Desde hace un tiempo, me encuentro enfrascado en una discusión académica con algunos servicios jurídicos municipales sobre determinados aspectos del acceso, por parte de concejales municipales, a datos personales tratados por la corporación local.
Francamente, estas discusiones me estimulan mucho, porque me obligan a ver todos los puntos de vista posibles sobre estas cuestiones que, hasta donde yo sé, todavía no han sido analizadas por la Agencia Española de Protección de Datos (AEPD). La cuestión fundamental es la siguiente: ¿puede un Ayuntamiento denegar el acceso de los concejales (de la oposición, para hacer la exposición de mi punto de vista) a datos personales municipales, si los mismos no cumplen la LOPD?
Mi opinión es que sí cabe esta denegación, mientras que mis amigos del «otro bando» dicen que este acceso no se puede denegar. A continuación resumo mi razonamiento, invitando a que se opine sobre el mismo, para aclarar sobre el asunto.
Para empezar, hay que hacer una referencia a las bases legales que sirven de apoyo a esta discusión. En este caso, he analizado los siguientes textos legales:
- Ley Orgánica 15/1999, de 13 de 13 de diciembre, de protección de datos de carácter personal, LOPD;
- R.D. 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD;
- Ley 7/1985, del 2 de abril, de Bases de Régimen Local;
- R.D. 2568/1986, Reglamento de Organización, Funcionamiento y Régimen Jurídico de las corporaciones locales;
- Ley 58/2003, Ley General Tributaria.
También he consultado algunos Informes Jurídicos de la AEPD, que también se pueden descargar desde la Web de la Agencia: Informe 0147/2010, 0016/, 0189/2009, 0149/, 0660/, 0501/, 0235/2008, 0172/, 470/, 0022/2005.
Como se ha dejado patente en los mencionados Informes Jurídicos de la AEPD, el acceso por parte de los Concejales municipales a datos personales tratados por un Ayuntamiento se encuadra dentro de la cesión de datos personales prevista en el art. 11.1 LOPD.
La cesión de datos personales será posible siempre y cuando se cuente con el consentimiento del interesado o cuando una Ley lo autorice, siendo los demás casos previstos en el art. 11.2 de no aplicación al asunto que aquí se trata.
La Ley habilitante para la cesión de datos a los Concejales es la Ley de Bases del Régimen Local, (art. 77), siendo las modalidades para el ejercicio de la solicitud de acceso a los datos personales tratados previstos en los artículos 14 a 16, R.D. 2568/1986.
De estas cesiones de datos, se excluyen expresamente los datos personales de naturaleza tributaria (por ejemplo, los datos contenidos en el Modelo 347, Modelo 190 y datos del Impuestos de Bienes Inmuebles – IBI), de acuerdo con la Ley General Tributaria.
Los Concejales cesionarios de los datos, tal y como se prevé en el art. 11.5 LOPD, se convierten, por el sólo hecho de recibir la comunicación, en sujetos obligados al cumplimiento de la LOPD, como Responsables del Fichero, compuesto por los datos objeto de la cesión.
De esta forma, a parte del deber de utilizar los datos sólo para las finalidades legalmente previstas de control de la actividad municipal, y acceder sólo a datos que sean adecuados, pertinentes y no excesivos (art. 4 LOPD) para el cumplimiento de la mencionada finalidad, siendo los Concejales sujetos obligados al cumplimiento de la LOPD, deberán cumplir, previamente a la recepción de los datos personales, con la notificación previa del correspondiente fichero, a la AEPD (art. 26.1 LOPD).
Si todo esto es cierto (y creo que sí, pero me encantaría recibir opiniones diferentes, al ayuntamiento de turno puede denegar el acceso a datos personales tratados por el ente municipal a Concejales si éstos, previamente a la cesión, no han declarado fichero alguno ante la AEPD?
¿Debe el ayuntamiento solicitar prueba fehaciente a los Concejales que quieran acceder a datos personales tratados por la Corporación, de haber cumplido con lo previsto en el art. 26.1 LOPD?
¿Deben los Concejales, a parte de los deberes previstos en el art. 26.1 LOPD, tener un Documento de Seguridad?
Antes de que la Agencia se pronuncie sobre estos asuntos, a ver quién se anima a dar su opinión.
JOSE LUIS VICIEN
Se le podría pedir a un Ayuntamiento, Comunidad Autonoma, Diputación, mancomunidad etc, que nos facilitara el listado de las Asociaciones que tiene en su registro con los datos de contacto (dirección, email, etc), o el listado de de sus proveedores con los mismos datos de contacto?
Y una última pregunta, en aras de la Ley de transparencia, los AAPP, estarían obligadas a exigir a sus proveedores y Asociaciones, que estén adaptados a la LOPD, y que además así se lo demuestren?, Muchas gracias, me gustaría contar con su opinión.
Amedeo Maturo
Hola,
En mi opinión, redactada sin demasiado análisis, creo que sí se pueden facilitar datos de asociaciones, junto con los datos de contacto. Hay que recordar, sin embargo, que estos datos no pueden ser utilizados para enviar información comercial de quien haya recibido estos datos desde la Administración. Se consideraría smap.
Por lo que se refiere a las exigencias que pueden pedir las AAPP a sus proveedores, estoy totalmente a favor que soliciten que éstos estén adaptaptados a la LOPD. No sólo eso; en función de las labores que los proveedores realizan para las AAPP, creo que es un deber de las AAPP requerir también periódicamente un extracto de la Auditoría. De esta forma, las AAPP cumplirían con el deber de vigilancia de las actuaciones de sus propios proveedores. Este tema merece una respuesta más articulada, pero, en resumen, ésta es mi opinión.
Gracias por leerme,
Amedeo Maturo Senra
rosacobos
Interesante artículo. Como bien dice Alfonso, los concejales de la oposición forman parte de la corporación municipal. No por «ser oposición» se les debe presuponer mala fe en la utilización de la información que reciban y tienen las mismas obligaciones legales en cuanto a protección de datos que a los que tienen la vara de mando. Creo que los grupos políticos de la oposición deben tener acceso inmediato a toda la información que soliciten para, precisamente, llevar a cabo las funciones de control de quienes ostentan el poder.
Amedeo Maturo
Si estas observaciones me parecen más que correctas. Pero entonces ¿para qué seguir definiendo el acceso de los concejales como «cesión/comunicación», como hace desde siempre la Agencia?
En resumidas cuentas ¿es cesión o no?
Se te echaba de menos por estos lares…
Alfonso Pacheco
¡Qué bien me cae el Secretario de ese consistorio! Y que gran criterio jurídico el suyo, jajaja
Fuera bromas, yo creo que el criterio de la AEPD en este caso es erróneo. Y prueba de ello es, por ejemplo, que la APDCAM en sus publicaciones específicas sobre administración local nada dice en ese sentido: obligación de los concejales o grupos de declarar ficheros sobre asuntos municipales para poder acceder a la información. Y me fío en este tema mucho más del criterio de la autonómica.
Amedeo Maturo
Si yo no cuestiono los criterios (no en este caso, por lo menos). Sólo llevo a su extrema consecuencia la famosa «cesión». En fin, seguimos charlando, que es hora de cenar.
P.S. El Secretario tiene mucho mejor sentido jurídico que el mío, desde luego.
Alfonso Pacheco
Hola Amadeo, te aporto mi opinión sobre la interesante cuestión que planteas. Desde el punto de vista de la legislación vigente en materia de régimen local, la legitimación para el acceso de los concejales de la oposición y aquellos que no son de la oposición pero que no forman parte de la junta de gobierno deriva, como bien dices, del artículo 77 de la LBRL. Pero en mi opinión, y siendo consciente de que con ello le llevo la contraria a la AEPD, esto no supone ningún tipo de cesión del artículo 11 LOPD, puesto que los Concejales son parte de los órganos de gobierno de la institución municipal, no son un tercero externo, que es cuando propiamente hablamos de una cesión, sino que esos concejales, y con independencia de que se constituyan en grupos políticos, forman parte de la propia organización del consistorio, a los que corresponde su gobierno (art. 19 LBRL). En todo caso, deberá tenerse en cuenta que solamente deberán tener acceso a aquella información necesaria para el ejercicio de sus funciones y la obligación de observar el deber de confidencialidad. Pero entiendo que no tienen obligación, ni como concejales individuales ni como grupo a declarar ficheros a la AEPD o ente de control autonómico. Entre otras cuestiones, entiendo que, de ser las cosas como sostienes, esos ficheros serían de carácter público, con lo que a ver cómo los declararían como tales el concejal o su grupo cumpliendo el procedimiento que para ello establece la LOPD y el RDLOPD.
El error, repito, está en las conclusiones de la AEPD.
Un abrazo
Amedeo Maturo
Hola Alfonso, que sepas que tu teoría es compartida por un Secretario municipal, cuya profesionalidad aprecio mucho o con quien me divierto «discutiendo» sobre este asunto.
Entiendo perfectamente que hablar de cesión en el caso de alguien que «es» el Ayuntamiento (los Concejales), pero no podemos obviar lo que dice la Agencia. La palabra mágica es «cesión», que nos lleva a «tercero», que es un «Responsable del Fichero distinto».
De ahí que, o la Agencia nos aclara el asunto, o, llevando a su extrema consecuencia la teoría de la cesión, los Concejales deberán declarar los ficheros (más Documento de Seguridad y toda la pesca).
Por lo que se refiere a si el fichero es público o privado, yo creo que es privado, pero es inútil debatir sobre este extremo si antes no me aclaro sobre el anterior. De hecho, si no hay cesión, no habrá nuevo Responsable del Fichero (ni ficheros que declarar).
Gracias por tu opinión. No digo que este asunto me quita el sueño, pero no veo otra alternativa a lo que la misma Agencia afirma: ¡cesión!