Publicación de datos personales en tablones electrónicos – #DebateAbiertoCon Susana Macías

El tweet que provoca el debate:

El interrogante inicial:


(Inciso ——> En este momento nace #DebateAbiertoCon)

Ruth: Por lo que te leo, el supuesto podría encajar en el del art. 59.6.b) de la Ley 30/1992, de 26 de noviembre, del Régimen Jurídico de las Administraciones y del Procedimiento Administrativo común (Ley 30/92):

“6. La publicación, en los términos del artículo siguiente, sustituirá a la notificación surtiendo sus mismos efectos en los siguientes casos:

a) (…)

b) Cuando se trata de actos integrantes de un procedimiento selectivo o de concurrencia competitiva de cualquier tipo. En este caso, la convocatoria del procedimiento deberá indicar el tablón de anuncios o medios de comunicación donde se efectuarán las sucesivas publicaciones, careciendo de validez las que se lleven a cabo en lugares distintos”.

Entiendo que, si una normativa lo recogiera para el supuesto concreto, la Administración puede disponer en su convocatoria que la notificación se efectuará por medio de publicación en su tablón de anuncios y en su tablón electrónico, poniendo este artículo en relación con el 12 de la Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (Ley 11/2007), que dispone:

La publicación de actos y comunicaciones que, por disposición legal o reglamentaria deban publicarse en tablón de anuncios o edictos podrá ser sustituida o complementada por su publicación en la sede electrónica del organismo correspondiente.

Deduzco, por lo de #LOLPD (¡qué hashtag tan grande, @NTAbogados!) que la sorna de tu tuit guarda relación con la protección de datos, (¿has visto que perspicaz soy? guiño-guiño-codazo), pero ¿me puedes explicar exactamente el motivo?

Susana: A raíz del “tweet de la discordia” veo que se suscitan, como mínimo, dos preguntas en relación con los tablones de anuncios electrónicos:

1. El contenido que pueden tener dichos tablones.

2. Las medidas en materia de protección de datos que hace falta adoptar en relación con los documentos que se publican en los tablones electrónicos.

En relación con la cuestión 1, hay que destacar que no está establecido de forma expresa qué contenidos deben (o pueden) ser publicados en el tablón de anuncios electrónico, y éstos se infieren de la Ley 30/1992 puesta en relación con la Ley 11/2007.

Los preceptos que se aportan al debate son totalmente correctos, y de hecho el tablón electrónico se puede considerar una versión 2.0, para entendernos, del tablón de anuncios presencial de toda la vida, con lo cual tienen cabida los mismos contenidos que en éste (art. 59.5 + 59.6.b) de la Ley 30/1992). El matiz (o importante diferencia) a tener en cuenta consiste en que el art. 12 de la Ley 11/2007 abre la posibilidad que la publicación en el tablón de anuncios electrónico pueda llegar a sustituir la publicación en los boletines y diarios oficiales, opción que no se contemplaba en relación con los tablones presenciales.

O sea que desde un punto de vista de contenido, es ajustado a Derecho que un tablón de anuncios electrónico pueda incorporar un listado de las personas físicas o jurídicas a las que se ha concedido una subvención, dado que se trata de un procedimiento de concurrencia competitiva que se subsume en el art. 59.6.b) de la Ley 30/1992.

La segunda cuestión es quizás la que más dudas puede suscitar: ¿cómo se protegen los datos personales de un documento colgado en un tablón de anuncios electrónico? De esta respuesta quiero excluir de entrada los mecanismo de no indexación, y centrarme en el contenido que deberían tener dichos actos (o el que NO deberían tener) para que cumplieran con la LOPD.

En este sentido, me remito a la Recomendación 1/2008 de la APDCAT, sobre la difusión de información que contenga datos de carácter personal a través de internet, aplicable a las instituciones públicas de Cataluña (entre ellas, la Administración de la Generalitat).

Para no complicar el asunto más de la cuenta, partamos de la suposición que los perceptores de la subvención han dado su consentimiento a la comunicación de sus datos, y que la finalidad de difusión es legítima (que creo yo que sí). Igualmente, creo que en el caso que yo apuntaba no se ha tenido en cuenta el principio de proporcionalidad que define en estos términos la misma Recomendación 1/2008:

Proporcionalidad: es necesaria la ponderación a fin de que la información facilitada sea la estrictamente adecuada y se mantenga sólo durante el tiempo adecuado para alcanzar la finalidad que legitima la difusión de los datos. Se considerará adecuada la información que sea idónea e imprescindible para alcanzar la finalidad perseguida, siempre que, cuando sea posible difundir electrónicamente la información de diferentes formas, o con diferentes grados de concreción, se opte por aquel sistema que, a la vez que permita alcanzar igualmente la finalidad perseguida, comporte una menor difusión de datos de carácter personal tanto desde un punto de vista cualitativo como cuantitativo”.

En el caso concreto de la publicación del resultado de los procedimientos selectivos o de concurrencia competitiva, en este documento se recomienda, salvo que la normativa específica reguladora de la materia establezca de lo contrario, limitar la publicación a la indicación de los participantes seleccionados, sin hacer mención de la valoración obtenida ni de los participantes que hayan sido descartados, sin perjuicio de la posibilidad de establecer sistemas de acceso restringido que permitan a cada aspirante acceder a la información completa que le afecte.

Es decir, la Recomendación no descarta que se puedan utilizar sistemas de identificación para el acceso que permitan verificar la legitimación de la persona que pretenda acceder a los datos de carácter personal, de manera que éstos se difundan sólo entre los interesados directos o aquellas personas o colectivos titulares de intereses legítimos. Esto implica que cada interesado en un procedimiento disponga de un espacio personal para poder consultar el estado o resultado de dicho procedimiento, y así los datos personales no trasciendan a sujetos ajenos al procedimiento.

R: No estoy tan segura de que deba requerirse necesariamente el consentimiento del interesado, pues entiendo que lo que la Administración hace es una comunicación o revelación de datos y el Art. 11 de la LOPD contempla, entre otras excepciones, que no será preciso el consentimiento cuando la cesión de los datos esté autorizada en virtud de una Ley. Como vemos, el supuesto del que hablamos se encuentra previsto en el Art. 59 de la Ley 30/1992, que autorizaría la publicación de los datos en el boletín oficial, y en el Art. 12 de la Ley 11/2007, que habilitaría la publicación en el tablón electrónico de la Administración.

Por otra parte, siendo prácticos, podemos preguntarnos qué importa que esos datos figuren en el tablón electrónico de la Administración si desde el momento en que han  accedido al boletín oficial en Internet, se encuentran en una fuente accesible al público de forma indefinida y a la que, en términos generales, se puede llegar a través de cualquier buscador.

Hay quien apuntará a un fichero robots.txt como solución, sin embargo a día de hoy, hasta donde yo sé, nada obliga a las administraciones a incluir tales ficheros, pero aunque así fuera, un robots.txt no es más que un archivo de texto que contiene recomendaciones para los indexadores de los buscadores, pero no tienen carácter vinculante, no son más que peticiones, no estando por tanto realmente éstos sujetos a su cumplimiento. Además, el robots.txt por un lado puede facilitar que determinada información no resulte accesible a través de buscadores externos, pero por otro puede provocar un efecto llamada, pues no hay más que introducir en nuestro navegador la url de la web que se quiera seguida de “/robots.txt” para acceder a dicho fichero y saber, por tanto, cuál es la información que no se desea indexar (aunque es cierto que hace falta ser muy curioso para ir mirando los robots.txt. Por cierto, para curioso el robots.txt de la web de la SGAE…)

Retomando el tema, también la Agencia de Protección de Datos de la Comunidad de Madrid (D.E.P.) se pronunció en su día sobre la publicación de datos personales en boletines oficiales, en su Recomendación 2/2008, y sobre el tratamiento de datos personales en servicios de administración electrónica, Recomendación 3/2008, si bien esta última, paradójicamente, no me ha parecido aplicable al supuesto que tratamos. Sí, en cambio la Recomendación 2/2008, en cuyo Art. 17 se refiere concretamente a la publicación de datos relativos a subvenciones y en el 31 a las notificaciones a través de boletines y diarios oficiales en Internet.

En definitiva, creo que, aunque se pueden arbitrar medios para que sólo el interesado acceda a su información en relación con la concesión o no de la subvención, entiendo que la Administración del tuit de la discordia no tiene por qué estar incumpliendo la normativa actual sobre protección de datos y tampoco las recomendaciones que venimos viendo. Otra cosa es que sea deseable que se regule en condiciones la incorporación de datos de carácter personal en boletines oficiales en Internet y en tablones electrónicos. Quizá vaya siendo hora de decidir si la amplificación y la enorme facilidad y rapidez en la obtención de información que se producen hoy en día en Internet justifican una regulación específica para dicho entorno en materia de protección de datos (ahora que tanto se habla del derecho al olvido…).

S: El debate se pone cada vez más interesante. Me explayaría durante horas, pero intentaré contenerme…

Brevemente, creo que sí que tiene relevancia la exposición de los datos en un tablón electrónico, a pesar de que éstos se hayan publicado ya en un boletín oficial en formato digital. Tengamos en cuenta que uno de los principios que rigen las publicaciones oficiales en formato digital es el de la integridad (v., por ej., art. 3.3 de la Ley 2/2007, del DOGC), motivo por el cual no se “descuelgan” o borran los eventuales datos personales que puedan contener sus documentos. Cosa que sí se puede (y de hecho, se debería) hacer con los documentos que se cuelguen de los tablones oficiales, que simplificando son más de usar y tirar, ya que no tienen que estar expuestos más allá del tiempo imprescindible para cumplir con su utilidad, lo cual se traduce en el plazo estipulado para interponer recurso contra él.

En cuanto al robots.txt, totalmente de acuerdo: ni es la solución, ni es la panacea. Más bien hay que considerarla una medida adicional de cara a la protección de datos de carácter personal, y con los efectos limitados que ya conocemos. Pero la medida realmente eficaz consiste ya a priori en la prevención, o en lo que es lo mismo, en no dar publicidad de datos que no son necesarios en virtud del principio de proporcionalidad que antes comentaba: ¿es necesario que todos (interesados o no el procedimiento) tengan acceso a datos personales de sujetos a los que se ha concedido una subvención? En el caso de los interesados se resuelve habilitando el espacio personal antes mencionado. Y en el caso de los no interesados en el procedimiento, se puede entender que esos resultados puedan ser públicos por tiempo indefinido con fines de investigación (más aún en los tiempos que corren, en los que queremos saber a qué se destina el dinero de nuestros impuestos). Pero una solución que satisfaga los intereses legítimos de ambas partes puede pasar, por ejemplo, por la anonimización parcial de los datos relativos a las personas físicas que perciban la subvención (por ejemplo, las iniciales del nombre más los cuatro últimos dígitos del DNI). Ésta es una medida que permite (al menos a priori) que sólo el interesado se reconozca en el listado, y que se ve amparada por la misma Recomendación 1/2008, la cual indica la oportunidad de limitar la publicación de números identificativos, como el número del documento nacional de identidad, el número de afiliación a la seguridad social u otros, de forma conjunta con la identificación completa de la persona a la cual se refieren, a aquellos supuestos en que la publicación de este dato concreto se desprenda de la normativa aplicable. 

Esta idea no es totalmente nueva, porque de hecho, en el ámbito de las notificaciones y publicaciones de actos, va en consonancia con el artículo 61 de la LRJPAC:

Si el órgano competente apreciase que la notificación por medio de anuncios o la publicación de un acto lesiona derechos o intereses legítimos, se limitará a publicar en el diario oficial que corresponda una somera indicación del contenido del acto y del lugar donde los interesados podrán comparecer, en el plazo que se establezca, para conocimiento del contenido íntegro del mencionado acto y constancia de tal conocimiento”.

(Y qué interés o derecho más legítimo que la protección de datos de carácter personal, ¿verdad? ;)).

En resumen, aunque no existan unos criterios meridianamente claros respecto a las medidas que hay que adoptar en materia de protección de datos en los tablones electrónicos, lo que sí que es seguro es que no deben diferir mucho de las que se adoptan en los boletines oficiales en formato digital. Y eso pasa, a mi modo de ver, por publicar exclusivamente la información imprescindible para que la difusión del acto administrativo cumpla su finalidad.

3 comentarios en “Publicación de datos personales en tablones electrónicos – #DebateAbiertoCon Susana Macías

  1. fjaviersempere dijo:

    Oh! Qué interesante. Enhorabuena a ambas por la iniciativa!
    Creo que como “padre” de ambas Recomendaciones de la R.I.P APDCM tengo que pronunciarme…

    La Historia
    ¿Por qué se hicieron dos Recomendaciones? Estuve una semana entera haciendo impresiones de pantalla navegando por “ingobernable” página web de la CMadrid. Cuando llegué a través del “portal del portal del portal” a la públicación de los resultados de los Juegos Escolares, decidí dejarlo: “me estaba volviendo loco”.
    Si juntas ambas Recomendaciones y quitas las partes generales, te darás cuenta que está lleno de supuestos, los cuales devienen de esas impresiones de pantalla. Al final, yo propongo que había material suficiente para sacar dos Recomendaciones.
    Y si no recuerdo mal, la de “Servicios electrónicos” se llama así porque algún nombre había que darle. La única relación que guarda con la Ley 11/2007 es la parte de “repositorios”.
    No se toca el tablón electrónico pq no había ninguno por aquel entonces, y el problema a atajar eran los boletines.

    ¿Es lo mismo Boletín que tablón electrónico?
    Desde mi punto de vista, y si dejamos a un lado lo que ponga la normativa -esto hay que tenerlo muy claro- no es lo mismo. Trasladamos lo físico a lo electrónico: el Boletín siempre ha sido fuente de acceso público. El tablón, no. O te vas a la sede del organismo que ha publicado, o no te enteras. Para mí, es una diferencia entre ambos.

    El supuesto que planteáis: cómo hacerlo correctamente.
    Existe habilitación legal por una doble vía: ley 30/1992, que bien citáis; ley de subvenciones, tmb contempla publicación en Boletín correspondiente (ver leyes Estatales y Autonómicas).

    ¿Cómo se debería proceder correctamente?
    Distingamos varios supuestos:
    a.- Publico sólo en el Boletín Electrónico, en abierto.
    Nombre, apellidos (podemos valorar que sean sólo iniciales) + con poner 4 últimos números del DNI (ver pj Instrucción del Ayuntamiento de Madrid de adecuación a la de la RIP APDCM).

    b.- Publico en Boletín Electrónico y además quiero meterlo en el Tablón.
    Se puede hacer una cosa muy sencilla: en vez de volver a realizar la publicación, hazla pero mete únicamente un enlace al Boletín.
    En la práctica nos podemos encontrar que ese listado que se publicó en su día en el Boletín aparezca: además de en el Tablón electrónico, en la parte de Atención al Ciudadano de la Web…etc…La misma información tres o cuatro veces. Se pierde su control, además piénsese hasta que se retira.

    c.- Publico sólo en el Tablón.
    La opción menos invasiva es faciltar hacerlo en un espacio privado que se entre con login + password. Hoy en día esa técnica es muy factible. Tengan en cuenta que aunque aparece en las recomendaciones, era el año 2008.

    Parece tan sencillo, no? Pues vamos a complicarlo con un par de anotaciones.

    Complicando que es gerundio.
    -“Concurrencia competitiva” se entiende que es entre los que participan, en otras palabras, la subvención “X” sólo “interesa” a los que solicitan la misma. No obstante, y aquí se complica, puede afectar supuestos de “transparencia”, no respecto a las “becas comedor”, pero sí digamos aquellas que tengan un cariz más “ideológico político” y sus destinatarios sean también personas físicas.

    -Vayamos con dos supuestos polémicos y objetos de debate durante la Recomendación 2/2008:

    a.- A efectos de publicación de subvenciones, normalmente se hace la baremación parcial (por cada requisitos solicitado) y la total. En la Recomendación se opta por la total, ya que las parciales pueden revelar determina información (salud por ejemplo). Esto puede producir indefensión y se puede corregir mediante el acceso al expediente del interesado.
    Es discutible, y en la práctica, se suelen publicar también los parciales.

    b.-Creo que no lo han tocado: el artículo 60 Ley 30/1992 permite la publicación si la norma reguladora del procedimiento lo contempla. Pongamos “un procedimiento de concurrencia no competitiva” que es objeto de publicación pq la Orden que lo regula así lo dispone. Si no recuerdo mal, la Recomendación no contempla nada al respecto por la siguiente discusión que tuvo por aquel entonces:

    ¿Es la Ley 30/1992 art. 60 la que habilita o OJO lo que contembla dicho artículo es una “deslegalización” de la cesión, ya que “la norma del procedimiento” será normalmente una norma de carácter reglamentario. Aplicable también a la Ley 11/2007 cuando se refiere al tablón y esté contemplado en norma reglamentaria.

    Ahí lo dejo.
    Lo dicho, enhorabuena.

  2. @meryglezm dijo:

    ENHORABUENA!!! GRANDES!! ) Gran iniciativa, gran debate, gran post!
    Tb grande la Autoridad (@fjavier_sempere) con su comentario!!
    Cuanto se aprende con vosotros!
    Abrazos!

  3. María @mlozac dijo:

    ENHORABUENA por la inciativa!! qué interesante el tema y la aportación “deluxe” de Javier;)

    Estoy de acuerdo en que la diferencia entre Boletines oficiales y tablones, es fundamental, ya que los primeros se consideran fuente accesible al publico y los segundos, no. Aunque esto, a día de hoy, porque el numerus clausus de fuentes accesibles al publico puede (o debe) cambiar en cualquier momento..

    Respecto al acceso al tablón sin ningun tipo de limitación (es decir, sin utilizar usuario y contraseña), la AEPD se pronunció al hilo del tablón edictal de la Seguridad Social y dijo:

    “Si el Tablón es el único modo de acceso a los edictos, su
    funcionamiento ha de ser regulado en términos tales que se garantice la
    universalidad en el acceso a la información, con independencia del
    grado de conocimiento de la técnica de cada ciudadano y del uso que
    por el mismo se realice de las nuevas tecnologías.

    La garantía del acceso universal al tablón edictal electrónico impone que
    no sea posible el establecimiento de mecanismos que puedan dificultar
    al ciudadano el acceso a los edictos de los que el mismo pueda ser
    destinatario, teniendo en cuenta, como se ha insistido a lo largo de este
    informe, que el Tablón será el único modo en que los ciudadanos podrán
    acceder a la información, dándose así cumplimiento a lo establecido en
    el artículo 59.5 de la Ley 30/1999.

    De este modo, cabe considerar que la cesión generalizada de la
    información contenida en el Tablón estaría amparada por el artículo 11.2
    a) de la Ley Orgánica 15/1999 en conexión con el artículo 59.5 de la Ley
    30/1992.”

    Parece ser que la única medida que propone la AEPD para evitar el “acceso indiscriminado” es la no indexacion..

    En mi opinión, estoy de acuerdo en lo que comentaba Susana de la “prevención”, siguiendo las directrices establecidas por ej en Recomendaciones como las mencionadas.. pero al igual que Ruth me pregunto si queda justificada una regulación al respecto… o podríamos llegar al absurdo de tener que acudir presencialmente al organismo para obtener la notificacion completa…
    Quizá una parte de la solución radique en una eficiente gestión de la información por parte de las Administraciones para la información no se “pierda” o escape al control de las propias Administraciones, como apuntaba Javier, lo cual también implica su “retirada” tras un determinado plazo de tiempo etc..

    muchas gracias y enhorabuena a las dos!!!!!!!!

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s