La cesión de datos personales entre Administraciones Públicas todavía sigue generando dudas a las propias Administraciones y también entre los ciudadanos. En este artículo abordaremos la interpretación de la AEPD sobre la cesión de datos personales entre las AA. PP. contenido en la LOPDGDD y el RGPD y en relación con las leyes 39/2015 y 40/2015.
En este artículo hablamos de:
La cesión de datos personales entre Administraciones Públicas en el RGPD y la LOPDGDD
Según disponen las leyes 39/2015 y 40/2015, las Administraciones Públicas están sujetas al deber de colaboración entre ellas, esto implica que una Administración, para llevar a cabo determinados trámites y gestiones, puede necesitar acceder a los datos personales de un interesado que obran en poder de otra Administración, es decir, se debe producir una cesión de datos personales entre Administraciones Públicas.
Pensemos, por ejemplo, en una Administración local que gestiona y concede una ayuda o una subvención a familias con rentas bajas, necesitará consultar y verificar los datos personales aportados por el solicitante de dicha ayuda consultándolos con la Administración que posee dicha información, como puede ser el empadronamiento en dicha localidad.
Puesto que hablamos de tratamientos de datos personales, estas cesiones de datos entre las AA. PP. están sujetas a la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) y el Reglamento General de Protección de Datos (RGPD), de la misma forma que lo están cualquier cesión de datos entre empresas u otras entidades, como, por ejemplo, la cesión de datos a empresas de recobro.
De manera que el artículo 8 de la LOPDGDD recoge la legitimación del tratamiento y la cesión de datos entre las AA. PP., fundamentándolos «en el cumplimiento de una obligación legal exigible al responsable del tratamiento» de acuerdo a lo previsto en el artículo 6.1.c del RGPD y cuando así lo prevea una norma de Derecho de la UE o una norma con rango de ley. Así como «en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable» de acuerdo a lo establecido en el artículo 6.1.e del RGPD y cuando este derive de una competencia atribuida por una norma con rango de ley.
Por lo tanto, la cesión de datos entre Administraciones Públicas tiene siempre su base legal en el artículo 6.1.c y 6.1.e del RGPD. Aunque el citado artículo 8 de la LOPDGDD establece también que la norma con rango de ley que atribuya el cumplimiento de una obligación legal al responsable del tratamiento, puede determinar las condiciones generales para el tratamiento y las cesiones de datos.
¿Qué deben tener en cuenta las AA. PP. para la cesión de datos personales?
Para ayudar en la interpretación y aplicación de las condiciones establecidas en la LOPDGDD y el RGPD respecto a la cesión de datos entre Administraciones Públicas y teniendo en cuenta también lo establecido respecto al deber de colaboración entre ellas y el derecho de los interesados a no tener que aportar documentos que ya obren en poder de la Administración o hayan sido elaborados por otra Administración (leyes 39/2015 y 40/2015), la AEPD emitió varios informes y orientaciones al respecto.
En concreto, cuando sea necesaria una cesión de datos personales entre AA. PP., estas deberán tener en cuenta si existe una legislación especial que establezca algún tipo de restricción a dichas cesiones. Cuando no exista tal norma, los datos podrán cederse aplicando las reglas generales vistas en el apartado anterior, es decir, en el ámbito de las competencias de la Administración (cumplimiento de una obligación legal) o en misión de interés público.
La Administración que solicite los datos (cesionaria) debe fundamentar y motivar siempre la petición. Y la Administración que debe ceder los datos (cedente) valorar si los datos solicitados son realmente necesarios, pertinentes y proporcionados para cumplir con la finalidad propuesta por la cesionaria.
Así mismo, se deben aplicar los principios de proporcionalidad y minimización en la cesión de datos; esta debe tener un fin específico y no se deberán acceder a más datos personales de los necesarios para cumplir con dicho fin.
En línea con el párrafo anterior, los datos cedidos no podrán utilizarse con otra finalidad diferente a la especificada en la petición de datos, salvo el archivo en interés público, fines de investigación científica o histórica o fines estadísticos.
Atendiendo al derecho de oposición al que se refiere el artículo 28 de la Ley 39/2015, y que también reconoce el artículo 21 del LOPDGDD, el interesado podrá oponerse al tratamiento de sus datos personales por otra Administración, siempre que justifique y motive dicha oposición (es decir, no es válida la oposición absoluta al tratamiento). La Administración deberá valorar esta solicitud para estimarla o no de acuerdo a los requisitos establecidos por la ley.
¿Cuál es la base jurídica para la cesión de datos personales entre Administraciones Públicas?
Ya lo hemos adelantado en el primer epígrafe de este artículo, la base jurídica para la cesión de datos personales entre Administraciones Públicas, sea la comunicación, consulta o verificación de datos entre Administraciones, está en el artículo 6.1 del RGPD, letras c, cumplimiento de una obligación legal, y e, cumplimiento de una misión de interés pública o en el ejercicio de sus poderes públicos.
Esta base jurídica también se aplica para el tratamiento de datos de categorías especiales, de manera que se levanta la prohibición de su tratamiento siempre que sea por razones de interés público esencial, definido en una ley y de acuerdo a los términos establecidos en el artículo 9.2.g del RGPD.
¿Es necesario el consentimiento de los interesados para la cesión de datos entre Administraciones?
Puesto que la base jurídica para la cesión de datos entre Administraciones Públicas se encuentra en las letras c y e del artículo 6.1 del RGPD, el consentimiento explícito de los interesados no es necesario para la misma.
Tampoco debemos entender que hay un consentimiento tácito para la cesión de datos entre AA. PP., cuando estas ceden datos personales del interesado que ya se poseen (ya que fueron dados con anterioridad), porque el consentimiento tácito ya no es válido según el RGPD y, en cualquier caso, insistimos, el consentimiento, de ningún tipo, es necesario recabarlo.
Solo en los casos en los que una ley especial establezca la obligación de recabar el consentimiento expreso del interesado para la cesión de datos personales entre AA. PP., se podrá considerar este como base jurídica legitimadora (es el caso, por ejemplo, de los datos de naturaleza tributaria, regulados por una ley específica que sí requiere del consentimiento expreso del interesado para su cesión).
En cualquier caso, aunque el consentimiento no sea necesario, cuando se produzca una cesión de datos entre AA. PP., estas deberán informar al interesado de los datos que se van a consultar, en aplicación del principio de transparencia. Además, también deberán informarle de la posibilidad de ejercer su derecho de oposición y facilitar la vía para hacerlo, en los términos que vimos más arriba (la oposición debe estar justificada y motivada).