Cercador de resolucions, dictàmens i informes

L’expedient d’informació reservada sol·licitat va finalitzar amb l’acord d’inici d’un expedient disciplinari contra la persona investigada, per aquest motiu en aplicació de l’article 23 de l’LTC, cal denegar l’accés a la informació relacionada amb la persona investigada, llevat que la sol·licitud s’hagués acompanyat amb el seu consentiment exprés i per escrit.

Tanmateix, la persona reclamant té dret a accedir a la informació de l’expedient que faci referència a la seva persona, incloses les dades de categories especials i, en principi, a la informació aportada sobre ella tant per la persona investigada com pels possibles testimonis, llevat que respecte d’aquestes terceres persones concorrin circumstàncies concretes que en justifiquin la limitació.

Si bé la normativa de protecció de dades no impedeix l’accés a la informació sol·licitada respecte a les persones jurídiques sancionades, l’article 23 de l’LTC limita l’accés a aquelles dades que permeti identificar, encara que sigui de manera indirecta, les persones físiques (inclosos els empresaris individuals titulars dels locals expedientats, incloent el nom i l’adreça dels establiments), tret dels casos en que la llei sectorial aplicable prevegi l’amonestació pública de l’infractor, o llevat que aquestes persones consentin expressament per mitjà d’un escrit que ha d’acompanyar la sol·licitud, o bé quan una norma amb rang de llei hagi previst expressament la seva publicació (article 15.1 LT).

Pel que fa a la informació sobre els deutes tributàries, la normativa de protecció no impediria l’accés a la informació relativa a les persones jurídiques. En canvi, en el cas dels empresaris individuals es considera que les finalitats de transparència es poden assolir igualment sense sacrificar la privacitat de les persones afectades, un cop efectuada la ponderació dels drets en joc i, per tant, caldria facilitar la informació amb la prèvia anonimització de les dades personals.

D’acord amb la normativa de protecció de dades i les obligacions derivades de la normativa de transparència, les resolucions d’accés a la informació pública, que siguin favorables a l’accés a informació pública que contingui dades personals han d’incorporar un advertiment sobre les obligacions que adquireix la persona sol·licitant en relació amb les dades personals i les limitacions concretes de difusió que se’n deriven de la normativa de protecció de dades.

En el cas que la informació es lliuri de manera anonimitzada o pseudonimitzada es considera oportú recordar als destinataris de la informació la prohibició de dur a terme activitats tendents a revertir el procés de dissociació mitjançant l’addició de noves dades obtingudes d’altres fonts.

Als efectes de la normativa de protecció de dades, no sembla que un tercer, que no té la condició de persona afectada (art. 4.1 RGPD), hagi de tenir accés a informació sobre el tractament de dades que du a terme un responsable, en uns termes més amplis o amb major grau de detall del que podria tenir una persona que sí té aquesta condició. Entre d’altres, sobre l’accés a informació elaborada pel DPD i informació sobre procediments, protocols i instruccions de gestió de dades personals, no es desprèn de la normativa una obligació específica de donar accés a la documentació elaborada pel DPD ni, per extensió, a altra documentació relativa a procediments o protocols de gestió en matèria de protecció de dades, tenint en compte que la reclamant no seria persona afectada als efectes de la normativa de protecció de dades. Sobre l’accés a la informació relativa a les TID, tenint en compte la naturalesa, funcions i estructura organitzativa de l’entitat, aquesta podria indicar quines garanties o instruments dels previstos a l’RGPD (arts. 44 i seg.) habiliten les TID en funció del país de destinació, sense que sembli necessari ni exigible concretar amb major detall aquesta qüestió.

L'ajuntament va publicar a la seva pàgina web, durant quatre dies, un llistat que contenia les dades personals (nom i cognoms, categoria o càrrec, lloc de treball, grup, nivell destí i retribucions) de la plantilla de personal, en total 1.076 persones. A més, aquest llistat incloïa la signatura electrònica d'una persona, de manera que se'n visualitzava el DNI complet, juntament amb el seu nom i cognoms. Aquesta publicació es va produir a causa d'una errada humana. Es declara que l'entitat ha comès una infracció per la vulneració del deure de confidencialitat, tipificada a l'article 83.5.a, en relació amb l'article 5.1.f, ambdós de l'RGPD.

El reclamant es queixava que l'entitat no havia atès la seva sol·licitud d'exercici del dret de supressió del número de telèfon mòbil particular i d'oposició a rebre trucades o missatges de feina en aquest telèfon. Es resol estimar la reclamació, perquè l'entitat no ha acreditat que hagi respost la sol·licitud del reclamant en temps i forma, ni tampoc amb posterioritat. No hi ha pronunciament sobre el fons, perquè en les seves al·legacions l'entitat reconeix que va atendre per via telefònica els drets exercits, si bé no va notificar-ho formalment al reclamant.

Cal establir mecanismes per garantir que les persones afectades tinguin informació sobre la consulta de documents en poder de les administracions públiques, així com sobre la possibilitat d’oposar-s’hi. Quan la consulta afecti a terceres persones, una possible opció podria ser incloure una clàusula en el formulari de sol·licitud on la persona sol·licitant declari que la resta de persones afectades han estat informades d’aquesta consulta i no s’han oposat a la seva realització, o, si escau, que s’hi s’han oposat.

La comunicació de les dades de les persones col·legiades del col·legi professional a la demarcació territorial estaria habilitada sobre la base de l’article 6.1.e) de l’RGPD, per ser informació necessària per a l’exercici dels poders públics que li confereix la normativa reguladora dels col·legis professionals en relació amb els respectius estatuts.

La creació i gestió d’una àrea de promoció econòmica urbana pot comportar vàries comunicacions de dades personals de les persones físiques titulars del dret de possessió dels locals inclosos dins de l’àmbit de la futura àrea entre els diferents actors intervinents (ajuntament, entitat promotora i entitat gestora), que caldrà adequar a la legislació de protecció de dades, particularment, als principis de licitud i limitació de la finalitat, en els termes exposats en aquest dictamen.

La publicació de les dades identificatives de les persones responsables dels sistemes interns d’informació previstos a la Llei 2/2023, de 20 de febrer, reguladora de la protecció de les persones que informen sobre infraccions normatives i de lluita contra la corrupció, pot tenir com a base jurídica l’article 9.1. b) de la LTC en relació amb l’article 6.1.c) del RGPD, en la mesura que es consideri el seu caràcter d’òrgan administratiu en els termes de la normativa de règim jurídic de les administracions públiques.

En qualsevol cas, es pot argumentar que existeix un interès públic que justificaria la publicació d'aquesta informació, d'acord amb l'article 8.1.m) de la LTC, que en relació amb l'article 6.1.e) del RGPD, constituiria una base jurídica vàlida per al tractament d'aquestes dades personals. D'acord amb el principi de minimització de dades, la publicació ha de limitar-se exclusivament a les dades estrictament necessàries, com són el nom i cognoms, el càrrec o lloc ocupat, el cos i l'escala, les funcions desenvolupades, així com les dades de contacte professional, el telèfon i les adreces, postal i electrònica, de contacte professional.