La protección de los datos personales y la reutilización de la información del sector público

Una de las principales dificultades que suele plantearse al abordar un proyecto relacionado con la reutilización de la información del sector público es la imposibilidad o, al menos, las dificultades para disponer de datos vinculados a personas físicas identificadas o identificables. De hecho, independientemente del fin de la reutilización de la información, la normativa sobre transparencia y acceso a la información establece con claridad este límite, aunque admite que la concurrencia de un bien jurídico superior pueda justificar que se acceda incluso a los datos de carácter personal. Según dispone el artículo 15 de la Ley 19/2013, en los supuestos en que se pretenda el acceso a información que contenga datos de carácter personal, solo se podrá estimar la solicitud “previa ponderación suficientemente razonada del interés público en la divulgación de la información y los derechos de los afectados cuyos datos aparezcan en la información solicitada”.

Por lo que se refiere a la normativa específica sobre reutilización de la información del sector público, el artículo 3 de la Ley 37/2007, tras la reforma que tuvo lugar en 2015, se remite expresamente a la citada regulación general sobre transparencia y acceso a la información. En consecuencia, ya sea de oficio a la hora de publicar la información o, en su caso, a raíz de la solicitud que se pueda formular, lo cierto es que la mera presencia de datos personales no supone por sí misma un obstáculo definitivo para impedir la reutilización. Eso sí, se deberá tener muy en cuenta hasta qué punto la finalidad de dicha reutilización debe prevalecer frente a la protección de las personas físicas afectadas.

Esta valoración presenta una gran importancia, ya que el fin que justificaría inicialmente el tratamiento no puede ser incompatible con el uso posterior de los datos por parte del reutilizador. A este respecto, la apertura de la información según los estándares de los datos abiertos supone una dificultad adicional ya que -tal y como ha sucedido en algún caso reciente relativo a la publicación de las retribuciones del personal al servicio de una Administración Pública- puede facilitar el tratamiento automatizado de la información y poner en duda si se cumplen las exigencias más elementales del principio de proporcionalidad.

A este respecto, la reforma de la normativa europea en la materia publicada oficialmente hace tan solo dos meses ofrece una serie de medidas que han de tenerse especialmente en cuenta, sobre todo por lo que se refiere a la gestión avanzada de la información que permite la disociación de los datos, es decir, la desvinculación de la persona física a la que se refieren. En concreto, el artículo 3 del Reglamento UE 2016/679 de 27 de abril, requiere que los datos no puedan atribuirse a un interesado sin utilizar información adicional, debiendo esta última figurar por separado y estar sujeta a medidas técnicas y organizativas para evitar la atribución a una persona identificada o identificable. Asimismo, se consagra el principio de protección a través del diseño y por defecto (artículo 25) y la necesidad de llevar a cabo una evaluación del impacto sobre los datos personales afectados (artículo 35) cuando suponga un alto riesgo para los derechos y libertades de las personas físicas, lo que puede suceder en los casos de tratamientos masivos de información que afecte a amplios colectivos de personas físicas.

Así, en aplicación de dichas medidas, la tecnología podrá facilitar incluso una mayor garantía en la reutilización de los datos desde la perspectiva jurídica. En concreto, debería plantearse por defecto que las aplicaciones y los sistemas de información de las Administraciones Públicas permitan separar de las personas a las que se refieren la información que gestionan y, al mismo tiempo, permitir su conexión únicamente para aquellos supuestos en que resulte precisa la identificación del titular para el ejercicio de las competencias y funciones administrativas que inicialmente justificaron la recogida de la información, normalmente sin consentimiento de los afectados. No obstante, este planteamiento debería estar presente desde el inicio del diseño de dichos programas y sistemas, pero también a la hora de plantearse la adquisición o el uso de aplicaciones diseñadas por terceros, ya sean entidades públicas o empresas privadas, de modo que no se puedan utilizar los que no cumplan con estos estándares de gestión documental y protección jurídica.

En definitiva, es de esperar que el proceso de adaptación a la reforma de 2015 en el ámbito de la Administración electrónica se convierta en una oportunidad no sólo para dar cumplimiento a las exigencias legales de la nueva regulación sino para transformar realmente un modelo obsoleto de gestión que no aprovecha plenamente las posibilidades de innovación y de refuerzo de la seguridad jurídica que ofrece la tecnología.