El derecho fundamental a la protección de datos de carácter personal como límite ¿(in)franqueable? para la transparencia administrativa[*]
The fundamental right to the protection of personal data as a (impassable) boundary for administrative transparency
Leonor Rams Ramos
Universidad Rey Juan Carlos (España)
http://dx.doi.org/10.18543/ed-66(2)-2018pp119-152
Recibido: 30.10.2018
Aceptado: 21.11.2018
Resumen
El presente trabajo intenta analizar y proponer soluciones a la difícil conciliación que se plantea entre la protección del derecho fundamental a la protección de datos de carácter personal y la realización del principio de transparencia, en particular a través del ejercicio del derecho de acceso a la información.
En este sentido, se analizan las reglas y criterios de ponderación introducidos por el artículo 15 de la Ley 19/2013, de transparencia, acceso a la información pública y buen gobierno y su compatibilidad con la normativa de protección de datos de carácter personal tras la entrada en vigor del Reglamento Europeo de Protección de Datos y particularmente a la luz del proyecto de Ley Orgánica de Protección de Datos que se encuentra actualmente en tramitación en las Cortes Generales.
Palabras clave
Protección de datos de carácter personal; transparencia; derechos fundamentales.
Abstract
The main scope of this paper is to analyse and present possible solutions to the problem of reconciling the right to the protection of personal data with the principle of transparency and the right of access to official documents.
To this effect, the rules and criteria to reconcile both rights regulated by the Law 19/2013, regarding transparency, access to public information and good government are reviewed after the entry into force of the new Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data, and particularly under the light of the proposal for a new Data protection Law that is currently into discussion for its approval in the Spanish Parliament.
Keywords
Data protection;, transparency; fundamental rights.
Sumario: I. Introducción. II. La normativa aplicable para la conciliación entre la transparencia y la protección de datos de carácter personal: la aplicabilidad de la ltbg. III. Los criterios de conciliación previstos por el artículo 15 LTBG y las novedades que plantea el PLOPD. 1. El acceso a información pública que contienen datos sensibles o especialmente protegidos. 2. El acceso a la información que contiene datos meramente identificativos. 3. La protección de los datos de carácter personal no reflejados en las categorías anteriores. IV. Breve conclusión: el necesario cambio en los criterios de ponderación entre el derecho de acceso a la información y la protección de datos de carácter personal tras la aprobación del RGPD. Bibliografía.
I. Introducción
La inminente aprobación de una nueva Ley Orgánica de Protección de Datos de Carácter Personal, que tiene por objeto la adaptación de la normativa de protección de datos al nuevo Reglamento UE 2016/678 del Parlamento y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, debe llevarnos a un replanteamiento entre las relaciones –en muchos casos de confrontación– entre las exigencias de transparencia que las leyes vigentes establecen para la actuación de las Administraciones Públicas y la garantía del derecho fundamental a la protección de datos. Y es que no hay duda de que el exponencial crecimiento de la actuación administrativa y de su incidencia en la esfera jurídica de los ciudadanos hace que sea cada vez más necesario conciliar la protección de dos bienes jurídicos que en muchos casos se nos presentan como antagónicos[1].
No cabe duda de que el establecimiento de mecanismos que garanticen la transparencia en la actuación de las Administraciones Públicas deviene cada vez más importante en aras de poder controlar dicha actuación y evitar la proliferación de casos de corrupción y, lo que también es muy grave, la desafección de la ciudadanía frente a la actuación de los poderes públicos. Pero esta exigencia de transparencia, que se traduce en la necesidad de poner a disposición de los ciudadanos la información pública, es susceptible de lesionar el derecho fundamental a la protección de datos, pues la mayor parte de la información que obra en poder de las instituciones públicas –bien porque la reciben de los ciudadanos o porque sean autoras de la misma[2]– está plagada de datos de carácter personal tanto de las personas que se insertan en éstas, como de los destinatarios de su acción.
En este contexto nos encontramos con la tramitación de un nuevo Proyecto de Ley Orgánica de Protección de Datos (en adelante, PLOPD), aún sin aprobar, pero que probablemente verá la luz en un tiempo no muy lejano[3], por tratarse de una materia que suscita, tanto entre los legisladores como en la mayoría de operadores jurídicos, un importante acuerdo en cuanto a su protección. Y no es de extrañar –sino muy al contrario, de agradecer– que exista una amplia conciencia social sobre la necesidad de proteger un bien jurídico que la revolución tecnológica imparable que vivimos puede hacer peligrar; pero, como es bien evidente, no puede tratarse de un derecho de protección absoluta que impida la realización o satisfacción de otros derechos que reconoce el ordenamiento jurídico[4]. Y en este sentido, hay que destacar también la importancia que ha ido cobrando en los últimos tiempos la idea de transparencia, no sólo como principio jurídico que debe impregnar toda la actuación administrativa, sino como una nueva manera de entender la acción de los poderes públicos, que queda más legitimada en la medida en que ésta puede ser conocida por los ciudadanos, hasta el punto de que se habla de la transparencia como uno de los mayores antídotos contra la corrupción, pues solo una sociedad informada de lo que hacen sus representantes y los poderes públicos puede ser crítica respecto su gestión y exigir las pertinentes responsabilidades[5].
El conflicto entre ambos derechos está, pues, servido: en virtud del principio de transparencia, las leyes, en general, y la LTBG, en particular, regulan los instrumentos jurídicos que hacen posible que la información pública pueda ser conocida por los ciudadanos, –tanto a través de la puesta a disposición de esta información en los portales de transparencia, como a través del ejercicio de éstos de su derecho subjetivo de acceso a la información pública–; pero este derecho se ve limitado en muchos casos por la ingente cantidad de datos personales que, lógicamente, aparecen en esa información sobre la gestión de lo público, y que gozan de una especial –y justificada– protección.
No queda más remedio que buscar instrumentos jurídicos de conciliación entre ambos derechos que permitan una articulación jurídica tendente a una mayor garantía de los mismos y que, durante mucho tiempo, nuestro ordenamiento jurídico ha obviado[6]. En la actualidad, este escollo ha sido definitivamente superado, y tras la aprobación de la LTBG no hay duda en que la información pública debe ser accesible salvo que concurra alguna limitación, bien esté ésta prevista para la protección de otros bienes jurídicos que se consideren preeminentes en algunos casos –como son la seguridad pública, el medio ambiente, la investigación de los delitos, etc.[7]– bien se trate de la protección de la intimidad de las personas[8] o de sus datos de carácter personal.
Para ello, la LTBG ha previsto unos mecanismos de ponderación entre ambos derechos que, sin embargo, además de resultar en ocasiones muy complejos, no están del todo equilibrados. Y ello por la sencilla razón de que mientras que el derecho a la protección de datos de carácter personal se ha consagrado como derecho fundamental[9], con todo lo que ello implica, el derecho de acceso a la información sigue siendo considerado como derecho subjetivo vinculado al artículo 105 b) CE[10], cuyos cauces de satisfacción, además, quedan en ocasiones muy mermados.
El propósito de este trabajo es, partiendo de la indudable tensión existente entre ambos derechos[11], analizar los instrumentos jurídicos que nuestro ordenamiento jurídico ha previsto para su posible conciliación, fundamentalmente a través del artículo 15 LTBG, pero examinados a la luz de la nueva normativa de protección de datos de carácter personal, a fin de determinar si dichos mecanismos previstos por esta norma están resultando útiles y son verdaderamente respetuosos con ambos derechos o si, por el contrario, nos abocan a una situación de prevalencia de la protección de datos sobre el derecho de acceso, lo que en definitiva reduciría el ámbito de aplicación del principio de transparencia.
II. La normativa aplicable para la conciliación entre la transparencia y la protección de datos de carácter personal: la aplicabilidad de la LTBG
Superadas las divergencias normativas existentes en la materia, con una legislación contrapuesta, pero que no preveía soluciones aplicables a la tensión que suscitan ambos derechos, la LTBG, además de suponer un avance en muchas cuestiones –aunque adolezca, sin duda, de muchas deficiencias– vino a establecer, a través de su artículo 15, lo que parece ser un mecanismo único para la ponderación de los intereses en conflicto, cuando el acceso a la información pública se puede ver limitado por la existencia de datos de carácter personal en la misma. Y es que el legislador parece haber llegado a la conclusión –reforzada en la actualidad por el Proyecto de LOPD, como veremos– de que para verificar si el acceso debe limitarse por aplicación de la protección de datos de carácter personal, la norma que debe aplicarse para la Ley de transparencia y no, directamente, la normativa de protección de datos.
Esto es, la comunicación de datos de carácter personal que se encuentran en la información pública, de resultar accesible, debe derivarse de la aplicación del procedimiento de acceso a la información previsto por la LTBG y no de la aplicación de la LOPD, en particular de su artículo 11, que prevé la llamada «cesión de datos»[12]. Pero incluso si consideráramos, como hace parte de la doctrina, que el acceso a información pública, cuando en la misma figuran datos de carácter personal, es una cesión, entonces podría entenderse que la ley que autoriza la cesión es la LTBG, cuando ésta permita el acceso a la información frente a la protección de datos de carácter personal que la misma contenga[13].
La LTBG ha aportado la cobertura legal necesaria para salvar esta limitación y es precisamente su artículo 15 LTBG –al que se remite también el artículo 5 LTBG, en relación con la publicidad activa que deben hacer pública en sus portales de transparencia los sujetos obligados por la Ley– el que establece una serie de reglas de aplicación para determinar la accesibilidad de la información cuando de la tramitación de la misma se derive la existencia de datos de carácter personal. Pero dichas reglas, a las que nos referiremos a continuación, deben ponerse en conexión con varias de las cuestiones previas.
En primer lugar, tenemos que considerar que partimos de una relación entre dos derechos no sólo de diversa naturaleza jurídica, con la dificultad que implica la ponderación entre un derecho fundamental y otro que no lo es[14] –aunque en ningún caso, ninguno de ellos pueda tener carácter absoluto y justificar la privación del otro–, a lo que se suma, en consecuencia, a una diversa naturaleza de las normas jurídicas que los regulan y amparan. Y es que mientras que las finalidades que justifican la cesión de datos de carácter personal se contienen en una ley orgánica, la LTBG no deja de ser una ley ordinaria, cuyo contenido no podrá en ningún caso invadir o regular materia reservada a ley orgánica. Fernández Ramos recuerda sobre esta cuestión cómo el Consejo de Estado se pronunció al efecto en su dictamen sobre el anteproyecto de LTBG –aunque en relación con una regulación muy diferente que la que finalmente se aprobó– indicando que una «ley ordinaria no puede condicionar ni alterar el régimen de aplicación de la Ley Orgánica de Protección de Datos ni mucho menos alterar su ámbito de aplicación o alterarla» aunque sí puede establecer condiciones específicas que legitimen la cesión de datos en casos concretos sin que medie el consentimiento, precisamente por aplicación del artículo 11 LOPD. Para el autor, pese a la afirmación del Consejo de Estado, la LTBG está llevando a cabo una invasión de materia reservada a Ley Orgánica, puesto que una ley ordinaria no es apta para delimitar el ámbito de aplicación de una ley orgánica[15].
Además, debe tenerse en cuenta que la finalidad a la que responde la comunicación de datos de carácter personal por acceso a la información pública que los contiene, es muy distinta de las distintas finalidades que, en su caso, permiten a las Administraciones Públicas obtener y recopilar datos de carácter personal –bien mediando consentimiento o porque una habilitación legal para ello–, por lo cual su divulgación podría afectar al llamado principio de finalidad en el tratamiento de los datos, cuestión de suma importancia cuando se trata de la garantía de la protección de los datos de carácter personal[16].
Y si bien, como veremos, la primera cuestión parece quedar solventada por la redacción del nuevo PLOPD, la segunda no lo queda tanto, sobre todo por las finalidades distintas que persiguen las dos normas en liza, y la perspectiva de análisis que cada una de ellas contempla.
No parece, sin embargo, que la inclusión de las reglas de ponderación entre el acceso a la información y la protección de datos de carácter personal en la LTBG haya provocado mayores problemas en este sentido y, en la práctica, no hay duda de que tanto los sujetos pasivos obligados por la LTBG, como el Consejo de Transparencia y los tribunales de justicia[17] que se han pronunciado en relación con el mismo, acuden directamente a esta Ley sin hacer referencia a la cesión de datos prevista por el articulo 11 LOPD[18].
En todo caso, como ya adelantábamos, el PLOPD, actualmente en tramitación parlamentaria, también parece que va a venir a aportar algo más de seguridad jurídica a la cuestión, pues diferencia los supuestos de cesión de datos entre particulares o entre Administraciones Públicas de los casos en los que dichos datos se comunican en ejercicio de la transparencia activa o del derecho de acceso a la información, a través de la inclusión de su disposición adicional 2.ª que dispone bajo la rúbrica de «Protección de datos y transparencia y acceso a la información pública» lo siguiente:
«La publicidad activa y el acceso a la información pública regulados por el Título I de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información y buen gobierno, así como las obligaciones de publicidad activa establecidas por la legislación autonómica, se someterán, cuando la información contenga datos personales, a lo dispuesto en los artículos 5.3 y 15 de la Ley 19/2013, en el Reglamento (UE) 2016/679 y en la presente ley orgánica.».
Esto es, parece ser voluntad del legislador –orgánico ya en este caso– clarificar que la norma aplicable, en supuestos de transparencia activa y acceso a la información, no es la referente a las reglas de cesión de los datos a terceros, entendidas con carácter general, que puedan encontrarse en la Ley orgánica, si no que la misma sólo se aplicará, de manera supletoria, tras la aplicación directa de lo previsto por el artículo 15 LTBG y, en su caso, del REPD.
Pues bien, en este sentido, y sin perjuicio de que a continuación se analizarán los concretos requisitos de acceso a la información en la que figuran datos de carácter personal recogidos por el artículo 15 LTBG, no debemos olvidar que el REPD ha venido a esclarecer el marco jurídico de la relación entre ambos derechos tanto en el Considerando 154 del mismo[19], como sobre todo al establecer en su artículo 86, que:
«Los datos personales de documentos oficiales en posesión de alguna autoridad pública o u organismo público o una entidad privada para la realización de una misión de interés público podrán ser comunicados por dicha autoridad, organismo o entidad de conformidad con el Derecho de la Unión o de los Estados miembros que se les aplique a fin de conciliar el acceso del público a documentos oficiales con el derecho a la protección de datos personales en virtud del presente Reglamento».
Esto es, ya no resulta relevante que la finalidad que justifica la comunicación de los datos a través del acceso a la información pública sea distinta –y venga justificada por otra norma–, puesto que la propia norma protectora de los datos de carácter personal establece como lícita –y de interés público– su comunicación en aras de la realización de esa finalidad de transparencia, aunque no sea, claro está, la misma que permitió el tratamiento de los datos en primer lugar[20].
Sentado el presupuesto de que la norma aplicable para la protección de datos de carácter personal que se encuentran en información pública solicitada al amparo del ejercicio del derecho de acceso a la información –o publicada conforme a las exigencias de transparencia activa– es la LTBG, veamos los concretos parámetros de conciliación que dicha norma ofrece y su interpretación por el CTBG y la jurisprudencia, a la luz de su aplicación en los últimos años por las entidades obligadas a dar acceso según lo previsto por el artículo 2 LTBG[21].
III. Los criterios de conciliación previstos por el artículo 15 LTBG y las novedades que plantea el PLOPD
El artículo 15 LTBG, que recoge los criterios para la ponderación entre el derecho de acceso a la información y el derecho a la protección de datos de carácter personal, fue uno de los que sufrieron una mayor modificación respecto del anteproyecto de Ley, cuya redacción suscitaba importantes problemas que, señalados tanto por la doctrina, como por el Consejo de Estado en su Dictamen y el Informe de la Agencia Española de Protección de Datos (AEPD)[22], llevaron a un cambio que se tradujo en la actual redacción del artículo[23]. En éste se establecen, a la hora de determinar la accesibilidad de las informaciones y documentos en los que aparecen datos de carácter personal, varios supuestos diferenciados, en función de la cualificación de dichos datos como especialmente sensibles, como meramente identificativos o, entre ambos tipos datos, aquellos que son deben ser objeto de una ponderación individualizada a fin de determinar qué derecho subjetivo debe primar y cuál debe ceder cuando ambos entran en conflicto. Ponderación que resulta en extremo complicada, precisamente por la señalada naturaleza de derecho fundamental de uno frente al otro, que hace harto difícil que los mismos se puedan encontrar en pie de igualdad.
Dichos criterios no sólo son aplicables para las solicitudes de acceso a la información pública, sino que son también de necesaria consideración para cumplir con las obligaciones de transparencia activa impuestas por la propia Ley, cuando existan datos de carácter personal en la información o documentos que debe hacerse pública en los Portales de Transparencia conforme a lo dispuesto en el artículo 5 LTBG y debemos analizarlos de manera separada, puesto que mecanismo de conciliación que se prevé difiere extraordinariamente según el tipo de datos personales de que se trate, como acabamos de señalar, teniendo en cuenta, en todo caso, que no será necesaria esta conciliación cuando la información pueda trasladarse al solicitante de acceso previa anonimización de los datos de carácter personal, según prevé el artículo 15.4 LTBG, en consonancia con lo establecido por el artículo 11.6 LOPD.
1. El acceso a información pública que contienen datos sensibles o especialmente protegidos
El artículo 15 LTBG se ocupa en primer lugar de regular de manera especialmente limitada la accesibilidad a aquellos datos que la LOPD denomina como especialmente protegidos. Esta especial protección se debe a que no se trata aquí de meros datos cuyo potencial tratamiento permitiría forjarse una imagen de la persona que invade su privacidad, sino que la misma queda inmediatamente afectada por el mero hecho de su conocimiento. Estos datos, a los que hace específicamente referencia el artículo 7 LOPD, se recogen en el apartado 1 del artículo 15 LTBG, de manera que sólo excepcionalmente, mediante consentimiento escrito o en casos muy delimitados, como veremos, podrá darse acceso a la información.
Frente a la apreciación de la existencia de datos especialmente protegidos no resulta necesario llevar a cabo ninguna ponderación, sino que el juicio de compatibilidad con el acceso que debe hacer el sujeto pasivo del derecho de acceso se limita a comprobar la existencia de los mismos y, en ese caso, ver si se dan los requisitos que permiten el acceso o, por el contrario, proceder a denegar el mismo. No obstante, los requisitos de accesibilidad –o de denegación– no son iguales para todos los datos especialmente protegidos sino que la LTBG se remite a las distintas categorías que, hasta el momento, recoge el artículo 7 LOPD[24].
De esta manera, en la actualidad, el apartado primero del artículo 15 LTBG no especifica qué datos considera especialmente protegidos, sino que simplemente se remite, en su párrafo primero, a los datos especialmente protegidos a los que se refiere el artículo 7.2 LOPD –esto es, datos que revelen la ideología, afiliación sindical, religión y creencias–, para cuyo tratamiento la LOPD exige consentimiento expreso y por escrito del afectado, y cuyo acceso únicamente se podrá autorizar –según afirma el artículo 15.1 LTBG– «en caso de que se contase con el consentimiento expreso y por escrito del afectado, a menos dicho afectado hubiese hecho manifiestamente públicos los datos con anterioridad a que se solicitase el acceso» [25].
El mismo apartado, en su párrafo segundo, se remite también, directamente y sin especificarlos, a los datos especialmente protegidos regulados en el artículo 7.3 LOPD –origen racial, salud y vida sexual–, para cuyo tratamiento y cesión la norma de protección de datos exige el consentimiento expreso, aunque no escrito, o que una ley prevea esta posibilidad por razones de interés general[26].
El párrafo segundo del artículo 15.1 LTBG también somete a los mismos criterios que acabamos de mencionar a los «datos relativos a la comisión de infracciones penales o administrativas que no conllevasen la amonestación pública al infractor»[27].
La vinculación directa que se establece por el artículo 15.1 LTBG a la normativa actual de regulación del derecho a la protección de datos de carácter personal –por referencia específica a sus artículos y no al contenido– hace necesaria la modificación de este precepto una vez se apruebe la nueva LOPD. Y ello no sólo porque, evidentemente, se debe actualizar la referencia a las categorías de datos personales que deben quedar integradas en cada uno de los supuestos, sino también porque el REPD ha venido a ampliar el ámbito objetivo de estas categorías de bienes, denominadas en la actualidad como «categorías especiales de datos», reguladas por el artículo 9 REPD que se refieren a lo que la misma norma ha venido a considerar como «datos sensibles»[28].
Pues bien, aunque sorprendentemente el inicial proyecto de LOPD no preveía la modificación del artículo 15.1 LOPD para su adaptación a la futura norma, el PLOPD que ha sido aprobado por el pleno del Congreso el 18 de octubre de 2018 y remitido al Senado el 23 de octubre de 2018[29], sí que recoge la modificación de este apartado para hacerlo acorde con la nueva norma y con la incorporación de otros datos especialmente protegidos o sensibles que se reconocen por el artículo 9 REPD tales como los datos biométricos y los datos genéticos, hasta ahora no integrados en la LOPD.
La modificación que se propone[30] ha quedado reflejada en la Disposición final undécima PLOPD, que bajo el título «Modificación de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno», recoge en su apartado Dos que:
«El apartado 1 del artículo 15 queda redactado como sigue:
1. Si la información solicitada contuviera datos personales que revelen la ideología, afiliación sindical, religión o creencias, el acceso únicamente se podrá autorizar en caso de que se contase con el consentimiento expreso y por escrito del afectado, a menos que dicho afectado hubiese hecho manifiestamente públicos los datos con anterioridad a que se solicitase el acceso.
Si la información incluyese datos personales que hagan referencia al origen racial, a la salud o a la vida sexual, incluyese datos genéticos o biométricos o contuviera datos relativos a la comisión de infracciones penales o administrativas que no conllevasen la amonestación pública al infractor, el acceso solo se podrá autorizar en caso de que se cuente con el consentimiento expreso del afectado o si aquél estuviera amparado por una norma con rango de ley.»
Como se percibe a simple vista, el legislador ha optado por no innovar, y simplemente introduce una modificación que se limita a enumerar los supuestos de datos sensibles que se incorporan a cada uno de los casos, con específica referencia, eso sí, a los datos genéticos y biométricos, de conformidad con el REPD, por lo que no se puede decir que estemos ante una modificación del régimen jurídico aplicable a la posible accesibilidad a estos datos, que siguen estando sometidos a los mismos requisitos de consentimiento expreso, salvo que se hayan hecho manifiestamente públicos –en el caso de los datos reflejados en el párrafo primero– o que su comunicación estuviera amparada por una ley –en el caso de los mencionados en el párrafo segundo–.
Si bien la casuística en estos casos está bastante clara, y en general la doctrina no incide mucho en ello porque la técnica para su accesibilidad es exactamente la misma que se prevé para su comunicación en la LOPD, sí que hay cuestiones que han suscitado dudas en la aplicación de este apartado, tales como la concreción de lo que se deba considerar como «manifestación pública» de los datos[31], o la inclusión en estas categorías especialmente protegidas por la LTBG de los datos relativos a infracciones penales o administrativas, que no gozaban de tanta protección en la LOPD[32].
Sin embargo, deben ser objeto de especial análisis los requisitos que debe reunir el consentimiento expreso del titular de los datos para que estos sean accesibles. Mientras que éste viene definido en el artículo 3 h) LOPD como «toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen», la LTBG nada dice al respecto, más allá de señalar que en el caso de los datos contenidos en el párrafo primero debe ser «consentimiento expreso y por escrito del afectado» y en el caso de los datos contenidos en el párrafo segundo «consentimiento expreso del afectado». Se hecha en falta a este respecto la conexión entre este artículo 15.1 LTBG y el artículo 19 de la misma norma, en cuanto a que el afectado, titular de esos datos de carácter personal, es precisamente ese tercero cuyos intereses legítimos pudieran verse en juego que prevé el art. 19.3 LTBG[33], al que se le debe remitir la solicitud para que haga las oportunas alegaciones que estime pertinentes, y cuya negativa al acceso, precisamente en estos casos, pudiera dar lugar a la denegación del derecho de acceso[34], pero al que se debería solicitar en todo caso ese consentimiento para que el solicitante de información acceda a la misma, puesto que, si consultado el titular de los datos especialmente protegidos éste autorizara su comunicación, el acceso podría darse sin problema ninguno.
Por lo anteriormente expuesto, es sorprendente que los sujetos obligados por la LTBG –en particular, los del sector público estatal– parecen «olvidar» preguntar a los titulares de los datos de carácter personal y tienen a denegar el acceso, sin necesidad de suspender el procedimiento para dar traslado del mismo a ese tercero, para que dé su consentimiento o por el contrario se oponga; y lo mismo parece ocurrir cuando se plantea una reclamación ante el Consejo de Transparencia y Buen Gobierno (CTBG), que sí da traslado de la reclamación a los órganos administrativos afectados, pero parece olvidarse en la mayoría de los casos, de los titulares de datos de carácter personal[35].
La Sentencia de la Audiencia Nacional de 5 de febrero de 2018 ha reconocido expresamente la vinculación que existe entre la manifestación de este consentimiento expreso por parte de los afectados con la necesidad establecida por el artículo 19.3 LTBG de dar traslado de la solicitud a los terceros cuyos derechos o intereses legítimos pudieran verse afectados para que puedan realizar las oportunas alegaciones y afirma al respecto que «en el presente caso, y sin entrar a valorar si la información concedida puede afectar de forma directa a datos de especial protección personal en base a lo dispuesto en el artículo 7 de la Ley Orgánica 15/1999, sí debe destacarse que, la información concedida afecta a los derechos e intereses de una serie de personas, funcionarios, que pueden verse afectados y no se les ha concedido la oportunidad de alegar lo que considerasen conveniente, o incluso su consentimiento expreso»[36].
2. El acceso a la información que contiene datos meramente identificativos
Correspondiendo a la naturaleza menos «sensible» o, mejor dicho, menos susceptible de provocar invasiones en la privacidad de las personas, el artículo 15.2 LTBG ha previsto un régimen de accesibilidad mucho más favorable al solicitante cuando existiendo datos de carácter personal en la información solicitada, estos son «meramente identificativos» y «relacionados con la organización, funcionamiento o actividad pública del órgano».
La documentación pública está plagada de datos personales referentes a las autoridades y empleados públicos, por lo que una negativa genérica de acceso a estos datos, que llevaría a la exclusión de acceso de la práctica totalidad de la información en manos de las Administraciones públicas, abocaría a una opacidad que se compadece mal con el principio de transparencia[37].
Como recuerda Rodríguez Álvarez, esta alusión a datos meramente identificativos «ha de ser entendida en sentido estricto, referida sólo a los datos básicos de identificación (tales como el nombre y los apellidos, el puesto desempeñado, el teléfono y la dirección de correo profesionales) y siempre que su presencia se dé aislada, nunca en concurrencia con informaciones personales de otra naturaleza. Sin perjuicio de ello, hay que indicar que el ámbito de aplicación del apartado segundo del artículo 15 que comentamos no coincide con el del articulo 5.1 de la propia Ley de transparencia, por lo que puede permitir la publicación o el conocimiento de más informaciones de las que deben ser objeto de publicidad activa»[38].
Esta interpretación del artículo 15.2 LTBG es sin duda la que ha venido sosteniendo la AEPD –de quien procede, no olvidemos, la redacción el precepto–, y que sostiene por lo general la doctrina, remitiéndose al Reglamento de la LOPD, aprobado por Real Decreto 1720/2007, de 21 de diciembre, que en su artículo 2.2, determina el ámbito de aplicación del mismo afirmando que:
«Este reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales»[39].
Aun así, y debido a la naturaleza fundamental del derecho a la protección de datos, el acceso no es directo en estos casos, sino que también es necesario llevar a cabo un juicio de ponderación para determinar la accesibilidad a la información, en el cuál, si bien en principio –y «con carácter general», dice la norma– se concederá el acceso cuando estemos ante este tipo de datos, puede que no acabe siendo así puesto que la LTBG determina la posible denegación cuando «en el caso concreto prevalezca la protección de datos personales u otros derechos constitucionalmente protegidos sobre el interés público en la divulgación que lo impida».
Hay que hacer por tanto una serie de consideraciones al respecto. En primer lugar, que no se trata de todos los datos meramente identificativos, sino que el artículo 15.2 LTBG se refiere específicamente a los referentes a «la organización, funcionamiento o actividad pública del órgano» [40].
En segundo lugar, que incluso en el supuesto de que se trate de datos de carácter meramente identificativo –en cuyo caso el acceso en principio debe ser la regla general– se prevé la posibilidad de que la protección de los mismos prevalezca sobre el interés público en el acceso a la información, si bien se entiende que, como en el resto de los supuestos, el órgano encargado de llevar a cabo dicha ponderación deberá justificar la posible lesión de este derecho –más allá, habrá que entender, de lo meramente identificativo, pues en otro caso no tendría sentido– o de otro derecho constitucional para poder denegar el acceso.
La doctrina no ha visto reparos en esta previsión de posible ponderación, por cuanto parece pensada para aquellos casos en los que los titulares de los datos meramente identificativos se encuentren protegidos –por razones de seguridad pública, por protección a las víctimas de violencia de género, de terrorismo, etc–. Quizá hubiera tenido más lógica para estos casos limitar la referencia a la protección de datos de carácter personal a la información que contiene datos meramente identificativos, y no ampliarla a otros derechos constitucionalmente protegidos que debieran ser protegidos, pero no por tratarse de datos meramente identificativos, sino porque su revelación pudiera afectar a otros bienes jurídicos –públicos o privados– también protegidos por el artículo 14.1 LTBG, por lo que deberían someterse al juicio de ponderación establecido por el artículo 14.2 LTBG[41].
3. La protección de los datos de carácter personal no reflejados en las categorías anteriores
El tercer apartado del artículo 15 LTBG determina la necesidad de llevar a cabo una ponderación entre los intereses en juego, cuando la información solicitada contiene datos de carácter personal, pero no son ni especialmente protegidos ni meramente identificativos[42].
Pues bien, este artículo 15.3 LTBG dispone la obligación del órgano con competencia para tramitar la solicitud de acceso de llevar a cabo una ponderación «suficientemente razonada» en la que se valore, de un lado, el interés público en la divulgación de la información y, de otro, «los derechos de los afectados cuyos datos aparezcan en la información solicitada, en particular su derecho fundamental a la protección de datos de carácter personal». Para ello, establece una serie de criterios que, si bien no son obligatorios en todos los casos, el órgano competente los «tomará particularmente en consideración».
Antes de entrar en el particular análisis de dichos criterios para la ponderación, es necesario detenerse, aunque someramente, en los elementos que deben tenerse en cuenta a la hora de realizar la ponderación, puesto que los mismos difieren de los dispuestos para los límites definidos por el artículo 14.1 LTBG.
En primer lugar, debe tenerse en cuenta que el legislador no ha previsto aquí específicamente la aplicación del llamado «doble test» –del que se deja constancia expresa en el Preámbulo de la LTBG para los límites del artículo 14 LTBG[43]– que, proveniente del Derecho Comunitario, exige además de este doble juicio de ponderación, su aplicación de manera proporcionada y restringida por su objeto y finalidad. Pero en todo caso, aunque cuando en presencia de datos de carácter personal su ponderación no requiera la realización de este «doble test», sin duda sí exige que se tenga en cuenta todos los elementos tanto fácticos como jurídicos, para aplicar un juicio de valoración equilibrado, limitado y sobre todo «proporcionado».
La determinación de la necesaria proporcionalidad para permitir el acceso se infiere claramente del primero de los Criterios Interpretativos que emitieron de manera conjunta la AEPD y el CTBG. Efectivamente, el CI 001/2015, de 24 de junio, relativo a la información referida a las retribuciones asignadas a uno o varios puestos de trabajo determinados y a su incidencia o no en la protección de datos personales, establece que se lleve a cabo la ponderación de intereses y derechos prevista en el artículo 15.3 LTBG, y lo hace justamente en términos de proporcionalidad, afirmando que la conciliación de intereses que hay que llevar a cabo:
«[E]xige valorar el alcance del interés público en la divulgación de la información al que se refiere el precepto como favorecedor del acceso a la información pública. De este modo, con carácter general, habrá que entender que, en cuanto el acceso a la información contribuya a un mejor conocimiento de los criterios de organización y funcionamiento de las instituciones o a la asignación de recurso, cabrá considerar la existencia de un interés público prevalente sobre los derechos a la protección de datos y a la intimidad en los términos y con las excepciones establecidas por la LTBG. Por el contrario, cuando la información no contribuya a un mayor conocimiento de la organización y funcionamiento de las instituciones o de la asignación de recursos públicos, prevalecerá el respecto a los derechos a la protección de datos o la intimidad».
El CI 001/2015 analiza después en qué casos se cumple con lo aquí descrito para determinar un criterio de acceso a la información sobre retribuciones de personal de alto nivel de responsabilidad frente a aquellos funcionarios que no gozan de una especial responsabilidad o autonomía, determinando la accesibilidad a las retribuciones de los primeros pero no de estos últimos, esto es, el acceso no lo determina la naturaleza de los datos, sino que se permite de manera proporcionada en función de la relevancia de la información, en el sentido de que la misma sería «decreciente en función del nivel jerárquico del empleado o funcionario público»[44] criterio que ha sido aplicado, además, por la jurisprudencia[45].
En segundo lugar, en relación con los elementos de la ponderación –interés público, de una parte, y protección de datos de carácter personal, de otra–, los términos literales en los que está formulado el artículo 15.3 LTBG parecerían llevar a una aplicación de la ponderación que sólo llama a tener en cuenta los intereses públicos que justifican el acceso y no lo privados que pueda esgrimir el solicitante. Sin embargo, como veremos, los criterios particulares que «pueden» aplicarse en la ponderación parecen desmentir esto.
Y ello porque, de un lado, debe tenerse en cuenta, como acabamos de ver, «el interés público en la divulgación de la información», esto es, no parece que debiera tenerse en cuenta –si bien, como veremos a continuación, no es así en casi ninguno de los casos– otro criterio que el que justifica el propio principio de transparencia y legitima el derecho subjetivo de acceso a la información pública, esto es, el principio democrático cuya realización exige que se pueda conocer la información que obra en manos de las instituciones públicas. El texto de la LTBG no define este interés en su configuración de la transparencia, más allá de afirmar, en su artículo 1 que «esta Ley tiene por objeto ampliar y reforzar la transparencia de la actividad pública, regular y garantizar el derecho de acceso a la información relativa a aquella actividad y establecer las obligaciones de buen gobierno que deben cumplir los responsables públicos así como las consecuencias derivadas de su incumplimiento», y de reconocer en su artículo 12 que «todas las personas tienen derecho a acceder a la información pública, en los términos previstos en el artículo 105 b) de la Constitución Españolar, desarrollados por esta Ley».
Esto es, no se define cuál sea ese interés público que justifica las obligaciones de transparencia o publicidad activa de los sujetos obligados por la Ley y el derecho subjetivo de acceso a la información, del que únicamente establece que trae causa del artículo 105 b) CE. El Preámbulo, sin embargo, sí resulta más definitorio de este interés público al que podríamos entender se refiere en su primer párrafo cuando afirma lo siguiente:
«La transparencia, el acceso a la información pública y las normas de buen gobierno deben ser los ejes fundamentales de toda acción política. Sólo cuando la acción de los responsables públicos se somete a escrutinio, cuando los ciudadanos pueden conocer cómo se toman las decisiones que les afectan, cómo se manejan los fondos públicos o bajo qué criterios actúan nuestras instituciones podremos hablar del inicio de un proceso en el que los poderes públicos comienzan a responder a una sociedad que es crítica, exigente y que demanda la participación de los poderes públicos.
[…] Permitiendo una mayor fiscalización de la actividad pública se contribuye a la necesaria regeneración democrática, se promueve la eficiencia y eficacia del Estado y se favorece el crecimiento económico».
Esto es, parece que el criterio que tendría que tenerse en cuenta en la ponderación cuando haya datos de carácter personal debiera ser ese interés público en conocer la actuación administrativa para permitir el general escrutinio de la misma por parte de los ciudadanos, y así parece reforzarse por el artículo 17 LTBG, cuando tras regular los requisitos que deben figurar en las solicitudes de acceso, establece específicamente en su apartado 3 que el solicitante no está obligado a motivar su solicitud de acceso a la información y que la ausencia de motivación no puede ser por sí sola causa de rechazo de la solicitud.
Sin embargo, esta configuración del derecho de acceso pierde rápidamente su fuerza por la posible inclusión que ha hecho el legislador de la ponderación inclusiva de los intereses de carácter particular que pueden esgrimir los solicitantes[46].
Ello se deriva, en primer lugar, del propio artículo 17.3 LTBG en el que se añade, recordemos, que el solicitante «podrá exponer los motivos por los que solicita la información y que podrán ser tenidos en cuenta cuando se dicte la resolución» y aunque nada dice sobre el carácter de dicha argumentación jurídica –que se podría entender es la justificación del interés público en conocer la información–, ésta puede referirse no sólo a esos argumentos en la base de la configuración del principio de transparencia, sino que también puede tratarse de interés de carácter jurídico privado que puede esgrimir el solicitante y que el órgano competente para llevar a cabo la ponderación debe tener en todo caso en cuenta.
Este argumento se refuerza, en segundo lugar, porque aunque el inciso primero de artículo 15.3 LTGB no parece tener en cuenta los intereses particulares para esta concreta ponderación, inmediatamente se contradice en sus términos, cuando establece como veremos, entre los criterios para la realización de la citada ponderación, que «dicho órgano tomará particularmente en consideración» el siguiente: «b) La justificación por los solicitantes de su petición en el ejercicio de un derecho o el hecho de que tengan la condición de investigadores y motiven el acceso en fines históricos, científicos o estadísticos». Esto es, en definitiva, el mandato del legislador es que se valoren los derechos que puedan aducir los solicitantes en su motivación[47], convirtiéndose de esta manera, como señala Fernández Salmerón, en una carga para el solicitante[48].
En consecuencia, esto significa que la ponderación que debe llevarse a cabo para decidir sobre la accesibilidad de la información o la protección de los datos de carácter personal no se hace sólo desde la perspectiva jurídica del interés público que justifica el acceso, sino que tiene en cuenta posibles derechos subjetivos de los solicitantes, sobre los que pesa la carga de motivar su solicitud –pese a que la misma no es obligatoria–[49]. Y ello a pesar de que, como ya hemos tendido ocasión de señalar, el Criterio Interpretativo 002/2015, publicado por la AEPD y el CTBG, referido precisamente a la «aplicación de los límites al derecho de acceso a la información», tras recordar que la aplicación de los mismos no opera «ni automáticamente a favor de la denegación ni absolutamente en relación a los contenidos» se olvida, sin embargo, de hacer referencia a la posible valoración de los motivos de interés privado centrándose simplemente en la necesidad analizar –referido, no olvidemos, a los límites establecidos por el artículo 14.1 LTBG– si la estimación de la petición de información supone un perjuicio concreto, definido y evaluable (test del daño) y de ponderar los intereses en juego «atendiendo a la circunstancia del caso concreto y siempre que no exista un interés que justifique la publicidad o el acceso» (test del interés público)[50].
Esta carga es además especialmente gravosa si tenemos en cuenta una circunstancia adicional del procedimiento de ejercicio del derecho de acceso a la información y es que el artículo 19.3 LTBG ha previsto la posible suspensión del procedimiento para que los terceros afectados –y los titulares de los datos personales, como aquí se ha justificado, sin duda lo son– puedan hacer las alegaciones que estimen oportunas[51] e, incluso, indicar su oposición al acceso[52], sin que por el contrario se reconozca al solicitante la posibilidad de hacer valer sus legítimos derechos o su motivación frente a la existencia de datos personales en la información que pretende acceder a través de un trámite de audiencia, por lo que, como hemos señalado, pesa sobre el solicitante la carga de motivar su solicitud –tanto en razones de interés público como privado–, puesto que de no hacerlo, el derecho de acceso le podrá ser denegado y sólo podrá esgrimir los particulares intereses legítimos que sostenga en vía de recurso[53].
Resulta, por tanto, imprescindible, analizar aunque sea de manera somera, la ponderación que se determina en el artículo 15.3 LTBG teniendo especialmente en cuenta los particulares criterios que el legislador ha establecido que deben valorarse puesto que, aunque no resulten los únicos que puedan tenerse en cuenta –dado que el órgano encargado de decidir sobre el acceso podrá valorar otros factores– la LTBG establece, en todo caso, que deben ser «tomados particularmente en consideración»[54] y que, en general, han sido objeto de numerosas críticas por parte de la doctrina[55], son especialmente relevantes para entender la configuración que la LTBG hace del mecanismo de conciliación entre los distintos derechos en juego.
a) El transcurso de los plazos establecidos por el artículo 57 de la Ley del Patrimonio Histórico Español.
El primero de los criterios enunciados por la Ley en su artículo 15.3.a) es «el menor perjuicio a los afectados derivado del transcurso de los plazos establecidos en el artículo 57 de la Ley 16/1985, de 25 de junio, del Patrimonio Histórico Español»[56].
La expresa acogida de los criterios del artículo 57 LPHE plantea muchos problemas interpretativos, en los que por la extensión de este artículo no es posible entrar en profundidad, tales como que el ámbito de aplicación del artículo es más bien el de los datos especialmente protegidos –y no los que tienen que valorarse en esta ponderación– y que además se trata de elementos de juicio especialmente ambiguos, como reiteradamente ha hecho ver la doctrina[57].
Para solventar estos problemas debe interpretarse sin lugar de dudas que el ámbito de aplicación de este artículo no debe ser el de la LPHE, sino que meramente hay que atender a los plazos que en dicho artículo se recogen[58] y, en todo caso, como criterio favorable al acceso: esto es, no se trata de que los documentos no puedan ser accesibles hasta que hayan transcurrido los señalados 25 o 50 años, sino que, si los mismos han transcurrido, ello es indicativo de que debe fallarse a favor de dar acceso a la solicitud pese a que en la información figuren datos de carácter personal, pues de otra manera, se produciría un efecto de opacidad extraordinario, limitando excesivamente y de manera casi automática el acceso a la información, cuando el interés público más trascendente a la hora de conceder el acceso es precisamente la posibilidad de fiscalización de la acción pública. Por tanto, si la información se viera limitada por no haber fallecido los afectados por la misma hasta 50 años desde la producción del documento, o hasta de transcurran 25 desde el fallecimiento, esta principal finalidad del principio de transparencia quedaría desactivada en la práctica totalidad de las solicitudes de acceso a la información.
Ahora bien, si está claro que el criterio temporal es siempre un elemento a tener en cuenta –y que, sin embargo, el legislador no ha regulado específicamente[59]–, los plazos «orientativos» a los que se aluden siguen provocando distorsiones[60] que, a mi juicio, se podrían haber podido evitar introduciendo un criterio ponderativo que no se remitiera directamente a la LPHE sino que se refiriera de manera genérica al transcurso del tiempo.
El criterio aplicable para la ponderación, entonces, debería ser el de confrontar los derechos de los afectados –como elemento para denegar el acceso– con el transcurso del plazo de 25 desde su fallecimiento o 50 años desde la producción del documento si se desconoce la fecha del deceso, en el sentido de que este mayor transcurso de los plazos es un elemento «a favor» del acceso. En cualquier caso, no parece el criterio más acorde a la LTBG y a la ponderación del derecho de acceso con el derecho a la protección de datos, tanto por la naturaleza jurídica de este derecho fundamental, como por el fundamento en el principio democrático de aquel.
b) La justificación por los solicitantes de su petición en el ejercicio de un derecho o el hecho de que tengan la condición de investigadores y motiven el acceso en fines históricos, científicos o estadísticos.
Respecto del segundo de los criterios que el órgano competente puede tener en cuenta para la ponderación –favorable al acceso– relativo a «la justificación por los solicitantes de su petición en el ejercicio de un derecho o el hecho de que tengan la condición de investigadores y motiven el acceso en fines históricos, científicos o estadísticos», como ya hemos aclarado anteriormente, supone la entrada en la ponderación de elementos de carácter subjetivo que, si bien pueden estar justificados, implican una carga adicional del solicitante que, no teniendo otro momento para hacerlos valer, tendrá que alegarlos en su solicitud original o, en el caso de que el acceso le haya sido denegado por no hacerlos valer, no tendrá más remedio que plantearlos en la reclamación potestativa que puede plantear ante el CTBG o en la demanda contencioso-administrativa que puede plantear, según disponen los artículos 23 y 20.5 LTBG, respectivamente.
Como este tema ya se ha tratado en el apartado anterior, solo se va a hacer una pequeña reflexión al respecto, en el sentido de que la justificación de la introducción de estos elementos valorativos trae causa directamente de la configuración legal del derecho a la protección de datos de carácter personal y la necesaria flexibilización de los criterios de comunicación que se establecieron en el artículo 11 LOPD por efecto directo del ya derogado artículo 7.f) de la Directiva 95/46/CE –declarado por Sentencia de 25 de octubre de 2011 del Tribunal de Justicia de la Unión Europea–, que permitía la comunicación de datos de carácter personal, pese a no mediar consentimiento, cuando el tratamiento de los datos personales fuera necesario para el ejercicio o la defensa de derechos[61].
c) El menor perjuicio de los derechos de los afectados en el caso de que los documentos únicamente contuvieses datos de carácter meramente identificativo de aquéllos.
El tercero de los criterios de ponderación establecidos por el artículo 15.3.c) se refiere al «menor perjuicio de los derechos de los afectados en caso de que los documentos únicamente contuviesen datos de carácter meramente identificativos de aquellos» y aunque parece una reiteración de lo ya dispuesto por el artículo 15.2 LTBG en realidad viene a complementarlo, pues recordemos que el criterio de accesibilidad que recoge este apartado se refiere solo a estos datos cuanto estuvieran «relacionados con la organización, funcionamiento o actividad pública del órgano».
Esto es, este criterio de ponderación se refiere a la prevalencia del acceso cuando aparecen otros datos de carácter meramente identificativo que no se recogen en el artículo 15.2 LTBG y que por tanto tienen que ser objeto de ponderación. Por lo general se tratará de datos referentes a terceras personas ajenas a la organización administrativa, pero que aparecen en la información solicitada, y cuya ponderación, si bien no siempre tiene que ser favorable al solicitante, se deberá hacer, en virtud del principio de proporcionalidad, con orientación hacia la estimación de la solicitud de acceso.
d) La mayor garantía de los derechos de los afectados en caso de que los datos contenidos en el documento puedan afectar a su intimidad o a su seguridad, o se refieran a menores.
Por último, el artículo 15.3.d) LTBG recoge un criterio de ponderación en sentido contrario, esto es, de prevalencia de la protección de datos –siempre relativa, claro está– por «la mayor garantía de los derechos de los afectados en caso de que los datos contenidos en el documento puedan afectar a su intimidad o a su seguridad, o se refieran a menores».
En este caso, tampoco la negativa al acceso opera automáticamente, pero se le da una adicional protección a los datos de menores, o a los que reflejen la intimidad o seguridad de las personas –de conformidad, por otro lado, con lo establecido por el artículo 105 b) CE–. Hay que recordar a este respecto que el artículo 14.1 LTBG no recoge entre sus límites la protección de la intimidad de las personas, ni de los menores, por lo que toma su pleno sentido respecto de la protección de la privacidad de la que trae causa el derecho fundamental a la protección de los datos de carácter personal y es, probablemente, uno de los criterios más lógicos de ponderación, y que mejor refleja el diverso peso que en definitiva encontramos en una ponderación en la que deben valorarse, de un lado, un derecho fundamental y, de otro, un derecho categorizado por la ley como derecho subjetivo.
IV. Breve conclusión: el necesario cambio en los criterios de ponderación entre el derecho de acceso a la información y la protección de datos de carácter personal tras la aprobación del RGPD
Los criterios anteriormente comentados no pueden ser aplicados, como ya hemos señalado, de manera aislada, sino que deben ser orientativos para que los órganos competentes puedan conciliar los distintos derechos afectados a fin de determinar el acceso a la información o la denegación del mismo. La ponderación además, no puede ser automática, pues en muchos casos pueden aparecer elementos combinados de los distintos criterios –piénsese, por ejemplo, que la información solicitada puede contener datos que afecten a la intimidad de las personas o a menores, pero que se justifiquen en una investigación con fines científicos o estadísticos, o en el ejercicio de un derecho o que, afectando a la intimidad, hayan transcurrido 25 años desde el fallecimiento del afectado–.
En todo caso, bien se opte por la estimación de la información y la comunicación de la misma, bien por su denegación, el órgano encargado de la misma debe motivar las razones que justifican su decisión, a efectos de su posible impugnación bien por los terceros afectados –cuando se haya otorgado el acceso– bien por los solicitantes, cuando el mismo se haya denegado, conforme establece el artículo 20.2 LTBG.
Pues bien, el análisis de los criterios de ponderación que la normativa vigente establece a la hora de conciliar el derecho de acceso a la información y el derecho a la protección de los datos de carácter personal demuestra que la indudable dificultad jurídica que plantea necesidad de conciliar dos derechos que por su ámbito de protección están llamados a entrar en conflicto, se torna si cabe más compleja cuando el reconocimiento que hace el ordenamiento jurídico de su protección no es la misma, esto es, cuando, como ocurre en nuestro sistema normativo, uno tiene la categoría de derecho fundamental y el otro no.
Ello lleva no sólo a la necesidad de articular un complicado sistema de equilibrio regulatorio –en el que no se invada la reserva de ley orgánica que la Constitución Española establece– sino también a establecer reglas jurídicas por las que la protección del derecho fundamental no lleve a la necesaria denegación sistemática del derecho de acceso a la información que, aunque no goce de dicha especial protección del ordenamiento jurídico, se ha convertido en un elemento esencial de realización del principio democrático y que, como tal, trasciende la mera satisfacción del derecho subjetivo, para convertirse en piedra angular de un sistema que exige la realización del principio de transparencia como garantía de su funcionamiento democrático[62].
El artículo 15 LTBG intentó ser una respuesta a este problema que, si bien no es desdeñable y debe alabarse –por ser la primera respuesta normativa de carácter general que se planteaba ante un problema que venía dándose desde varias décadas, sin encontrar la debida respuesta–, adolece de graves defectos que, tras la aprobación y entrada en vigor del REPD se han venido a acentuar.
La aprobación de una nueva LOPD, obligada por la necesidad de acomodar nuestra normativa de protección de datos de carácter personal al REPD parecía la oportunidad perfecta para una mejor regulación de la conciliación entre ambos derechos que, por otro lado, es obligada porque así lo impone directamente, como hemos visto, el artículo 86 REPD, y si bien es cierto que el PLOPD, en la redacción aprobada por el Congreso y remitida al Senado para su aprobación definitiva, acomete la tarea de establecer el marco de aplicación jurídica de esta ponderación –que se remite, como también hemos tenido oportunidad de ver, en virtud de su Disposición Adicional 2.ª a la regulación del artículo 15 LTBG y, en su defecto, a lo establecido por el REPD y por la propia LOPD–, y prevé la modificación de este artículo 15 LTBG para su adecuación a la nueva normativa de protección de datos, ha dado una respuesta normativa que desafortunadamente se ha limitado a una mera «acomodación» del artículo 15.1 LTBG a la nueva categoría de datos sensibles que recoge el REPD y a la eliminación de las referencias directas que este artículo hacía a la LOPD.
Parece por lo tanto que de nuevo el legislador pierde una fantástica oportunidad para adecuar los criterios de conciliación a las realidades jurídicas que se plantean, solventando además los problemas interpretativos que en los cuatro años que lleva en vigor la norma ya se han planteado. Y es que, además, debería haber tenido en cuenta que desde la perspectiva de la protección de datos, el REPD también ha cambiado las condiciones para el tratamiento de determinados datos, pues si bien su artículo 86 establece la capacidad del derecho nacional de los Estados miembros para determinar la normativa de acceso cuando se trate de comunicar datos personales presentes en documentación pública, la construcción dogmática de este apartado del artículo 15 LTBG sigue siendo tributaria de una visión muy expansiva de las normas de protección de datos de carácter personal, olvidando que el REPD, si bien ha reforzado los posibles controles de los afectados sobre sus propios datos, también reconoce específicamente el interés público que legitima el derecho de acceso a la información, y ello debería conducir a un mayor equilibrio en la conciliación de ambos derechos, que nos permita situarnos en un escenario de mayor transparencia[63].
Bibliografía.
Canals Ametller, «El acceso público a datos en un contexto de transparencia y buena regulación», en Canals Ametller (ed.), Datos. Protección, Transparencia y Buena Regulación, Ed. Documenta, 2016.
Fernández Ramos, «Acceso a la información pública versus protección de datos personales, Revista Española de Derecho Administrativo, núm. 184, 2017.
y Pérez Monguió, El Derecho al Acceso a la Información Pública en España, Thomson-Reuters Aranzadi, 2017.
Fernández Salmerón, «Procedimiento administrativo e información del sector público» en Valero Torrijos y Fernández Salmerón (Dirs.), Régimen jurídico de la transparencia del sector público, Aranzadi, 2014.
Guichot, «Acceso a la información en poder de la Administración y protección de datos personales», Revista de Administración Pública, núm. 173, 2007.
, Datos personales y Administración Pública, Thomson Cívitas, 2005.
, «Límites a la transparencia y el acceso a la información» en E. Guichot (coord..), Transparencia, Acceso a la Información Pública y Buen Gobierno, Tecnos, 2014.
Martínez, R., «De la opacidad a la casa de cristal. El conflicto entre privacidad y transparencia» en Valero Torrijos y Fernández Salmerón (Dirs.), Régimen jurídico de la transparencia del sector público, Aranzadi, 2014.
Piñar Mañas (dir.) Transparencia, acceso a la información y protección de datos, Reus, 2014.
, «Transparencia y protección de datos. Una referencia a la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información y buen gobierno», en Piñar Mañas (Dir.), Transparencia, acceso a la información y protección de datos, Reus, 2014.
Rams Ramos, «La transformación del derecho de acceso en España: de derecho de configuración legal a derecho fundamental», Revista Española de Derecho Administrativo, núm. 160, 2013.
, «El procedimiento de ejercicio del derecho de acceso a la información pública», Revista General de Derecho Administrativo, núm. 41, 2016.
, «Los derechos e intereses de terceros en las reclamaciones ante el Consejo de Transparencia y Buen Gobierno», en Las vías administrativas de recurso a debate, INAP, 2016.
Rodríguez Álvarez, «Transparencia y protección de datos personales: criterios legales de conciliación», en Canals Ametller (ed.), Datos. Protección, Transparencia y Buena Regulación, Ed. Documenta, 2016.
Troncoso Reigada (dir.), Transparencia Administrativa y Protección de Datos Personales, Thomson-Cívitas, 2008.
Valero Torrijos, La protección de datos personales en internet ante la innovación tecnológica: riesgos, amenazas y respuestas desde la perspectiva jurídica, Thomson-Reuters Aranzadi, 2013.
[*] Cómo citar / Citation ‘Chicago-Deusto’ (Autor-fecha / Author-date / Lista de referencias / Reference list entries): Rams Ramos, Leonor. 2018. «El derecho fundamental a la protección de datos de carácter personal como límite ¿(in)franqueable? para la transparencia administrativa». Estudios de Deusto 66, n.º 2: 119-152. http://dx.doi.org/10.18543/ed-66(2)-2018pp119-152.
[1] Como sostiene Canals Ametller «en este ámbito, la técnica de la ponderación es de utilización preceptiva no solo porque el legislador remita a ella de manera expresa, sino porque parece no existir otro método jurídico más adecuado para conseguir que los distintos actores implicados logren la difícil tarea de equilibrar ambos derechos». Dolors Canals Ametller, «El acceso público a datos en un contexto de transparencia y buena regulación», en Canals Ametller (ed.), Datos. Protección, Transparencia y Buena Regulación, Ed. Documenta, 2016, pág. 13.
[2] Recordemos que la Ley 19/2013, de Transparencia, Acceso a la Información y Buen Gobierno (en adelante, LTBG) define en su artículo 13 la información pública como:
«los contenidos o documentos, cualquiera que sea su formato o soporte, que obren en poder de alguno de los sujetos incluidos en el ámbito de aplicación de este titulo y que hayan sido elaborados o adquiridos en el ejercicio de sus funciones» (la cursiva es propia).
[3] A la entrega de este artículo el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal ha sido ya aprobado por el Pleno del Congreso de los Diputados y remitido al Senado con fecha de 23 de octubre de 2018 para su tramitación (BO de las Cortes Generales. Senado. Núm. 289, págs.. 5 y ss.)
[4] En este sentido, como afirma R. Martínez, una aproximación literal al derecho fundamental a la protección de datos personales «no puede erigirse en condición de prevalencia del derecho si no se quiere vaciar por completo de contenido el deber de transparencia. Si en caso de conflicto no se produce una interpretación de naturaleza cualitativa, el uso instrumental de la privacidad al servicio de la opacidad estará garantizado. […] si se apuesta por una consideración del derecho fundamental a la protección de datos personales como barrera insalvable, la garantía de este derecho fundamental constituirá sin duda la excusa perfecta para la denegación sistemática de acceso a la información». Ricard Martinez, «De la opacidad a la casa de cristal. El conflicto entre privacidad y transparencia» en Valero Torrijos y Fernández Salmerón (Dirs.), Régimen jurídico de la transparencia del sector público, Aranzadi (2014), págs. 244 y 245.
[5] Así se afirma, aunque con otras palabras, por el preámbulo de la LTBG.
[6] Baste recordar aquí el hecho de que el derecho de acceso a la información –calificado muy tempranamente como derecho de configuración legal–, no fue regulado con carácter general hasta el año 1992, cuando se reconoce su ejercicio –limitadísimo por cierto– por la Ley 30/1992, de Régimen Jurídico de las Administraciones Públicas y Procedimiento Administrativo Común (en adelante, LRJAP), y en el que se recogía una referencia a los «datos nominativos» que exigían para su acceso de acreditación por el solicitante de «interés legítimo y directo» (artículo 37 LRJAP), pero no a los datos de carácter personal, que ese mismo año habían sido objeto de regulación por la LORTAD. Y que en el año 1999, cuando se aprueba la LOPD, se lleva a cabo una modificación en profundidad de la LRJAP, por la Ley 4/1999, sin que se hiciera tampoco conexión alguna entre ambas normas. Aunque se incorpora por primera vez en este año al artículo 3 LRJAP el reconocimiento del principio de transparencia como principio de actuación de las Administraciones Públicas, el artículo 37 no se modifica, generando un importante problema de interpretación conjunta de ambas normas que perduró en nuestro ordenamiento jurídico hasta la aprobación en 2013 de la LTBG.
Sobre la evolución del derecho de acceso, que excede con mucho el objeto de este trabajo, me permito remitir al lector a mi trabajo Leonor Rams Ramos, «La transformación del derecho de acceso en España: de derecho de configuración legal a derecho fundamental», Revista Española de Derecho Administrativo, núm. 160 (2013).
[7] Y que en la actualidad se recogen en el artículo 14 LTBG con carácter general y en otras normas sectoriales, con carácter particular, que siguen siendo de aplicación en virtud de lo dispuesto en la Disposición Adicional Primera, apartado segundo LTBG.
[8] Así lo exige el artículo 105 b) CE.
[9] La naturaleza jurídica de derecho fundamental del derecho a la protección de los datos de carácter personal no sólo es una realidad incontrovertible en nuestro ordenamiento jurídico sino que además ha sido objeto de afirmación jurisprudencial. Resulta a tal efecto imprescindible la referencia a las importantes y muy conocidas Sentencias del Tribunal Constitucional 290/2000 y 292/2000, que propiciaron la elaboración dogmática de este derecho como autónomo, a la vez que instrumental para la protección del derecho a la intimidad, en referencia al artículo 18.4 CE. Sobre esta cuestión existe una extensísima bibliografía jurídica, entre la que cabe destacar, especialmente, la monografía de Emilio Guichot, Datos personales y Administración Pública, Thomson Cívitas (2005) o, desde una perspectiva más actual, Julián Valero Torrijos, La protección de datos personales en internet ante la innovación tecnológica: riesgos, amenazas y respuestas desde la perspectiva jurídica, Thomson-Reuters Aranzadi (2013).
[10] Sobre la naturaleza jurídica de derecho fundamental del derecho de acceso, que gran parte de la doctrina administrativista y constitucional española sostiene –y que yo también suscribo–, vid. de nuevo Rams Ramos, L. «La transformación …».
[11] Son muchos los trabajos jurídicos que han abordado esta tensión. Resultan de especial interés a este respecto, entre otros muchos, José Luis Piñar Mañas (dir.) Transparencia, acceso a la información y protección de datos, Reus (2014), Emilio Guichot, «Acceso a la información en poder de la Administración y protección de datos personales», Revista de Administración Pública, núm. 173 (2007), o Antonio Troncoso Reigada (dir.), Transparencia Administrativa y Protección de Datos Personales, Thomson-Cívitas (2008) . Y, en particular, sobre los mecanismos jurídicos previstos por el artículo 15 LTBG, deben ser de especial mención, Severiano Fernández Ramos, «Acceso a la información pública versus protección de datos personales, Revista Española de Derecho Administrativo, núm. 184 (2017) o José Luis Rodríguez Álvarez, «Transparencia y protección de datos personales: criterios legales de conciliación», en Canals Ametller (ed.), Datos. Protección, Transparencia y Buena Regulación, Ed. Documenta (2016).
[12] Recordemos que este artículo 11 LOPD –todavía vigente– establece, en relación con la cesión o comunicación de datos que:
«1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
2. El consentimiento exigido en el apartado anterior no será preciso:
a) Cuando la cesión está autorizada en una ley.[…]»
[13] Así lo ha interpretado en general la doctrina. Afirma Piñar Mañas al respecto que «la Ley 19/2013 supone, ante todo y en principio, un título habilitante para poder llevar a cabo, sin consentimiento de los afectados, la cesión de sus datos personales a terceros (los solicitantes del acceso), lo que nos pone en la pista del artículo 11 de la LOPD, que regula la cesión de datos y dispone que ésta no será posible sin consentimiento de los afectados salvo que una ley lo autorice, y esta es precisamente, en nuestro caso, la Ley de Transparencia.». José Luis Piñar Mañas, «Transparencia y protección de datos. Una referencia a la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información y buen gobierno», en Piñar Mañas (Dir.), Transparencia, acceso a la información y protección de datos, Reus (2014), pág. 59.
[14] Pese a que sobre esta cuestión, a la que ya se ha hecho referencia, se sostiene la naturaleza jurídica de derecho fundamental del derecho de acceso a la información, la realidad jurídica con la que nos encontramos es que dicho reconocimiento no se ha producido jurídicamente, por lo que sólo se puede tratar, a efectos de la ponderación entre los derechos, como un derecho subjetivo, vinculado al artículo 105 b) CE y regulado por una ley ordinaria.
[15] Fernández Ramos, «Acceso a la información pública…», nota 14.
[16] Y es que, además, hay que recordar que la propia tutela jurídica de los datos tiene en sí carácter finalista, como así lo recuerda Canals Ametller, que lo resume de la siguiente manera: «el objeto de protección no son los datos en sí mismos, sino las libertades públicas, los derechos fundamentales de sus titulares ante los eventuales perjuicios que su tratamiento o publicidad les pudiera ocasionar». Canals Ametller, «El acceso público a datos…», pág. 17.
[17] Vid. por ejemplo, la Sentencia 138/2016, de 17 de octubre, del Juzgado Central de lo Contencioso-Administrativo nº 10 que se remite al artículo 15 LTBG descartando la aplicabilidad directa del artículo 11 LOPD con toda naturalidad en su FJ 8.
[18] Así lo había entendido por lo general la doctrina –y así se desprende ahora de lo previsto por el Proyecto de LOPD y por el REPD, como veremos a continuación–, aunque acudiendo a distintos argumentos. Mientras que para Piñar Mañas la aplicación de la LTBG viene de la previsión concreta del artículo 11.2 LOPD, Guichot lo justifica de la siguiente manera: «El principio, simple, que debe entenderse rige es el de lex especialis, esto es, de aplicabilidad a las solicitudes de información de este género de la normativa sobre acceso a la información y de aplicación de la LOPD y de su normativa de desarrollo sólo cuando el interesado pretende ejercer el derecho de acceso de dicha Ley, con sus diferentes presupuestos y alcances». Emilio Guichot «Límites a la transparencia y el acceso a la información» en E. Guichot (coord..), Transparencia, Acceso a la Información Pública y Buen Gobierno, Tecnos (2014) pág. 130.
Sin embargo, para Fernández Ramos y Pérez Monguió, es un criterio insuficiente para justificar lo que consideran una «una invasión por parte de la LTBG, como ley ordinaria, de una materia reservada a ley orgánica» y ello porque «el artículo 11 de la LOPD está pensado para supuestos singulares […]. En cambio, el artículo 15 de la LTBG tiene por objeto la ordenación del acceso a todos los datos personales en poder del sector público y entidades del sector privado vinculadas al mismo, esto es a más de la mitad (en términos cualitativos) del ámbito de aplicación de la LOPD». Severiano Fernández Ramos y José María Pérez Monguió, El Derecho al Acceso a la Información Pública en España, Thomson-Reuters Aranzadi (2017), pág. 197.
[19] Establece, entre otras cuestiones, el Considerando 154 que:
«El presente Reglamento permite que, al aplicarlo, se tenga en cuenta el principio de acceso del público a los documentos oficiales. El acceso del público a documentos oficiales puede considerarse de interés público. Los datos personales de documentos que se encuentren en poder de una autoridad pública o un organismo público deben poder ser comunicados públicamente por dicha autoridad u organismo si así lo establece el Derecho de la Unión o los Estados miembros aplicable a dicha autoridad u organismo. Ambos Derechos deben conciliar el acceso del público a documentos oficiales y la reutilización de la información del sector público con el derecho a la protección de los datos personales y, por tanto, pueden establecer la necesaria conciliación con el derecho a la protección de los datos personales de conformidad con el presente Reglamento. […]»
[20] Otra cosa distinta será que se requiera la existencia de un interés legítimo, en el sentido de lo que sostuviera el TJUE en la trascendental Sentencia Bavarian Lager c. Comisión.
[21] Por la extensión lógica de este trabajo, no se puede profundizar en la aplicación que de dicha conciliación se está haciendo por las Comunidades Autónomas que ya han aprobado su propia Ley de Transparencia y que cuentan con organismos propios para la resolución de las reclamaciones que se plantean, sin perjuicio de poder hacer referencia a cuestiones puntuales a lo largo del análisis llevado a cabo.
[22] Al respecto, las acotaciones efectuadas por la AEPD en su informe fueron definitivas en cuanto a la redacción final de dicho artículo, teniendo como objetivo, en primer lugar, la eliminación del primer apartado del artículo 11 del Anteproyecto de Ley, que diferenciaba dos regímenes jurídicos de acceso en función de que el solicitante fuera un tercero o el titular de los datos –remitiéndole, en este último caso al derecho de acceso de la LOPD–, y que la AEPD entendía generaba graves disfunciones por dos motivos: de un lado, por la ya mencionada posible vulneración del sistema de fuentes –también señalada por el Dictamen del Consejo de Estado– por cuando una ley ordinaria no puede invadir materia reservada a ley orgánica y, de otro, porque consideraba que el derecho de acceso que se regula en el artículo 15 LOPD, como parte de los conocidos como «derechos ARCO» no permite el acceso a la información sino únicamente a los datos de carácter personal que allí figuren, lo que podía dejar al solicitante titular de los datos en peor situación que si se tratara de un tercero. Las enmiendas acogieron enteramente el criterio de la AEPD, hasta el punto que la redacción del artículo 15 LTBG proviene directamente de la propuesta de texto alternativo que hiciera la AEPD.
[23] Hay que señalar que el Informe de la AEPD generó, en su momento, bastante polémica. Mientras que Rodríguez Álvarez o Piñar Mañas alaban su contenido y la repercusión que tuvo en la redacción del artículo 15 LTBG, para Guichot «se trató […] de un informe y una propuesta con graves defectos de entendimiento de la lógica del derecho de acceso a la información, que fue asumido de forma acrítica por el Gobierno y que introdujo graves distorsiones en la regulación». Guichot «Límites a la transparencia …», págs.. 124 y 125.
[24] Esto es, si bien el régimen jurídico aplicable a este caso es el previsto en el artículo 15 LTBG, estamos ante un mecanismo muy similar al de la cesión de datos de carácter personal que previera el artículo 11 LOPD para los datos que ampara como especialmente protegidos el artículo 7 de dicha Ley Orgánica. Y es que, como ya hemos tenido ocasión de señalar, la redacción del actual artículo 15 LOPD procede directamente de la propuesta alternativa que hiciera al AEPD en su informe sobre el proyecto de LTBG y que en sus apartados primero y segundo, se remite específicamente –y respectivamente– a los apartados 2 y 3 del artículo 7 LOPD.
[25] Recuerda al respecto Rodríguez Álvarez cómo esta salvedad al requerimiento del consentimiento –cuando los datos hubieren sido hechos manifiestamente públicos por su titular antes de la publicación de la información o solicitud del acceso– trae causa directamente del artículo 8.c) de la Directiva 95/46/CE, que aunque no fue explícitamente recogida en la LOPD viene siendo objeto de aplicación por la AEPD. Rodríguez Álvarez, «Transparencia y protección de datos personales:…», pág. 69.
[26] Esto es, el artículo 15.1 LTBG, en su párrafo segundo, recoge de nuevo el criterio de cesión establecido en la LOPD para las cesiones de este tipo de datos, esto es, para poder acceder a información en la que consten datos especialmente protegidos de los recogidos en el artículo 7.3 LOPD es necesario que medie consentimiento expreso o que el acceso esté amparado por una norma con rango de ley.
[27] Sin embargo, se trata aquí de una diferencia en relación con la regulación de la cesión que establece la LOPD, que los regula de manera diferenciada, limitando su posible tratamiento a la inclusión en ficheros de las Administraciones Públicas y sólo para los supuestos previstos en las normas reguladoras de las mismas, pero sin necesidad de recabar el consentimiento de los titulares de los datos –ni exigir, por otro lado, que las normas tengan rango de ley–.
[28] Es especialmente relevante a este respecto lo dispuesto por el Considerando 10 del REPD que justifica esta nueva categorización de los datos, para otorgarles un nivel de protección común en todos los países de la Unión Europea, sin perjuicio de la posible determinación por los Estados miembros de las condiciones para garantizar la licitud de su tratamiento, concepto este último, no olvidemos, que engloba también la posible comunicación de los mismos.
Especifica el Considerando 10 lo siguiente:
«Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión, el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. Debe garantizarse en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea. […]. El presente Reglamento reconoce también un margen de maniobra para que los Estados miembros especifiquen sus normas, inclusive para el tratamiento de categorías especiales de datos personales («datos sensibles»). En este sentido, el presente Reglamento no excluye el Derecho de los Estados miembros que determina las circunstancias relativas a situaciones específicas de tratamiento, incluida la indicación pormenorizada de las condiciones en las que el tratamiento de datos personales es lícito».
[29] Publicado en el Boletín Oficial de Las Cortes Generales, Senado, núm. 289, de 23 de octubre de 2018.
[30] Fruto de la Enmienda de adición número 332, planteada por el Grupo Parlamentario Socialista. Boletín Oficial de las Cortes Generales, Congreso de los Diputados, serie A, núm. 13-2, de 18 de abril de 2018.
[31] Vid. Fernández Ramos y Pérez Monguió, El Derecho de acceso… pág. 204 y Martínez «De la opacidad…», pág. 267.
[32] Son interesantes al respecto los análisis llevados a cabo por Guichot, «Límites a la transparencia…» págs. 132 y ss y por Fernández Ramos y Pérez Monguió, El Derecho de acceso…, págs. 205 y ss.
[33] El artículo 19.3 LTBG, cuando regula la tramitación de los procedimientos de solicitud de acceso exige que:
«Si la información solicitada pudiera afectar a derechos o intereses de terceros, debidamente identificados, se les concederá un plazo de quince días para que puedan realizar las alegaciones que estimen oportunas. El solicitante deberá ser informado de esta circunstancia, así como de la suspensión del plazo para dictar resolución hasta que se hayan recibido las alegaciones o haya transcurrido el plazo para su presentación».
[34] Únicamente, claro está, para estos supuestos en los que no hay ponderación y se exige el consentimiento expreso del afectado. El CTBG ha dejado bien claro en sus resoluciones que, si bien los terceros pueden participar en el procedimiento y hacer las alegaciones pertinentes, la LTBG no consagra la llamada «regla de autor» –en el sentido de poder vetar la posibilidad de acceso a la información sin más argumento que la oposición o la falta de consentimiento a ese traslado– , puesto que fuera de los casos que aquí se tratan, deberá hacerse siempre la oportuna ponderación entre los distintos intereses en juego. Para profundizar sobre esta cuestión me permito la remisión a mi trabajo Leonor Rams Ramos, «Los derechos e intereses de terceros en las reclamaciones ante el Consejo de Transparencia y Buen Gobierno», en Las vías administrativas de recurso a debate, INAP, 2016
[35] Por el contrario, y como recuerdan Fernández Ramos y Pérez Monguió, la práctica en los archivos suele ser la contraria, esto es, la de dar acceso a la información pese a no contar con el consentimiento expreso de los afectados, siempre que se firme un acuerdo de confidencialidad por parte de los solicitantes de la información. Fernández Ramos y Pérez Monguió, Transparencia…, pág. 204.
[36] F.J 7º de la Sentencia de la Audiencia Nacional de 2 de febrero de 2018. En este caso concreto, la Audiencia Nacional estima en parte el recurso planteado y establece la obligación de retrotraer las actuaciones, para poder conceder el trámite de audiencia a las personas afectadas para que pudieran hacer sus respectivas alegaciones.
[37] Es especialmente significativo de esta cuestión, el asunto relativo a la solicitud de acceso formulada ante el Ministerio de Justicia solicitando la información relativa al listado de pasajeros que acompañaban a las autoridades transportadas por la flota del Grupo 45 de la Fuerza Aérea Española. El Ministerio de Defensa resolvió la solicitud denegándola, por entender que de conformidad con el artículo 15.2 LTBG prevalecía la protección de datos de carácter personal sobre el interés público en la divulgación. Presentado recurso contra la misma, el CTBG estimó parcialmente la reclamación, entendiendo, entre otras cuestiones, que el Ministerio debía proporcionar información sobre la identidad de los pasajeros acompañantes. La Sentencia 19/2017, del Juzgado Central Contencioso-Administrativo nº 10, de 7 de febrero de 2017 confirmó la resolución del CTBG y aunque fue parcialmente anulada por la Sentencia nº 54/2017 de la Sala de lo contencioso-administrativo sección 7ª de la Audiencia Nacional, el motivo de la anulación no es el concepto de dato meramente identificativo, sino el momento temporal a partir del cual se debe dar la información –cuestión sobre la que se ha planteado recurso de casación, pendiente de resolución por el Tribunal Supremo–.
[38] Rodríguez Álvarez, «Transparencia y protección de datos personales…», pág. 71.
[39] Ahora bien, como recuerda parte de la doctrina, esta «acotación» del artículo 2 del Reglamento de la LOPD es una invasión de la reserva de Ley. Entre otros Guichot, «Límites…», pág. 134.
Dado que quien está llamado a aplicar el artículo 15.2. LTBG son los órganos competentes para resolver la solicitud de acceso y que la función de la AEPD es meramente interpretativa –sin perjuicio de poder emitir informes conjuntos con el CTBG, según establece la Disposición Adicional 5.ª LTBG–, la realidad de los hechos es que no tendría por qué acogerse el criterio interpretativo del artículo 2 del Reglamento LOPD para acotar cuáles son los datos que se consideran como meramente identificativos.
[40] Haciendo referencia precisamente a la función pública del órgano, Fernández Ramos y Pérez Monguió entienden que debe incluirse aquí el acceso a los datos meramente identificativos de los terceros destinatarios de la actividad administrativa, siempre que esta se encuentre jurídicamente formalizada, por lo que afirman que «actos como autorizaciones, licencias, concesiones, contratos, ayudas, subvenciones, entre otros, deberían ser accesibles, salvo que contengan datos personales más allá del dato de identificación de una persona […]. En cambio, el resto de las actuaciones que integran el procedimiento estarían sujetas a las reglas generales de ponderación». Fernández Ramos y Pérez Monguió, Transparencia…, págs.. 216 y 217.
Sin embargo, como los mismos autores reconocen, no es el criterio de interpretación del artículo aplicado por el CTBG, para quien estos datos no tendrían que ver con la organización o actividad pública sino con los terceros destinatarios de los mismos, por lo que se les suele aplicar la ponderación prevista por el artículo 15.3 c) LTBG, que veremos a continuación.
[41] No olvidemos que el Criterio Interpretativo CI/002/2015, de 24 de junio de 2015, del CTBG y la AEPD ya previó esta posibilidad al determinar que primero debe hacerse el juicio de ponderación con la protección de datos de carácter personal, pero que ésta no excluye de una posterior segunda ponderación del artículo 14.2 LTBG si además de la presencia de dichos datos se pone en cuestión alguno de los bienes jurídicos protegidos por los límites previstos por el artículo 14.1 LTBG.
[42] Lo que se deduce del primer inciso de este artículo 15.3 LTBG, que comienza estableciendo que «cuando la información solicitada no contuviera datos especialmente protegidos, el órgano al que se dirija la solicitud concederá el acceso previa ponderación suficientemente razonada…» y que, por coherencia normativa, exige descartar también previamente la aplicabilidad del apartado 2 del artículo, según ha sido además interpretado por la AEPD y el CTBG, en su CI/002/2015, de 24 de junio de 2015.
[43] Establece específicamente el Preámbulo de la LTBG que «en todo caso, los límites previstos se aplicarán atendiendo a un test del daño (del interés que se salvaguarda con el límite) y [a un test] del interés público en la divulgación (que en el caso concreto no prevalezca el interés público en la divulgación de la información) y de forma proporcionada y limitada por su objeto y finalidad».
Esto ha tenido su reflejo en el artículo 14.2 LTBG que dispone que «la aplicación de los límites será justificada y proporcionada a su objeto y finalidad de protección y atenderá a las circunstancias del caso concreto, especialmente a la concurrencia de un interés público o privado superior que justifique el acceso».
[44] Resolución del CTBG de 16 de septiembre de 2016.
[45] Vid. por ejemplo la Sentencia 138/2016, de 17 de octubre, del Juzgado Central de lo Contencioso-Administrativo nº 10, que acoge plenamente este CI 1/2015, para desestimar el recurso formulado contra una resolución del CTBG por la que se estimaba una reclamación ante el mismo y obligaba a la empresa pública INECO S.A. a proporcionar al solicitante la información sobre retribuciones no sólo de su presidente, sino también de otros directivos, o la Sentencia 47/2016, de 17 de julio, del Juzgado Central de lo Contencioso-Administrativo nº 4, que también aplica sin ambages este Criterio Interpretativo 1/2015, y su criterio de proporcionalidad en el sentido de que a mayor responsabilidad, mayor necesidad de transparencia respecto de las retribuciones recibidas (en particular, en su FJ 5).
[46] En particular, en nuestra doctrina, son muchas las voces que han criticado esta inclusión de intereses de carácter privado en la ponderación, entre los que me incluyo. Vid. al respecto Leonor Rams Ramos, «El procedimiento de ejercicio del derecho de acceso a la información pública», Revista General de Derecho Administrativo, núm. 41 (2016).
[47] En este sentido, Fernández Ramos y Pérez Monguió afirman que «en el caso de acceso a datos personales no especialmente protegidos en ejercicio de un derecho o por razones de investigación, es evidente que el solicitante deberá motivar estas circunstancias en la solicitud para que sean adecuadamente ponderadas». Fernández Ramos y Pérez Monguió, Transparencia…, pág. 216.
[48] Manuel Fernández Salmerón, «Procedimiento administrativo e información del sector público» en Valero Torrijos y Fernández Salmerón (Dirs.), Régimen jurídico de la transparencia del sector público, Aranzadi (2014), pág. 302.
[49] Un ejemplo especialmente significativo de esto puede encontrarse en la Sentencia 162/2016, de 2 de diciembre, del Juzgado Central de lo Contencioso-Administrativo, confirmada además por Sentencia de la Audiencia Nacional de 17 de abril de 2017, en la que se valora la accesibilidad a información relativa a los historiales profesionales de los funcionarios a los que se había concedido ingreso en la Orden del Mérito Policial en el año 2015 y cuyo acceso había sido denegado por el Misterio del Interior y por el CTBG por entender afectados los datos de los policías que podrían ser identificados. Pues bien, el tribunal estima el recurso y concede el acceso, atendiendo únicamente al siguiente criterio ponderativo: «La información a la que pretende acceder el demandante es necesaria para comprobar si se han cumplido las previsiones normativas para la concesión de la recompensa y, en consecuencia, para discernir si la Administración se ha movido dentro del ámbito de la discrecionalidad que a estos efectos se le reconoce sin incurrir en arbitrariedad y, finalmente, quien la solicita tiene reconocida su intervención en el proceso y representa y defiende los intereses profesionales de los integrantes del Cuerpo Nacional de Policía, por lo que la ponderación a que se refiere el artículo 15.3 de la Ley 19/2913m se resuelve en clara procedencia de que se conceda el acceso solicitado» (FJ.4 de la Sentencia).
[50] Criterio Interpretativo CI/002/2015, de 24 de junio de 2015, del CTBG y la AEPD. En este sentido, el CTBG ya ha resuelto en varias ocasiones Reclamaciones en las que aplica este doble test, sin que haya referencia alguna a intereses privados. Vid., entre otras, las Resoluciones del CTBG R/0105/2015, de 9 de julio, R/0107/2015, de 10 de julio, R/0168/2015, de 29 de julio o R/0147/2015, de 15 de septiembre.
[51] Otra cosa es, como hemos visto, que tanto los órganos administrativos como el CTBG «olviden» sistemáticamente dar traslado a los terceros para que formulen sus alegaciones, que bien podrían ser de oposición como veremos a continuación, pero que también podrían contener la prestación de su consentimiento para la comunicación de los datos de carácter personal que les afectan.
[52] Esta circunstancia no se desprende de la interpretación literal del artículo 19.3 LTBG, que sólo habla de las «alegaciones que estimen oportunas», sino de otros artículos de la Ley, en particular del artículo 20.2 LTBG que motivación de la estimación del acceso «cuando haya habido oposición de un tercero», en cuyo caso se establece un acceso demorado, según lo establecido en el artículo 22.2 que enuncia que «si ha existido oposición de tercero, el acceso sólo tendrá lugar cuando, habiéndose concedido dicho acceso, haya transcurrido el plazo para interponer recurso contencioso-administrativo sin que se haya formalizado o haya sido resuelto confirmado el derecho a recibir la información».
[53] Sobre esta cuestión sobre la que ya he tenido ocasión de pronunciarme –vid. al respecto Rams Ramos, L «El procedimiento de ejercicio del derecho…»– baste recordar que el CTBG y los Tribunales de Justicia han considerado el procedimiento de ejercicio del derecho de acceso regulado en los artículos 17 y siguiente LTBG como un procedimiento especial que, estando regulado por Ley, no da cabida a «tramites adicionales», como sería la inclusión de un específico trámite de audiencia para que el solicitante pudiera motivar su solicitud de concurrir algún límite –entre ellos la existencia de datos de carácter personal– o alegación u oposición de tercero.
[54] Esto es, como recuerda Fernández Ramos «no se trata de una relación exhaustiva («particularmente») de modo que será posible emplear otros criterios, siempre que sean pertinentes a esta finalidad». Fernández Ramos, «Acceso a la información pública…».
[55] Quizás quien lo haya expresado con mayor grado de crítica –y con argumentos que, en general, me parecen muy acertados, es Guichot, en «Límites…», págs. 136 y ss.
[56] Recordemos que este artículo establece en su apartado c) lo siguiente:
«Los documentos que contengan datos personales de carácter policial, procesal, clínico o de cualquier otra índole que puedan afectar a la seguridad de las personas, a su honor, a la intimidad de su vida privada y familiar y a su propia imagen, no podrán ser públicamente consultados sin que medie consentimiento expreso de los afectados o hasta que haya transcurrido un plazo de veinticinco años desde su muerte, si su fecha es conocida o, en otro caso, de cincuenta años, a partir de la fecha de los documentos».
[57] Valga, por todos, la crítica que al respecto llevan a cabo Fernández Ramos y Pérez Monguió, para quienes «la acogida de este criterio es un despropósito por varios motivos. En primer lugar, por cuanto puede comprobarse esos plazos se predican en la LPHE de datos que por su naturaleza pueden clasificarse de íntimos o especialmente protegidos y a los que, por ello, no puede accederse sin el consentimiento del interesado, y no para el resto de datos personales […]. En segundo lugar, por cuanto se trata de uno de los preceptos que más problemas ha causado en nuestro ordenamiento jurídico desde su aprobación, por su ambigüedad o, dicho de forma directa, su incoherencia. En efecto, los archiveros, los investigadores, los estudiosos de la memoria histórica, llevan décadas devanándose los sesos para tratar de interpretar cómo debe ser aplicado. ¿A quién corresponde acreditar la fecha del fallecimiento de la persona? ¿A quien pretende el acceso –al que la normativa del Registro Civil se lo impide–, al responsable del archivo, que tampoco tiene competencias para ello ni obligación de solicitarla? Ante esta dificultad ¿debe acudirse directamente a la regla de los cincuenta años desde la fecha de elaboración de los documentos, llegando al resultado de que terceros puedan acceder a datos íntimos de personas vivas?» Fernández Ramos y Pérez Monguió, Transparencia…, pág. 137.
[58] De la misma opinión es Guichot en «Límites…», pág. 137.
[59] Es especialmente significativo de esto el que ni siquiera esté claro si el plazo de tiempo a aplicar deba ser la fecha de entrada en vigor de la LTBG, como ha sostenido recientemente y de manera muy equivocada, a mi parecer, la Audiencia Nacional, cuando en su Sentencia nº 54/2017 de la Sala de lo contencioso-administrativo sección 7ª, estima el recurso planteado, anulando en parte la Sentencia 19/2017 de 7 de febrero, del Juzgado Central número 10 de lo Contencioso-Administrativo. Independientemente de que en el caso se valoraba el aspecto de que se tratara de datos meramente identificativos o no, lo importante a tener en cuenta ahora, es que la Audiencia Nacional considera que sólo debe darse acceso a la información generada a partir de la entrada en vigor de la LTBG, no afectando a los datos producidos con anterioridad, lo que vaciaría totalmente de sentido no solo este apartado de la Ley, sino significativamente el ámbito de aplicación de la misma.
Habrá que esperar a que el Tribunal Supremo se pronuncie al respecto –esperemos, en el sentido de dar acceso a la información independientemente de la fecha de producción de la información–, en resolución del recurso de casación que se ha planteado contra esta sentencia y que ha sido admitido a través de Auto del Tribunal Supremo de 15 de mayo 2018, que ha considerado que la cuestión es de interés casacional.
[60] De un lado, la vinculación a una norma como es la LPHE que recoge una normativa sectorial de acceso a la información –en vigor y aplicable, conforme a la Disposición Adicional Primera, apartado 2 LTBG– absolutamente obsoleta y que debiera de haberse derogado con la propia LTBG; y de otro, la vinculación a unos plazos que si bien son razonables para la protección de la intimidad personal y familiar, no lo parecen tanto para la protección de los datos de carácter personal –además, no especialmente sensibles– si tenemos en cuenta que la protección de dichos datos, en teoría, se refiere a las personas vivas, por una parte, y no es ejercitable por sus herederos –de otra–.
[61] En todo caso, como ya hemos señalado anteriormente, está siendo una práctica común, tanto por parte del CTBG como por los Tribunales de justicia, la valoración de la motivación concreta de los solicitantes de sus intereses legítimos privados o los que ostentan por su condición de investigador, como en la señalada Sentencia 162/2016, de 2 de diciembre, del Juzgado Central de lo Contencioso-Administrativo.
[62] Como acertadamente resume Rodríguez Álvarez «la transparencia de los poderes públicos es una exigencia que deriva directamente del principio democrático, que demanda una completa rendición de cuentas de los gobernantes ante la ciudadanía en relación con todas sus actuaciones con relevancia pública. A su vez, la información contenida en los documentos administrativos y, en general, toda la información de los organismos públicos constituye una fuente de conocimiento de primera magnitud para la participación eficaz de los ciudadanos en los procesos democráticos […]. De ahí que el parámetro que en cada Estado determine el nivel de acceso a la información pública sea un indicador muy relevante del grado de democracia efectiva, de la cota de democracia real de la respectiva sociedad». Rodríguez Álvarez, «Transparencia y protección de datos personales…», págs. 53 y 54.
[63] No obstante, no podemos pecar de ingenuos, pues hay que reconocer al respecto que ni siquiera las instituciones comunitarias acaban de adaptarse a esa nueva visión de equilibrio que se desprende del REPD. Prueba de ello es la reciente –y muy desafortunada, a mi juicio– Sentencia del Tribunal General de la Unión Europea de 25 de septiembre de 2018 (asuntos T-639/15 a T.666/15 y T94/16), por la que se acaba desestimando la reclamación contra las Decisiones del Parlamento Europeo que denegaban el acceso a la información sobre gastos de los Parlamentarios Europeos que, si bien hace referencia al artículo 86 REDP, desestima la solitud de acceso en una nueva interpretación extensiva de los requisitos para acceder a las informaciones que contengan datos de carácter personal.