Durante la última década, la actividad regulatoria de la Unión Europea, polo de excelencia mundial en materia de protección de datos y privacidad, ha sido de una intensidad extraordinaria, teniendo su más visible plasmación en el Reglamento (UE) 2016/679, General de Protección de Datos (RGPD). Este Reglamento es de aplicación directa en todos los Estados miembros de la Unión Europea (por ejemplo, España) desde el 25 de mayo de 2018.

Al ser de aplicación directa, el RGPD no necesita de una norma nacional de transposición, como ocurre con las directivas europeas. No obstante, casi todos los Estados miembros han aprobado normas nacionales de protección de datos para adaptar sus ordenamientos jurídicos al referido Reglamento. En España, esta norma es la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

La Agencia Española de Protección de Datos (AEPD) es una autoridad administrativa independiente de ámbito estatal, de las previstas en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, con personalidad jurídica y plena capacidad pública y privada, que actúa con plena independencia de los poderes públicos en el ejercicio de sus funciones.

En este sentido, corresponde a la Agencia Española de Protección de Datos supervisar la aplicación del Reglamento (UE) 2016/679 (RGPD) y de la Ley Orgánica 3/2018 (LOPDGDD), con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento de sus datos.

En España, al margen de la AEPD, existen una serie de autoridades autonómicas de protección de datos personales con competencias concretas en su ámbito territorial. En Castilla y León no existe una autoridad autonómica de protección de datos, luego la autoridad de control competente (por ejemplo, en el caso de un Ayuntamiento ubicado en dicha Comunidad autónoma) es la propia Agencia Española de Protección de Datos.

El régimen sancionador establecido en el Reglamento General de Protección de Datos consiste básicamente en multas administrativas que pueden alcanzar hasta los 20 millones de euros o, tratándose de una empresa, hasta el 4% del volumen de negocio total anual global del ejercicio financiero anterior.

Ahora bien, en España, el régimen sancionador de las Administraciones públicas tiene especialidades derivadas de la LOPDGDD. En este sentido, a las Administraciones públicas (por ejemplo, un Ayuntamiento) no se les aplica el régimen económico sancionador (multas), sino que consiste en la declaración de la infracción, estableciendo, en su caso, las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.

No obstante, el artículo 79 del propio RGPD establece que “sin perjuicio de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control (…), todo interesado tendrá derecho a la tutela judicial efectiva cuando considere que sus derechos en virtud del presente Reglamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales.”

El tratamiento de datos personales podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, en los términos previstos en el artículo 6.1 e) del Reglamento General de Protección de Datos, cuando derive de una competencia atribuida por una norma con rango de ley: en el caso de un Ayuntamiento, los poderes públicos derivan, con carácter general, de las competencias atribuidas por la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local (LRBRL).

El tratamiento de los datos personales podrá considerarse fundado en el consentimiento del interesado, en los términos previstos en el artículo 6.1 a) del Reglamento General de Protección de Datos, cuando conste una manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.

Ahora bien, en este sentido interesa subrayar que, entre la Administración, como responsable, y el/la ciudadano/a, como interesado/a, existe una situación de desequilibrio en la que resulta improbable que el consentimiento se haya dado libremente en todas las posibles circunstancias, lo que, en consecuencia, podría invalidar el consentimiento como base jurídica legitimadora del tratamiento.

El artículo 13 d) de la Ley 39/2015, de 1 de octubre (LPACAP) reconoce el derecho de las personas, en sus relaciones con las Administraciones Públicas, al acceso a la información pública, archivos y registros, de acuerdo con lo previsto en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno (LTAIBG) y el resto del Ordenamiento Jurídico.

La LTAIBG entiende por información pública los contenidos o documentos, cualquiera que sea su formato o soporte, que obren en poder de las Administraciones Públicas y que hayan sido elaborados o adquiridos en el ejercicio de sus funciones.

Asimismo, contempla en su artículo 15 una serie de mecanismos de equilibrio en el caso de que el acceso a la información pueda afectar de forma directa a la protección de los datos personales, otorgando una especial protección a los datos que la normativa califica como «categorías especiales de datos personales», para cuyo acceso se requiere, con carácter general, y salvo otras excepciones, el consentimiento de su titular.

El Consejo de Transparencia y Buen Gobierno (CTBG) y la Agencia Española de Protección de Datos (AEPD) han adoptado una serie de criterios interpretativos conjuntos que pueden resultar de interés a efectos de efectuar la ponderación prevista en el artículo 15.3 de la Ley 19/2013 en relación con materias o aspectos concretos. A continuación, se relacionan dichos criterios, disponibles en el Portal de Internet del propio CTBG:

• Criterio 1/2015: Obligaciones del sector público estatal a facilitar información sobre RPT y retribuciones.
• Criterio 2/2015: Aplicación de los límites al derecho de acceso a la información.
• Criterio 4/2015: Publicidad activa sobre los datos del DNI y la firma manuscrita.
• Criterio 2/2016 Información relativa a las agendas de los responsables públicos.
• Criterio 1/2020 Información pública del personal eventual en la AGE y aplicación del art. 19.3 de la ley de transparencia.

El enlace a los criterios interpretativos conjuntos del CTBG y la AEPD es el siguiente: https://www.consejodetransparencia.es/ct_Home/Actividad/criterios.html

Según se establece en el propio Reglamento General de Protección de Datos, las denominadas «categorías especiales de datos personales» merecen una mayor protección. Entre dichas categorías, cabe citar los siguientes tipos de datos personales:

• Datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical.
• Datos genéticos.
• Datos biométricos dirigidos a identificar de manera unívoca a una persona física.
• Datos relativos a la salud.
• Datos relativos a la vida sexual o la orientación sexual de una persona física.

La LOPDGDD (Disposición adicional primera) establece la obligación, para todas las Administraciones públicas (por ejemplo, un Ayuntamiento), de aplicar a sus tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad (ENS).

Esta obligación requiere un importante “plus” de exigencia en relación con el cumplimiento del principio de seguridad de los datos, motivado por la necesidad de garantizar un elevado nivel de protección de la información de la ciudadanía, que genere la confianza suficiente de la misma en los tratamientos realizados por las Administraciones públicas.

El Esquema Nacional de Seguridad, de aplicación a todo el sector público, así como a los proveedores que colaboren con la Administración, ofrece un marco común de principios básicos, requisitos y medidas de seguridad para una protección adecuada de la información tratada y los servicios prestados, con objeto de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos que gestionen en el ejercicio de sus competencias.

Desde su primer desarrollo en 2010, el ENS está en constante evolución, con modificaciones notables en 2015 y su última actualización en 2022 (Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad).

La administración electrónica agudiza la dependencia de las tecnologías de la información y extiende la posible superficie de ataque, incrementando el riesgo de utilización del ciberespacio para la realización de actividades ilícitas que impactan en la seguridad pública y en la propia privacidad de la ciudadanía.

En este sentido, la normativa en materia de contratación pública establece un marco preventivo a tal fin, con el objetivo último de proteger los derechos y libertades constitucionalmente reconocidos y garantizar la seguridad pública de todos los ciudadanos.

De tal modo, el artículo 202.1 párrafo 3º de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público (LCSP), establece lo siguiente:

“Asimismo en los pliegos correspondientes a los contratos cuya ejecución implique la cesión de datos por las entidades del sector público al contratista será obligatorio el establecimiento de una condición especial de ejecución que haga referencia a la obligación del contratista de someterse a la normativa nacional y de la Unión Europea en materia de protección de datos, advirtiéndose además al contratista de que esta obligación tiene el carácter de obligación contractual esencial de conformidad con lo dispuesto en la letra f) del apartado 1 del artículo 211.”

En su consecuencia, en aquellos contratos cuya ejecución implique la cesión de datos personales al contratista, se impone la exigencia de que los pliegos incluyan, como condición especial de ejecución, la obligación del contratista de someterse a la normativa nacional y de la Unión Europea en materia de protección de datos. Asimismo, en los pliegos debe advertirse al contratista de que esta obligación tiene el carácter de obligación contractual esencial a los efectos del régimen de resolución del contrato

Dicha cuestión se regula en el apartado primero de la Disposición adicional séptima de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que establece lo siguiente:

“Cuando sea necesaria la publicación de un acto administrativo que contuviese datos personales del afectado, se identificará al mismo mediante su nombre y apellidos, añadiendo cuatro cifras numéricas aleatorias del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente. Cuando la publicación se refiera a una pluralidad de afectados estas cifras aleatorias deberán alternarse.

Cuando se trate de la notificación por medio de anuncios, particularmente en los supuestos a los que se refiere el artículo 44 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, se identificará al afectado exclusivamente mediante el número completo de su documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente.

Cuando el afectado careciera de cualquiera de los documentos mencionados en los dos párrafos anteriores, se identificará al afectado únicamente mediante su nombre y apellidos. En ningún caso debe publicarse el nombre y apellidos de manera conjunta con el número completo del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente.”

A efectos prácticos, para la aplicación de dicha norma, deberá atenderse al criterio orientativo de la Agencia Española de Protección de Datos, accesible en el siguiente enlace: https://www.aepd.es/documento/orientaciones-da7.pdf

El artículo 8.2 de la Resolución de 17 de febrero de 2020, de la Presidencia del Instituto Nacional de Estadística y de la Dirección General de Cooperación Autonómica y Local, por la que se dictan instrucciones técnicas a los Ayuntamientos sobre la gestión del Padrón municipal, establece lo siguiente en relación a la cesión de datos padronales:

“8.2. Cesión de datos padronales (comunicación de datos a terceros). La cesión de datos padronales se encuentra regulada por el artículo 16.3 de la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local, en los siguientes términos: Los datos del Padrón municipal se cederán a otras Administraciones Públicas que lo soliciten sin consentimiento previo del afectado solamente cuando les sean necesarios para el ejercicio de sus respectivas competencias, y exclusivamente para asuntos en los que la residencia o el domicilio sean datos relevantes. También pueden servir para elaborar estadísticas oficiales sometidas al secreto estadístico, en los términos previstos en la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública y en las leyes de estadística de las comunidades autónomas con competencia en la materia.

La interpretación restrictiva que, en opinión de la Agencia Española de Protección de Datos, debe hacerse de este artículo determina que sólo podrán cederse, sin el previo consentimiento del afectado, los datos del Padrón relativos al domicilio o la residencia de una relación de personas facilitada por la Administración Pública solicitante, siempre que esta información le sea necesaria para el ejercicio de sus respectivas competencias y exclusivamente para asuntos en los que la residencia o el domicilio sean datos relevantes.

Fuera de estos supuestos, la cesión de los datos padronales se rige por lo establecido en el artículo 6.1 del Reglamento general de protección de datos, según el cual el tratamiento solo será lícito si se cumple al menos una de las condiciones que se relacionan en el mismo.”

Como regla general, la captación de imágenes con fines de seguridad de la vía pública debe realizarse por las Fuerzas y Cuerpos de Seguridad, ya que a ellas les corresponde la prevención de hechos delictivos y la garantía de la seguridad en la citada vía pública, de conformidad con lo señalado en la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos.

No obstante, la propia Ley 4/1997 establece en su Disposición adicional octava que “la instalación y uso de videocámaras y de cualquier otro medio de captación y reproducción de imágenes para el control, regulación, vigilancia y disciplina del tráfico se efectuará por la autoridad encargada de la regulación del tráfico a los fines previstos en el texto articulado de la Ley sobre Tráfico, Circulación de Vehículos a Motor y Seguridad Vial...”.

A este respecto, el vigente Real Decreto Legislativo 6/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley sobre Tráfico, Circulación de Vehículos a Motor y Seguridad Vial, establece en su artículo 7 a) que corresponde a los municipios:

“a) La regulación, ordenación, gestión, vigilancia y disciplina, por medio de agentes propios, del tráfico en las vías urbanas de su titularidad, así como la denuncia de las infracciones que se cometan en dichas vías y la sanción de las mismas cuando no esté expresamente atribuida a otra Administración.”

En este sentido, es muy importante tener en cuenta que, en base al principio de «limitación de la finalidad» recogido en el artículo 5.1 b) del Reglamento (UE) 2016/679 (Reglamento general de protección de datos), las cámaras o videocámaras que capten imágenes de la vía pública no pueden ser utilizadas con fines de seguridad, pues las competencias del municipio circunscriben dicha finalidad al control del tráfico, ni pueden captar imágenes que sobrepasen los límites del propio municipio (por ejemplo, de una vía interurbana a través de la cual se acceda al municipio).

En relación con los tramos de carretera que discurran por el municipio (travesías), si el ayuntamiento carece de policía local no puede instalar cámaras o videocámaras que enfoquen a una travesía (aunque esté dentro del propio municipio), ya que según el artículo 5 i) de la Ley sobre Tráfico, Circulación de Vehículos a Motor y Seguridad Vial es competencia del Ministerio del Interior:

“i) La vigilancia y disciplina del tráfico en toda clase de vías interurbanas y en travesías cuando no exista policía local, así como la denuncia y sanción de las infracciones a las normas de circulación y de seguridad en dichas vías.”

La comunicación de la copia básica de los contratos a la representación legal de los trabajadores constituye un tratamiento de datos personales conforme a la definición establecida en el artículo 4 2) del Reglamento (UE) 2016/679, por lo que debe cumplir con los principios relativos al tratamiento recogidos en el artículo 5 del RGPD. Adicionalmente, para garantizar que el tratamiento es conforme a la normativa de protección de datos personales, deberá contar con una base de licitud de las establecidas en el artículo 6 del citado Reglamento.

Así, desde la óptica de la protección de datos personales, la comunicación de los datos de los empleados contenidos en la copia básica de los contratos, a falta de disponer del consentimiento de las personas afectadas, tiene que estar prevista en las facultades legalmente atribuidas a dichos representantes de los trabajadores.

En este sentido, el artículo 8.4 del Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores, dispone que "[e]l empresario entregará a la representación legal de los trabajadores una copia básica de todos los contratos que deban celebrarse por escrito, a excepción de los contratos de relación laboral especial de alta dirección sobre los que se establece el deber de notificación a la representación legal de los trabajadores", si bien "[c]on el fin de comprobar la adecuación del contenido del contrato a la legalidad vigente, esta copia básica contendrá todos los datos del contrato a excepción del número del documento nacional de identidad o del número de identidad de extranjero, el domicilio, el estado civil, y cualquier otro que, de acuerdo con la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, pudiera afectar a la intimidad personal. El tratamiento de la información facilitada estará sometido a los principios y garantías previstos en la normativa aplicable en materia de protección de datos".

Por tanto, existe una habilitación legal expresa que legitimaría la comunicación de los datos a la representación legal de los trabajadores, en base a lo establecido en el artículo 6.1 c) del Reglamento (UE) 2016/679 (el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento), si bien con las citadas excepciones íntimamente relacionadas con lo establecido en el artículo 5.1 c) del RGPD, relativo al principio de «minimización de datos», según el cual los datos personales serán “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”.

Asimismo, interesa subrayar que, de conformidad con lo establecido en dicho artículo, "[l]os representantes de la Administración, así como los de las organizaciones sindicales y de las asociaciones empresariales, que tengan acceso a la copia básica de los contratos en virtud de su pertenencia a los órganos de participación institucional que reglamentariamente tengan tales facultades, observarán sigilo profesional, no pudiendo utilizar dicha documentación para fines distintos de los que motivaron su conocimiento". Esta obligación está estrechamente vinculada con el principio de «limitación de la finalidad» recogido en el artículo 5.1 b) del RGPD, en base al cual los datos personales serán “recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines".