos o intereses legítimos, se limitará a publicar en el diario oficial que corresponda una somera indicación del contenido del acto y del lugar donde los interesados podrán comparecer, en el plazo que se establezca, para conocimiento del contenido íntegro del mencionado acto y constancia de tal conocimiento”.

(Y qué interés o derecho más legítimo que la protección de datos de carácter personal, ¿verdad? ;)).

En resumen, aunque no existan unos criterios meridianamente claros respecto a las medidas que hay que adoptar en materia de protección de datos en los tablones electrónicos, lo que sí que es seguro es que no deben diferir mucho de las que se adoptan en los boletines oficiales en formato digital. Y eso pasa, a mi modo de ver, por publicar exclusivamente la información imprescindible para que la difusión del acto administrativo cumpla su finalidad.

Anuncios

Un pensamiento en “Publicación de datos personales en tablones electrónicos

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s