Protección de datos personales en la Administración electrónica

¿Qué supone la sujeción general de la actividad de las Administraciones Públicas a la normativa sobre protección de datos de carácter personal?

La protección de los datos de carácter personal es uno de los principios que ha de regir el funcionamiento de las Administraciones Públicas, tal y como señala con carácter general los arts. 3.2 y 4.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público —en adelante, LRJSP—. Es más, el art. 13 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas —en adelante, LPACAP— establece como un derecho de los ciudadanos en su relación con las Administraciones Públicas, el de la "protección de datos de carácter personal, y en particular a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas".

Como consecuencia de lo anterior, en aplicación de lo previsto en el art. 32 RGPD, todos los espacios electrónicos en los que se almacenen los documentos y datos relativos a información de carácter personal que obre en poder de las Administraciones Públicas, deberán contar con medidas técnicas de seguridad que garanticen, el cumplimiento de la normativa de protección de datos, tales como la debida autenticación para su acceso y la trazabilidad de su consulta. En concreto, según dispone la disposición adicional primera de la LO 3/2018, las entidades públicas están obligadas a adoptar las medidas que contempla el Esquema Nacional de Seguridad, instrumento jurídico que fue aprobado por Real Decreto 3/2010, de 8 de enero.

Tales disposiciones de carácter general tienen su traducción en previsiones de carácter concreto como las contenidas, entre otros, en el art. 46.3 de la LRJSP en relación con el archivo electrónico de documentos, en el art. 155 LRJSP respecto a las transmisiones de datos entre Administraciones Públicas o en el art. 16 de la LPACAP en referencia a los registros electrónicos.

¿Cuál es el régimen general del derecho a la protección de datos personales tratados por las Administraciones Públicas?

Cuando los datos personales son tratados por las Administraciones Públicas es posible que la base del tratamiento sea el consentimiento, como por ejemplo para el envío de información y noticias a modo de newsletter. Sin embargo, lo más habitual es que, en la actividad de aquellas, se presente como base de licitud del tratamiento la recogida en el art. 6.1.e) del RGPD, esto es, cuando "el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento".

Sin embargo, el hecho de que la base del tratamiento de datos personales por parte de las Administraciones Públicas no sea normalmente el consentimiento del titular de aquellos, no les exonera del cumplimiento de sus obligaciones como responsable del tratamiento, en concreto de las relativas al deber de información previsto en los arts. 13 y 14 RGPD, la necesidad de facilitar el ejercicio de los derechos de los titulares de los datos, su sometimiento al régimen sancionador por incumplimiento de las obligaciones en esta materia o el deber de aplicación de los principios, como el de finalidad del tratamiento, por el que se exige que este deba responder siempre a un objetivo encuadrado dentro de los fines compatibles con la base del tratamiento y encuadrado dentro de las competencias del ente en cuestión —sobre este último punto resulta de interés el art. 5.1.b) RGPD, en relación con el art. 155.2 de la LRJSP—.

En todo caso debe advertirse que, en los supuestos de incumplimiento de las obligaciones por parte de las entidades públicas, en concreto las que incluye el art. 77 de la LO 3/2018, la regulación existente en España no contempla la imposición de sanciones económicas; limitaciones que no se aplicarían a las entidades privadas que, en su condición de encargadas del tratamiento, les presten un servicio, como sería por ejemplo la utilización de servicios de computación en la nube o cloud computing.

Finalmente, cabe reseñar que en algunos aspectos deberá realizarse una medida ponderación entre los derechos y garantías del interesado, con el derecho a la protección de datos de otros interesados y/o ciudadanos —vid. art. 40.5 de la LPACAP en materia de notificaciones o el art. 52 del RD 203/2021 en materia de acceso al expediente administrativo—

Fruto de lo anterior o en consonancia con ello, más allá de las remisiones generales destacadas en el epígrafe anterior, el art. 28.2 de la LPACAP señala que los interesados en un procedimiento podrán ejercer su derecho de oposición —vid. art. 21 del Reglamento 2016/679/UE— respecto de la obtención por parte de una Administración de documentos o datos que obren en poder de otra. Resulta del todo pertinente la mención expresa al derecho de oposición, toda vez que, como regla general, al no ser el consentimiento, en ese ámbito, la base legitimadora de la conservación de la información y documentos el consentimiento del titular de los datos de carácter personal, difícilmente podrá ejercitarse el derecho de supresión. Ahora bien, aunque el titular de los datos no pueda evitar que esa información obre en poder de alguna o algunas Administraciones Públicas o entes del sector público, dadas sus circunstancias personales, sí podrá oponerse a determinados y concretos tratamientos de aquellos.

¿Cuál es el régimen específico del derecho a la protección de datos personales tratados por las Administraciones Públicas?

El marco jurídico general expuesto en el apartado anterior se ve completado por disposiciones de carácter especial en el ámbito de actuación de los entes del sector público, contenidas en la LPACAP y la LRJSP, así como en sus normas de desarrollo, como es el caso del Real Decreto 203/2021, de 30 de marzo, por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos —en adelante, RD 203/2021—.

Entre tales disposiciones, podemos destacar las siguientes:

• - Cuando, en virtud de lo establecido en el art. 11 de la LRJSP, se lleve a cabo una encomienda de gestión "a otros órganos o Entidades de Derecho Público de la misma o de distinta Administración", estos tendrán "la condición de encargado del tratamiento de los datos de carácter personal a los que pudiera tener acceso en ejecución" de aquella, resultando de aplicación las disposiciones de la normativa sobre protección de datos a esta figura.
• - En el caso de que una Administración proceda a recabar de otra información o documentos que se hallen en poder de la segunda, no cabrá la oposición del titular de los datos personales en cuestión cuando este tratamiento se efectúe "en el marco del ejercicio de potestades sancionadoras o de inspección" —vid. art. 28.2 de la LPACAP—.
• - Las Administraciones Públicas, con carácter general, deberán recabar documentos aportados por los interesados a otra Administraciones, mediante la obtención de los documentos a través de estas y no del ciudadano, salvo que conste en el procedimiento su oposición expresa o la ley especial aplicable requiera su consentimiento expreso.
• - Según establece el art. 155.3 de la LRJSP, cuando una Administración Pública desee efectuar un tratamiento de datos personales obtenidos por otra Administración para una finalidad que considere compatible pero que sea distinta de aquella para la que fueron recogidos —y en todo caso diversa de alguna de las finalidades previstas en el apartado 2 del referido precepto o permitidas legalmente—, esta circunstancia deberá ser puesto en conocimiento de la Administración de la que haya obtenido los datos. Tras ello, esta última, en plazo de diez días podrá oponerse al tratamiento pretendido por la primera de forma motivada. Hasta que la Administración cedente de los datos no se pronuncie en un sentido u otro, la cesionaria no podrá efectuar el nuevo tratamiento pretendido.

  Cuando la Administración cedente sea la Administración General del Estado, de manera excepcional y motivada se podrá suspender "la transmisión de datos por razones de seguridad nacional de forma cautelar por el tiempo estrictamente indispensable para su preservación".

• - El art. 61.4 del RD 203/2021 establece que cuando una Administración acceda a los datos que obren en poder de otra, la cesionaria será la responsable de su correcto acceso y utilización, siendo esta la obligada a recabar el consentimiento del titular, en su caso.

A estas normas especiales en materia de protección de datos se unen otras disposiciones sectoriales que limitan la utilización de la información personal de los ciudadanos en el seno de un procedimiento administrativo. Ejemplo de ello lo encontramos en el art. 95 de la Ley 58/2003, de 17 de diciembre, General Tributaria, cuyo epígrafe primero dispone que: "Los datos, informes o antecedentes obtenidos por la Administración tributaria en el desempeño de sus funciones tienen carácter reservado y sólo podrán ser utilizados para la efectiva aplicación de los tributos o recursos cuya gestión tenga encomendada y para la imposición de las sanciones que procedan, sin que puedan ser cedidos o comunicados a terceros".

Por último, se ha de indicar que la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, efectúa una regulación muy exigente y detallada de esta cuestión —especialmente tras las modificaciones introducidas por el Real Decreto-ley 14/2019, de 31 de octubre— en lo que atañe a la actuación de los licitadores y adjudicatarios en el tratamiento de datos personales que obren o puedan obrar en poder de la Administración, en condición de encargados del tratamiento.

¿Cómo se articula la protección de datos en materia de identificación electrónica de los interesados?

El art. 9.2 de la LPACAP establece que, en todo caso, las Administraciones Públicas deberán ofrecer como medio de identificación electrónica sistemas basados en certificados electrónicos cualificados de firma y sello electrónicos, expedidos por prestadores incluidos en la "Lista de confianza de prestadores de servicios de certificación". Los prestadores incluidos en esta lista deberán acreditar, con carácter previo, el cumplimiento de una serie de requisitos respecto del servicio prestado. Entre tales requisitos, cabe destacar los indicados en el Reglamento 910/2014/UE del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior, especialmente en su art. 24, donde la remisión al cumplimiento de la Directiva 95/46/CE —vid. letra j) del epígrafe dos del artículo indicado— debe entenderse efectuada al Reglamento 2016/679/UE.

De manera adicional a estos sistemas de identificación electrónica, el art. 9.2.c) de la LPACAP permite que cada Administración pueda establecer otros sistemas de identificación de clave concertada o cualquier otro sistema a condición de que "cuenten con un registro previo como usuario que permita garantizar su identidad".

En este último caso, los recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de dichos sistemas deberán ubicarse necesariamente en territorio de la Unión Europea. Adicionalmente, en el caso de que los datos recogidos pertenezcan a categorías especiales referidas en el art. 9 del RGPD, su ubicación deberá establecerse en territorio español. "En cualquier caso, los datos se encontrarán disponibles para su acceso por parte de las autoridades judiciales y administrativas competentes" y "no podrán ser objeto de transferencia a un tercer país u organización internacional, con excepción de los que hayan sido objeto de una decisión de adecuación de la Comisión Europea o cuando así lo exija el cumplimiento de las obligaciones internacionales asumidas por el Reino de España".