1850 - Procedimiento por parte de la Administración local para el tratamiento de datos personales

La Administración local maneja una gran cantidad de datos personales de distinta índole, a modo de ejemplo, podemos citar el padrón municipal de habitantes, los datos tributarios a efectos de la gestión de los tributos municipales, o datos académicos y profesionales a efectos de la gestión de procesos selectivos, etc. 

El tratamiento de datos por las administraciones locales

El responsable del tratamiento en el ámbito de la Administración local recaerá en los municipios, diputaciones provinciales e islas. También serán responsables del tratamiento las entidades de ámbito territorial inferior al municipal (comarcas, áreas metropolitanas y mancomunidades). También podrían ser considerados responsables del tratamiento los entes que formen parte de la administración institucional de las corporaciones locales (como por ejemplo entidades públicas empresariales locales).

La Administración local debe cumplir los principios regulados en el RGPD cuando realicen cualquier tipo de tratamiento de datos de carácter personal. En síntesis, estos principios son:

• Principio de licitud, lealtad y transparencia.
• Principio de limitación de la finalidad.
• Principio de minimización de datos.
• Principio de exactitud.
• Principio de limitación del plazo de conservación.
• Principio de integridad y confidencialidad.
• Principio de responsabilidad proactiva.

En cuanto a la legitimación para el tratamiento de datos realizado por las administraciones locales, se encuentra en el interés público o en el ejercicio de poderes públicos, y también en el cumplimiento de una obligación legal que afecte al responsable del tratamiento. Se requiere para ello una previsión normativa con rango de ley.

Existe un tercer supuesto de legitimación cuando el tratamiento se fundamente en satisfacer los intereses legítimos perseguidos por un tercero al que el responsable le comunica los datos (que solo se aplica en la Administración local cuando ese tercero no tiene la condición de autoridad pública).

Cuando la Administración local emplee el consentimiento como base jurídica del tratamiento de datos, deberá reunir las características del RGPD.

La Administración local también está obligada a mantener un registro de actividades de tratamiento por escrito, función que recaerá en los responsables y encargados de tratamiento de la Administración, y que deberá estar a disposición de la autoridad de control. Este registro obliga a inventariar todos los tratamientos de datos que lleven a cabo las entidades locales. 

En cuanto a las medidas de seguridad que tendrán que ser adoptadas por la Administración local, debe garantizarse el cumplimiento de lo dispuesto al respecto en el RGPD, adoptando las medidas técnicas y organizativas necesarias. En este sentido las entidades locales están obligadas a llevar a cabo una valoración de riesgo de los tratamientos que realicen, función que debe ser realizada por el responsable del tratamiento, y que implica la determinación de las medidas a aplicar para que los tratamientos respeten lo dispuesto en el RGPD, y la adopción de las medidas de seguridad correspondientes. Cuando se trate de ayuntamientos de menos de 20.000 habitantes, este análisis puede realizarse con el soporte de la diputación provincial correspondiente.

El artículo 37 del RGPD establece que el responsable y el encargado del tratamiento de datos designarán un delegado de protección de datos siempre que el tratamiento lo lleve a cabo una autoridad u organismo público, lo que implica que las entidades locales deban proceder a su designación. En la Guía de protección de datos de la Administración local publicada por la AEPD se recogen determinadas especialidades de esta figura:

• Los ayuntamientos con más de 20.000 habitantes, atendiendo al volumen de datos que traten, podrán contar con un departamento de apoyo para el delegado de protección de datos.
• Los ayuntamientos con menos de 20.000 habitantes podrán designar al delegado de protección de datos o «articularlo a través de las Diputaciones Provinciales o Comunidad Autónoma respectiva».
• También deberán designar un delegado de protección de datos las diputaciones provinciales, cabildos y consejos insulares.
• Los secretarios, interventores y tesoreros podrán actuar como delegados de protección de datos siempre que no exista conflicto de intereses con el ejercicio de sus respectivas funciones en la entidad local.
• Podría ser prestado por entidades privadas especializadas.

CUESTIONES

1. ¿Qué plazo tiene la Administración local para responder al interesado que interese ejercer sus derechos de acceso, rectificación, supresión, limitación u oposición al tratamiento?

La Administración tiene el plazo máximo de un mes para responder. Podría prorrogarse otros dos meses más si fuese necesario por la complejidad y el número de solicitudes, siempre y cuando se informe al ciudadano de la prórroga y sus motivos en el plazo de un mes desde la solicitud.

2. ¿Se realizarán por medios electrónicos las respuestas a la solicitud de información del interesado?

Cuando la solicitud se presente por medios electrónicos, la información se facilitará por medios electrónicos, salvo que el ciudadano solicite que se le notifique de otro modo.

3. ¿Deben de facilitar las administraciones locales el ejercicio de estos derechos?

Si, las entidades locales deben de establecer mecanismos visibles, accesibles y sencillos, incluidos los medios electrónicos. En este caso, si el ejercicio se realiza por medios electrónicos, las administraciones deben incorporar procedimientos para verificar la identidad de los ciudadanos afectados, y la recepción del ejercicio del derecho y de su contestación.

Especialidades en materia de protección de datos de determinadas entidades de la Administración local 

a) El padrón municipal

El padrón, por su naturaleza de registro administrativo donde constan los datos de los vecinos, maneja numerosos datos personales. 

La Ley 7/1985, de 2 de abril, reguladora de las Bases del Régimen Local, en su artículo 16.3, dispone que:

«Los datos del Padrón Municipal se cederán a otras Administraciones públicas que lo soliciten sin consentimiento previo al afectado solamente cuando les sean necesarios para el ejercicio de sus respectivas competencias, y exclusivamente para asuntos en los que la residencia o el domicilio sean datos relevantes. También pueden servir para elaborar estadísticas oficiales sometidas al secreto estadístico, en los términos previstos en la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública y en las leyes de estadística de las comunidades autónomas con competencia en la materia».

Estos datos reflejados en el padrón municipal pueden ser cedidos a la Policía local cumpliendo tres requisitos:

• Que se utilicen solamente los datos que sean adecuados, pertinentes y no excesivos (normalmente nombre y apellidos y domicilio).
• Que la comunicación de los datos se realice con relación a expedientes concretos, y que esté debidamente justificada en relación con las funciones de interés público que tiene atribuida la Policía local.
• Que se garanticen la confidencialidad y seguridad de los datos personales.

Cumpliendo estos requisitos podrán habilitarse los medios técnicos necesarios para que la comunicación de datos pueda realizarse por la Policía local, desde sus propias oficinas, mediante la creación de un acceso.

CUESTIÓN

¿Podría realizarse una comunicación masiva de datos del padrón a la policía?

No, no podría realizarse una comunicación masiva ya que rige el principio de minimización de datos que se establece en el RGPD, sin perjuicio de la posibilidad de que pueda habilitarse el acceso a la Policía local desde sus oficinas a los datos del padrón.

Teniendo en cuenta que la finalidad del padrón municipal es la determinación y, en su caso acreditación, del domicilio o residencia habitual de los ciudadanos, así como la determinación de la población del municipio, la comunicación de datos del padrón se limita a las Administraciones públicas, motivo por el cuál no podría facilitarse al propietario información sobre las personas que figuran inscritas en la vivienda de su propiedad.

En cuanto a una posible cesión de datos a empresas que lleven a cabo servicios para el Ayuntamiento, el Informe 0552/2009 de la AEPD, abordando una consulta de la empresa que gestionaba el abastecimiento de aguas que pretendía el acceso a datos del padrón para poder realizar la facturación (en concreto al número de personas que viven en cada vivienda), la AEPD se remite a su informe de 26 de diciembre de 2009 en el que determina que las tasas que pretende cobrar la empresa entran dentro de las competencias exclusivas de los poderes públicos y, por tanto, la gestión de la entidad privada se refiere únicamente a facilitar la gestión de dicho tributo, sin que pueda utilizar la información para el beneficio propio, lo que conlleva que esta actividad entre dentro de las funciones del encargado del tratamiento y no será considerada como una cesión de información, si no que deberá cumplir las garantías que se le exigen a la figura del encargado del tratamiento.

En cuanto a la cesión de datos a la Administración tributaria, la misma se encuentra amparada en el artículo 94.1 de la Ley 58/2003, de 17 de diciembre, General Tributaria, que establece que: «Las autoridades, cualquiera que sea su naturaleza, los titulares de los órganos del Estado, de las comunidades autónomas y de las entidades locales; los organismos autónomos y las entidades públicas empresariales; las cámaras y corporaciones, colegios y asociaciones profesionales; las mutualidades de previsión social; las demás entidades públicas, incluidas las gestoras de la Seguridad Social y quienes, en general, ejerzan funciones públicas, estarán obligados a suministrar a la Administración tributaria cuantos datos, informes y antecedentes con trascendencia tributaria recabe ésta mediante disposiciones de carácter general o a través de requerimientos concretos, y a prestarle, a ella y a sus agentes, apoyo, concurso, auxilio y protección para el ejercicio de sus funciones». Al considerarse el domicilio un dato relevante, a efectos de que se pueda concretar el domicilio fiscal del contribuyente, dicha información deberá ser facilitada a la Administración tributaria, y no requerirá el consentimiento del interesado en atención a lo establecido en el apartado 5 del citado artículo 94, que dispone que la cesión de datos a la Administración tributaria no requerirá el consentimiento del afectado.

b) Los plenos municipales y los derechos de los concejales que implican tratamiento de datos

El artículo 70.1 de la Ley 7/1985, de 2 de abril, reguladora de las Bases del Régimen Local dispone que: «Las sesiones del Pleno de las corporaciones locales son públicas. No obstante, podrán ser secretos el debate y votación de aquellos asuntos que puedan afectar al derecho fundamental de los ciudadanos a que se refiere el artículo 18.1 de la Constitución, cuando así se acuerde por mayoría absoluta. No son públicas las sesiones de la Junta de Gobierno Local». Es por ello por lo que se plantea un conflicto entre la publicación de las actas de las sesiones plenarias o de la grabación de las mismas (es decir, el derecho de acceso y participación en los asuntos públicos), y el derecho a la protección de datos. 

La AEPD se ha pronunciado sobre la posibilidad de publicar las actas de los plenos municipales y, entendiendo que la publicación de datos se considera una comunicación de los mismos, establece tres supuestos diferenciados:

• Cuando contengan datos personales, pero sean referidos a actos debatidos en el pleno o a disposiciones objeto de publicación en el boletín oficial correspondiente, podrán publicarse independientemente del derecho de oposición o cancelación de los afectados.
• En los demás casos se requerirá el consentimiento previo de los afectados para realizar la publicación de las actas que contengan datos personales.
• Cuando la corporación haya declarado secreto el debate y la votación, por afectar al honor y a la intimidad de los ciudadanos, no serán objeto de publicación.

Igual respuesta ofrece la AEPD a la posibilidad de grabar las sesiones del pleno.

CUESTIÓN

¿Puede un grupo municipal publicar la grabación en redes sociales?

La AEPD ha respondido a esta cuestión diciendo que podrán grabarse y difundirse por Internet, teniendo en cuenta que las personas físicas que sean grabadas podrán ejercitar sus derechos de supresión u oposición ante el responsable o titular de la web. Nos dice también la AEPD que: «Será responsabilidad de quien graba y posteriormente publique las citadas grabaciones, el cumplimiento de las obligaciones impuestas por el RGPD». 

También se plantea la duda sobre la posibilidad de los concejales, incluidos los de la oposición, de acceder a la documentación que se encuentra en el ayuntamiento. Hay que partir de la base de que los concejales tienen atribuida la posibilidad de consultar la documentación obrante en el ayuntamiento en el ejercicio de su actividad de control, independientemente de las especialidades y limitaciones previstas para determinados tratamientos de datos. Así lo recoge el artículo 77 de la Ley 7/1985, de 2 de abril, reguladora de las bases del Régimen Local: «Todos los miembros de las Corporaciones locales tienen derecho a obtener del Alcalde o Presidente o de la Comisión de Gobierno cuantos antecedentes, datos o informaciones obren en poder de los servicios de la Corporación y resulten precisos para el desarrollo de su función. La solicitud de ejercicio del derecho recogido en el párrafo anterior habrá de ser resuelta motivadamente en los cinco días naturales siguientes a aquél en que se hubiese presentado». Por tanto, los concejales sí podrían acceder a la documentación, pero teniendo en cuenta la limitación que establece el RGPD, los datos únicamente podrán tratarse para el control de la actividad de la Administración local correspondiente, no pudiendo utilizarlo para ningún otro fin, ni compartirlos con terceros.

En relación con este tema, la AEPD en la Resolución de procedimiento sancionador, del expediente n.º: PS/00464/2021 resuelve imponer a un ayuntamiento una sanción de apercibimiento por haber permitido el acceso indiscriminado y libre de los concejales del ayuntamiento a los documentos que se adjuntaban en las inscripciones de los registros generales de entrada y salida, considerando que se infringió la normativa de protección de datos, ya que en el caso concreto denunciado se le dio al concejal acceso a una solicitud del reclamante a pesar de que ello era innecesario para el ejercicio de sus funciones.

CUESTIÓN

¿Se incluyen los datos tributarios de los ciudadanos entre aquellos a los que pueden tener acceso los concejales de la oposición?

En cuanto a los datos tributarios existentes en los Ayuntamientos, conviene recordar que el artículo 95 de la Ley General Tributaria establece el carácter reservado de los datos, informes o antecedentes obtenidos por la Administración tributaria en el desempeño de sus funciones disponiendo que los mismos solo podrán usarse para la aplicación de los tributos o recursos, y para la imposición de sanciones, disponiendo la prohibición de que se cedan o comuniquen a terceros, enumerando una lista de excepciones entre las que no puede encuadrarse la del acceso por parte de los concejales de la oposición.