La protección de datos personales ocupa un lugar central en la actividad de las administraciones públicas. Ayuntamientos, comunidades autónomas, ministerios, organismos autónomos y demás entidades públicas tratan diariamente datos identificativos, económicos, sociales, laborales, académicos y, en ocasiones, también categorías especiales de datos. Ese tratamiento no se rige solo por el Reglamento General de Protección de Datos (RGPD) y por la Ley Orgánica 3/2018, sino que en muchas ocasiones debe coordinarse también con la Ley 19/2013, de transparencia, acceso a la información pública y buen gobierno, especialmente cuando una persona solicita acceso a documentación administrativa que contiene datos personales.
La administración no solo trata datos: también debe explicar cómo los trata
Cuando una administración recoge datos personales, no puede limitarse a utilizarlos para tramitar expedientes o prestar servicios. Tiene la obligación de informar de forma clara sobre quién es el responsable del tratamiento, con qué finalidad se recogen los datos, cuál es la base jurídica que legitima ese tratamiento, durante cuánto tiempo se conservarán, a quién pueden comunicarse y qué derechos puede ejercer la persona afectada. Ese deber de información deriva de los artículos 13 y 14 del RGPD y constituye una garantía básica para la ciudadanía.
En el ámbito público, además, la base jurídica del tratamiento no suele ser el consentimiento, sino el cumplimiento de una obligación legal o el ejercicio de poderes públicos o de una misión realizada en interés público. Por eso, informar bien no es una formalidad: es la manera de hacer visible por qué la administración puede tratar los datos y dentro de qué límites.
Qué información debe facilitarse a la ciudadanía
De forma general, una administración pública debe facilitar al menos la siguiente información cuando trata datos personales:
- Identidad del responsable del tratamiento. Debe quedar claro qué administración u órgano trata los datos.
- Finalidad del tratamiento. Hay que indicar para qué se recogen y utilizan los datos: gestionar un procedimiento, resolver una solicitud, tramitar una ayuda, practicar notificaciones o cumplir una obligación legal.
- Base jurídica. Debe explicarse si el tratamiento se fundamenta en una obligación legal, en el ejercicio de poderes públicos, en el interés público o, en su caso, en el consentimiento.
- Destinatarios o comunicaciones de datos. La ciudadanía debe saber si los datos serán comunicados a otros órganos, administraciones u organismos cuando ello proceda legalmente.
- Plazo de conservación o criterios para determinarlo. En el sector público esto suele relacionarse con la normativa de archivo, conservación documental, prescripción de responsabilidades y cumplimiento de obligaciones legales.
- Derechos de las personas interesadas. Debe informarse sobre los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y, cuando corresponda, portabilidad y a no ser objeto de decisiones individuales automatizadas, así como de la forma de ejercerlos.
- Posibilidad de reclamar ante la autoridad de control. Normalmente, ante la Agencia Española de Protección de Datos o, en su caso, ante la autoridad autonómica competente.
- Datos de contacto del Delegado de Protección de Datos. En las administraciones públicas su designación es, con carácter general, obligatoria.
Cuando entra en juego la transparencia: el artículo 15 de la Ley 19/2013
Uno de los puntos más delicados en las administraciones públicas aparece cuando una persona ejerce el derecho de acceso a la información pública y la documentación solicitada contiene datos personales. En esos casos no basta con aplicar de forma automática la normativa de transparencia ni tampoco con denegar siempre el acceso por contener datos. Lo que debe hacerse es aplicar el artículo 15 de la Ley 19/2013, que establece distintos niveles de protección según el tipo de datos de que se trate.
1. Datos especialmente sensibles: acceso muy restringido
El artículo 15 dispone que, si la información solicitada contiene datos que revelen la ideología, afiliación sindical, religión o creencias, el acceso solo puede autorizarse con el consentimiento expreso y por escrito de la persona afectada, salvo que esa persona hubiera hecho públicos esos datos con anterioridad. También establece una protección reforzada para datos relativos al origen racial, salud, vida sexual, datos genéticos o biométricos, así como para datos sobre infracciones penales o administrativas que no conlleven amonestación pública: en estos casos, el acceso solo puede autorizarse con consentimiento expreso o si existe una norma con rango de ley que lo ampare.
Esto significa que no toda información administrativa puede entregarse sin más por el hecho de obrar en poder de la Administración. Cuando aparecen datos de máxima sensibilidad, la regla general es la restricción del acceso.
2. Datos meramente identificativos: regla general favorable al acceso
El propio artículo 15 añade que, con carácter general, se concederá el acceso a información que contenga datos meramente identificativos relacionados con la organización, funcionamiento o actividad pública del órgano, salvo que en el caso concreto prevalezca la protección de datos personales u otros derechos constitucionales. En otras palabras, el hecho de que un documento incluya nombres, cargos o datos identificativos vinculados a la actividad pública no impide por sí solo el acceso siempre y cuando se trate única y exclusivamente de esos datos.
Esta previsión es muy importante porque evita que la protección de datos se utilice de manera expansiva para bloquear información pública que, por su naturaleza, debe poder conocerse.
3. Resto de datos personales: debe hacerse una ponderación razonada
Cuando la información solicitada no contiene datos especialmente protegidos, el artículo 15 exige que el órgano competente realice una ponderación suficientemente razonada entre el interés público en divulgar la información y los derechos de las personas afectadas, especialmente su derecho fundamental a la protección de datos.
La ley señala varios criterios que deben tenerse en cuenta en esa ponderación:
- el menor perjuicio derivado del transcurso del tiempo;
- la justificación de la solicitud, especialmente si responde al ejercicio de un derecho o a fines históricos, científicos o estadísticos;
- el menor perjuicio cuando el documento solo contiene datos meramente identificativos;
- y la mayor protección cuando la información puede afectar a la intimidad, a la seguridad o se refiere a menores de edad.
Este punto es esencial en la práctica administrativa: no basta con afirmar que "hay datos personales". Hay que analizar qué tipo de datos son, qué interés público existe en su difusión, qué riesgo genera la revelación y si hay fórmulas intermedias que permitan satisfacer ambos intereses. A su vez, se debe tener en cuenta que no se superpongan otros derechos fundamentales.
4. La disociación de datos permite facilitar acceso
El artículo 15 también establece una regla muy útil: lo anterior no se aplica si el acceso puede darse previa disociación de los datos personales, de modo que no sea posible identificar a las personas afectadas. Esto equivale, en la práctica, a la anonimización o seudonimización suficiente para impedir la identificación. Si la información pública puede facilitarse eliminando o separando los datos personales, esa suele ser la vía más equilibrada.
5. El uso posterior de la información sigue sometido a protección de datos
Por último, el artículo 15 recuerda que la normativa de protección de datos sigue siendo aplicable al tratamiento posterior de los datos obtenidos mediante el derecho de acceso. Es decir, acceder legítimamente a información pública que contiene datos personales no autoriza a reutilizarlos sin límites.
Qué implica esto en la práctica para las administraciones
Desde un punto de vista práctico, las administraciones públicas no deben limitarse a incluir cláusulas informativas en formularios o sedes electrónicas. También deben estar preparadas para resolver correctamente las solicitudes de acceso a información pública que afecten a datos personales. Eso exige distinguir entre datos especialmente protegidos, datos meramente identificativos y datos personales ordinarios; razonar la ponderación cuando sea necesario; y valorar siempre si puede facilitarse la información disociada o parcialmente anonimizada, así como tener certeza de que dicha divulgación no supone un peligro para el interesado, en su caso.
La protección de datos y la transparencia no son bloques incompatibles. La normativa está diseñada precisamente para permitir el acceso a la información pública sin sacrificar indebidamente los derechos fundamentales de las personas.
Conclusión
Hablar de protección de datos en las administraciones públicas no consiste solo en explicar qué información debe darse cuando se recogen datos personales. También implica saber qué ocurre cuando esa misma administración recibe una solicitud de acceso a documentación pública que contiene datos de terceros. Ahí el artículo 15 de la Ley 19/2013 resulta fundamental: protege de forma reforzada los datos más sensibles, permite con carácter general el acceso a los datos meramente identificativos vinculados a la actividad pública, exige ponderar intereses en el resto de casos y favorece la entrega de información disociada cuando sea posible.
Una administración que informa bien, pondera correctamente y aplica medidas de disociación cuando procede no solo cumple la ley: también refuerza la confianza ciudadana y mejora la calidad democrática de su actuación.