La protección de datos personales como límite al derecho de acceso a la información pública

Dijimos en un anterior post que el derecho de acceso tiene como límites, además de los relacionados en el art. 14 de la Ley de Transparencia, los que establece el art. 15 en relación con la protección de datos de carácter personal.

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal considera datos de carácter personal (art. 3, a))

cualquier información concerniente a personas físicas identificadas o identificables.

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, denominado Reglamento general de protección de datos, que será aplicable a partir del 25 de mayo de 2018, después de definir «datos personales» como

toda información sobre una persona física identificada o identificable

puntualiza que se considerará persona física identificable

toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

El derecho a la protección de los datos de carácter personal no se recoge de forma expresa en la Constitución, pero el Tribunal Constitucional ha derivado de su art. 18.4 la existencia de un derecho fundamental a la protección de datos personales. En la sentencia 254/1993, de 20 de julio, aparece el concepto de libertad informática que incluye

(el) derecho a controlar el uso de los mismos datos insertos en un programa informático (habeas data).

La sentencia 290/2000, de 30 de noviembre, señala que el derecho fundamental a la protección de los datos personales

garantiza a la persona un poder de control y disposición sobre sus datos personales. Pues confiere a su titular un haz de facultades que son elementos esenciales del derecho fundamental a la protección de los datos personales, integrado por los derechos que corresponden al afectado a consentir la recogida y el uso de sus datos personales y a conocer los mismos. Y para hacer efectivo ese contenido, el derecho a ser informado de quién posee sus datos personales y con qué finalidad, así como el derecho a oponerse a esa posesión y uso exigiendo a quien corresponda que ponga fin a la posesión y empleo de tales datos. En suma, el derecho fundamental comprende un conjunto de derechos que el ciudadano puede ejercer frente a quienes sean titulares, públicos o privados, de ficheros de datos personales, partiendo del conocimiento de tales ficheros y de su contenido, uso y destino, por el registro de los mismos.

Ese contenido diferencia el derecho fundamental a la protección de los datos personales del derecho fundamental a la intimidad. En ese sentido, la sentencia 292/2000, de 30 de noviembre, señala que

La función del derecho fundamental a la intimidad del art. 18.1 CE es la de proteger frente a cualquier invasión que pueda realizarse en aquel ámbito de la vida personal y familiar que la persona desea excluir del conocimiento ajeno y de las intromisiones de terceros en contra de su voluntad (por todas STC 144/1999, de 22 de julio, FJ 8). En cambio, el derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado. En fin, el derecho a la intimidad permite excluir ciertos datos de una persona del conocimiento ajeno, por esta razón, y así lo ha dicho este Tribunal (SSTC 134/1999, de 15 de julio, FJ 5; 144/1999, FJ 8; 98/2000, de 10 de abril, FJ 5; 115/2000, de 10 de mayo, FJ 4), es decir, el poder de resguardar su vida privada de una publicidad no querida. El derecho a la protección de datos garantiza a los individuos un poder de disposición sobre esos datos. Esta garantía impone a los poderes públicos la prohibición de que se conviertan en fuentes de esa información sin las debidas garantías; y también el deber de prevenir los riesgos que puedan derivarse del acceso o divulgación indebidas de dicha información. Pero ese poder de disposición sobre los propios datos personales nada vale si el afectado desconoce qué datos son los que se poseen por terceros, quiénes los poseen, y con qué fin.

Y en cuanto al objeto del derecho fundamental a la protección de datos, la citada sentencia del Tribunal Constitucional puntualiza que

no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que para ello está la protección que el art. 18.1 CE otorga, sino los datos de carácter personal. Por consiguiente, también alcanza a aquellos datos personales públicos, que por el hecho de serlo, de ser accesibles al conocimiento de cualquiera, no escapan al poder de disposición del afectado porque así lo garantiza su derecho a la protección de datos. También por ello, el que los datos sean de carácter personal no significa que sólo tengan protección los relativos a la vida privada o íntima de la persona, sino que los datos amparados son todos aquellos que identifiquen o permitan la identificación de la persona, pudiendo servir para la confección de su perfil ideológico, racial, sexual, económico o de cualquier otra índole, o que sirvan para cualquier otra utilidad que en determinadas circunstancias constituya una amenaza para el individuo.

Reconocido, por tanto, el derecho a la protección de los datos de carácter personal y con categoría de derecho fundamental, ha de constituirse necesariamente como un límite al derecho de acceso a la información pública, que tiene por objeto dar a conocer esa información pública que puede eventualmente contener datos de carácter personal.

La Ley de Transparencia establece como regla general de actuación cuando en una solicitud de acceso se detecte la presencia de datos de carácter personal que

salvo que en el caso concreto prevalezca la protección de datos personales u otros derechos constitucionalmente protegidos sobre el interés público en la divulgación que lo impida, se concederá el acceso a información que contenga datos meramente identificativos relacionados con la organización, funcionamiento o actividad pública del órgano.

El criterio interpretativo CI/001/2015 del Consejo de Transparencia y Buen Gobierno señala que

la información referida a la relación de puestos de trabajo, el catálogo o la plantilla orgánica, con o sin identifcación de los empleados o funcionarios públicos ocupantes de los puestos, se consideran datos meramete identificativos (…) y salvo que en el caso concreto prevalezca la protección de datos personales u otros derechos constitucionalmente protegido sobre el interés público en la divulgación, se concederá el acceso a la información

No obstante, y siempre que de acuerdo con lo anterior proceda facilitar la información, no se llevará a cabo cuando, previa ponderación razonada, el acceso produzca un perjuicio a las materias relacionadas en el art. 14.1. Tampoco se facilitará la información cuando afecte algún empleado o funcionario público objeto de protección especial (por ejemplo, por amenaza terrorista o violencia de género).

Además, siempre que sea posible disociar -es decir, separar, y, en la práctica, suprimir- los datos de carácter personal de la información sobre la que se ha solicitado el acceso, no se aplicarán las limitaciones que se expondrán a continuación. Con el objetivo de eliminar o reducir al mínimo los riesgos de reidentificación de los datos anonimizados manteniendo la veracidad de los resultados del tratamiento de los mismos, la Agencia Española de Protección de Datos ha publicado un documento de Orientaciones y Garantías en los procedimientos de anonimización de datos personales que da pautas para evitar la identificación de las personas, teniendo en cuanta que los datos anonimizados deben garantizar que cualquier operación o tratamiento que pueda ser realizado con posterioridad a la anonimización no conlleva una distorsión de los datos reales.

La Ley de Transparencia distingue tres niveles de protección de los datos de carácter personal contenidos en la información solicitada. En los dos primeros no cabe ponderación alguna del interés que pueda tener la comunicación de los datos, ya que la Ley establece prohibiciones incondicionadas del acceso a esos datos especialmente protegidos. La ponderación tendrá lugar respecto al resto de datos de carácter personal que no tengan el carácter de especialmente protegidos. Para la publicidad activa la Ley de Transparencia establece en su art. 5.3 que cuando la información contuviera datos especialmente protegidos, la publicidad sólo se llevará a cabo previa disociación de los mismos.

El primer nivel de protección se refiere a los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias¹ (art. 7.2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal). Cuando la información solicitada contuviere datos especialmente protegidos de esta naturaleza, el acceso únicamente se podrá autorizar en caso de que se contase con el consentimiento expreso y por escrito del afectado, a menos que dicho afectado hubiese hecho manifiestamente públicos los datos con anterioridad a que se solicitase el acceso. Como recuerda el art. 7.1 de la Ley Orgánica 15/1999, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias, de acuerdo con el art. 16.2 de la Constitución, y, en consecuencia,

cuando en relación con estos datos se proceda a recabar el consentimiento (…), se advertirá al interesado acerca de su derecho a no prestarlo.

En el segundo nivel de protección se encuentran los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual (art. 7.3 de la Ley Orgánica 15/1999) o datos relativos a la comisión de infracciones penales o administrativas que no conllevasen la amonestación pública al infractor. En estos casos el acceso sólo se podrá autorizar en caso de que se cuente con el consentimiento expreso del afectado o si aquél estuviera amparado por una norma con rango de Ley. Es un ejemplo de este último supuesto la previsión del art. 95 bis de la Ley 58/2003, de 17 de diciembre, General Tributaria, de acuerdo con la que la Administración Tributaria acuerda periódicamente la publicación de listados comprensivos de deudores a la Hacienda Pública por deudas o sanciones tributarias cuando concurran determinadas circunstancias.

Y, por último, la Ley de Transparencia se refiere a los datos no especialmente protegidos (es decir, no incluidos en alguna de las categorías anteriores). En este caso, el órgano al que se dirija la solicitud concederá el acceso previa ponderación suficientemente razonada del interés público en la divulgación de la información y los derechos de los afectados cuyos datos aparezcan en la información solicitada, en particular su derecho fundamental a la protección de datos de carácter personal. Para la realización de la citada ponderación, dicho órgano tomará particularmente en consideración los siguientes criterios:

a) El menor perjuicio a los afectados derivado del transcurso de los plazos establecidos en el artículo 57 de la Ley 16/1985, de 25 de junio, del Patrimonio Histórico Español. El apartado 3 de este precepto establece reglas para la consulta de los documentos constitutivos del Patrimonio Documental Español, y por lo que se refiere a los documentos que contengan datos personales de carácter policial, procesal, clínico o de cualquier otra índole que puedan afectar a la seguridad de las personas, a su honor, a la intimidad de su vida privada y familiar y a su propia imagen,

no podrán ser públicamente consultados sin que medie consentimiento expreso de los afectados o hasta que haya transcurrido un plazo de veinticinco años desde su muerte, si su fecha es conocida o, en otro caso, de cincuenta años, a partir de la fecha de los documentos.

Dado que entre los datos personales a que se refiere el texto citado se encuentran sin duda datos especialmente protegidos por los apartados 2 y 3 del art. 7 de la Ley de Transparencia, habrá de entenderse que la posibilidad de acceso por el transcurso de los plazos se refiere al resto de datos personales no incluídos en los apartados mencionados. Y en cuanto a la exigencia de que medie consentimiento expreso, para los supuestos del art. 7.2 de la Ley de Transparencia ese consentimiento habrá de constar por escrito, dada la condición de norma posterior de esta Ley.

b) La justificación por los solicitantes de su petición en el ejercicio de un derecho o el hecho de que tengan la condición de investigadores y motiven el acceso en fines históricos, científicos o estadísticos. De acuerdo con el art. 13 de la Ley 14/2011, de 1 de junio, de la Ciencia, la Tecnología y la Innovación,

se considera personal investigador el que, estando en posesión de la titulación exigida en cada caso, lleva a cabo una actividad investigadora, entendida como el trabajo creativo realizado de forma sistemática para incrementar el volumen de conocimientos, incluidos los relativos al ser humano, la cultura y la sociedad, el uso de esos conocimientos para crear nuevas aplicaciones, su transferencia y su divulgación.

c) El menor perjuicio de los derechos de los afectados en caso de que los documentos únicamente contuviesen datos de carácter meramente identificativo de aquéllos.

El Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre, declara fuera de su ámbito de aplicación (art. 2.2 i 3) los datos de las personas físicas que presten sus servicios en personas jurídicas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales, y asimismo, los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros.

d) La mayor garantía de los derechos de los afectados en caso de que los datos contenidos en el documento puedan afectar a su intimidad o a su seguridad, o se refieran a menores de edad.

1 Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado.