Orientaciones sobre la reutilización de la información del sector público.

Transcripción

1 PROTECCIÓN DE DATOS Reutilización de la información Orientaciones sobre la reutilización de la información del sector público. Agencia Española de Protección de Datos, de 13 de octubre de Antecedente normativo Cita: -Ley Orgánica 15/1999 de protección de datos de carácter personal. -Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público. -Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno. 1. Introducción La Agencia Española de Protección de Datos publica la guía titulada Orientaciones sobre protección de datos en la reutilización de la información del sector público 1, documento en el que se recogen los aspectos a tener en cuenta por parte de las Administraciones públicas para impulsar la reutilización de la información y facilitar la puesta a disposición de la misma con las debidas garantías en materia de protección de datos. Estas Orientaciones se complementan con otro documento titulado Orientaciones y garantías en los procedimientos de anonimización de datos personales, que pretende facilitar unas pautas útiles para la implantación de técnicas e impulsar su divulgación y garantizar la protección de los ciudadanos en el desarrollo de estudios e investigaciones de interés social, científico y económico. La Ley 37/2007 establece la obligación de las Administraciones y organismos del sector público, de autorizar la reutilización de los documentos y ampliar su ámbito de aplicación a las bibliotecas, museos y archivos. Respecto de los datos de carácter general, se remite a lo establecido en la Ley Orgánica de Protección de datos de carácter personal. 2. Contenido de las Orientaciones Las Orientaciones sobre protección de datos en la reutilización de la información del sector público se desarrollan en siete apartados; el primero responde a la pregunta sobre la necesidad de su elaboración (a); el segundo, se centra en la reutilización de la información y la normativa de protección de datos (b); el tercero, se dedica a la evaluación de impacto en la protección de datos y la reutilización de la información (c); el cuarto, establece el umbral de anonimización exigido por la normativa de protección de datos personales (d); el quinto detalla cómo se ha de realizar la evaluación (e); el sexto concreta las condiciones de 1 _proteccion_datos_reutilizacion.pdf 1

2 reutilización (f); finalmente, el documento termina con unas conclusiones (g). a) Sobre la necesidad de la elaboración de guía Se explican en este apartado las razones por las que es necesaria la elaboración de una guía, el volumen de información pública, el progreso de las tecnologías utilizadas para el análisis, explotación y tratamiento de datos y la concienciación de la sociedad sobre el valor de la información pública. Se trata de formular propuestas que armonicen o concilien el desarrollo de estas tecnologías, el impulso de la sociedad de la información con las garantías necesarias del derecho fundamental a la protección de datos. A tenor de lo recogido en estas Orientaciones Guía las propuestas deben partir de dos premisas: la adopción de criterios comunes al conjunto de Autoridades de protección de datos de la Unión Europea y la difusión de las orientaciones preventivas que hagan efectivas la conciliación antes referida. Los criterios comunes se elaboran desde el Grupo de Trabajo del artículo 29 creado por la Directiva 95/46/CE, órgano consultivo integrado por las Autoridades de Protección de Datos de los Estados Miembros de la Unión Europea, encargado de estudiar los procesos normativos sobre reutilización de la información del sector público. Este Grupo de Trabajo, ha adoptado los Dictámenes 7/2003 sobre la Directiva 2003/98/CE y 6/2013 conforme el nuevo marco definido por la Directiva 2013/37/CE. La Agencia Española de Protección de Datos, a través del documento o guía sobre el que versan estas líneas asume la difusión de las orientaciones preventivas. b) Reutilización de la información y la normativa de protección de datos Una de las primeras cuestiones que aborda el documento, es el análisis del marco normativo de la reutilización y las interrelaciones con la legislación sobre el derecho a la protección de datos personales y sobre transparencia y acceso a la información pública. En este sentido, parte de la Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público, modificada por la Ley 18/2015, de 9 de julio, que establece la regulación básica del régimen jurídico aplicable a la reutilización de los documentos elaborados o custodiados por las Administraciones públicas y organismos del sector público (art. 1) y obliga a cuantos se encuentren en el ámbito subjetivo de la Ley a facilitar la información y autorizar la reutilización de los documentos. La Ley limita la reutilización de documentos que contengan datos de carácter personal, sobre los que se remite a los establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal y su normativa de desarrollo. Al mismo tiempo, tiene presente las limitaciones recogidas en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno y establece medidas de interrelación legislativa, tanto desde el punto de vista de la publicidad activa como desde el ejercicio del derecho de acceso a la información. 2

3 Así, si por un lado, la Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público dispone expresamente que no será aplicable a Los documentos sobre los que existan prohibiciones o limitaciones en el derecho de acceso en virtud de lo previsto en el artículo 37 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno y las demás normas que regulan el derecho de acceso o la publicidad registral con carácter específico. (art. 3.1.a). Por otro lado, añade (art. 3.4), que En ningún caso, podrá ser objeto de reutilización, la información en que la ponderación a la que se refieren los artículos 5.3 y 15 de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, arroje como resultado la prevalencia del derecho fundamental a la protección de datos de carácter personal, a menos que se produzca la disociación de los datos a la que se refiere el artículo 15.4 de la citada Ley. c) Evaluación de impacto en la protección de datos y la reutilización de la información Se pone de manifiesto en estas Orientaciones el hecho de que la reutilización de la información pueda implicar tratamiento de información personal recabada para finalidades distintas de las propias de la entidad reutilizadora. Para garantizar el derecho a la protección de datos, la metodología que se considera adecuada es la llamada evaluación de impacto en la protección de datos personales, sobre la que la Agencia ha editado la correspondiente Guía 2 a la que se remiten las Orientaciones sobre Protección de Datos. sobre la que versan estas líneas, de forma expresa. Esta metodología de evaluación de impacto consiste en realizar un análisis de los riesgos que puede implicar el tratamiento de los datos personales para los derechos de los afectados y, como consecuencia del mismo, la gestión de dichos riesgos mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos. d) Umbral de anonimización exigido por la normativa de protección de datos personales La anonimización pretende disociar los datos identificativos de los afectados, se trata de evitar la identificación del afectado o interesado. Se recuerda en este documento cómo tanto la Directiva 95/46/CE como la Ley Orgánica de Protección de Datos, exigen un elevado umbral de anonimización para que esta disociación de datos identificativos resulte irreversible. Sin embargo, se pone de manifiesto la dificultad de conseguir este objetivo. La Agencia en estas Orientaciones, pone de relieve la necesidad de seguir un proceso de evaluación de riesgos centrado en analizar las posibilidades de revertir la disociación; no obstante, no está exento de riesgos, en especial porque se han de tener en cuenta el conjunto de medios que puedas ser utilizados por el responsable del tratamiento y por cualquier otra persona. Se ha de añadir que los 2 Guía para una Evaluación de Impacto en la Protección de Datos Personales, editada por la propia Agencia Española de Protección de Datos. 3

4 avances tecnológicos pueden posibilitar la reidentificación, al margen del valor comercial de la información. e) Cómo se ha de realizar la evaluación El documento señala que la evaluación de impacto puede llevarse a cabo por la entidad que decide sobre la reutilización de la información, cuando ésta implique tratamiento de datos personales o riesgos de identificación. Se remite a la Guía sobre Evaluación de Impacto en la Protección de Datos Personales editada por la propia Agencia, en la que se destaca la necesidad de intercambiar opiniones con las partes interesadas, en particular con los propios reutilizadores, es especial respecto a las posibilidades de la reidentificación de los interesados. Se trataría de establecer medidas que, además de imponer prohibiciones respecto la reidentificación o la utilización de datos personales para la adopción de decisiones, o de realización de perfiles de los afectados, reforzaran la anonimización, a través de imponer evaluaciones periódicas sobre el riesgo de reidentificación, realización de auditorías, exigir la obligación de notificar al organismo público la posibilidad de reutilizar, ofrecer a los interesados medios para alertar sobre la reidentificación. El documento recuerda las medidas coercitivas previstas en la Ley para el supuesto de incumplimiento de obligaciones y el régimen sancionador que tipifica infracciones e impone sanciones que pueden implicar la prohibición de reutilizar documentos sometidos a licencia e incluso la revocación de la licencia. f) Condiciones de reutilización Se recuerda en el documento las modalidades de reutilización previstas en la Ley 37/2007 de 16 de noviembre. Estas son (artículo 4.2): a) Reutilización de documentos puestos a disposición del público sin sujeción a condiciones. b) Reutilización de documentos puestos a disposición del público con sujeción a condiciones establecidas en licencias-tipo. c) Reutilización de documentos previa solicitud, conforme al procedimiento previsto en el artículo 10 o, en su caso, en la normativa autonómica, pudiendo incorporar en estos supuestos condiciones establecidas en una licencia. d) Acuerdos exclusivos conforme el procedimiento previsto en el artículo 6. Las condiciones que se incorporen a las licencias, nos indica el mismo artículo 4 de la Ley, han de ser claras, justas y transparentes; no podrán restringir las posibilidades de reutilización ni limitar la competencia y no podrán ser discriminatorias para categorías comparables de reutilización. La Ley se refiere a los formatos disponibles para la reutilización y, en este aspecto, acepta que se faciliten los documentos en cualquier formato o lengua preexistente, y que se proporcionen en formato abierto y legible por máquina conforme a lo previsto en el apartado anterior y conjuntamente con sus metadatos, con los niveles más elevados de precisión y desagregación, y añade que tanto el formato como los metadatos han de cumplir con los estándares y normas formales 4

5 abiertas. El artículo 8, por su parte, concreta las condiciones de reutilización entre las que se recoge la prohibición de revertir el procedimiento de disociación mediante la adición de nuevos datos obtenidos de otras fuentes, como medida para evitar la identificación de los interesados en el proceso de reutilización. El artículo 9, relativo a las licencias, recoge la obligación de las Administraciones y organismos del sector público incluidos dentro del ámbito de aplicación de la Ley de fomentar el uso de las licencias abiertas con las mínimas restricciones posibles sobre la reutilización de la información; al tiempo, señala el contenido de las licencias. g) Conclusiones El último de los apartados de las Orientaciones recoge las siguientes conclusiones: 1. La Ley de reutilización no legitima por sí misma la difusión de datos personales ya que su tratamiento se rige por la LOPD. 2. La decisión sobre la reutilización de la información del sector público está condicionada por las limitaciones incluidas en la LTAIBG, en lo que afectan al tratamiento de datos personales, tal y como exige el artículo 3.4 de la Ley 37/2007. Estas limitaciones deben ponderarse de manera diferente según que los datos sean objeto de publicidad activa o estén relacionados con el ejercicio individual del derecho de acceso a la información pública (para más detalles se recomienda consultar el apartado 2 de este documento). 3. Para decidir si se facilitan datos personales con fines de reutilización es necesario examinar los riesgos para los interesados y las medidas que pueden minimizarlos mediante una evaluación de impacto sobre los datos personales (puede ampliar la información en el apartado 3 de este documento). 4. La alternativa más apropiada para permitir la reutilización de información pública que contenga datos personales es proceder a su anonimización, de forma que estén excluidos de la aplicación de la normativa de protección de datos personales. 5. La evolución tecnológica y la diversidad de fuentes disponibles con datos personales pueden dificultar una adecuada anonimización de la información. Por ello, la anonimizaciónexige evaluar los riesgos de que el reutilizador pueda reidentificar a las personas (para ampliar la información sobre estos riesgos puede consultar el apartado 4). Además, puede ampliar la información sobre cómo proceder a la anonimización consultando las Orientaciones elaboradas por la Agencia. 6. Para garantizar que no se reidentifiquen los datos personales, las medidas técnicas y organizativas dirigidas a anonimizarlos pueden complementarse con compromisos jurídicamente vinculantes (más información en el apartado 5). 7. La opción más apropiada para exigir compromisos jurídicos para evitar la reidentificación es la concesión de licencias específicas, prevista en la Ley 37/2007 (puede ampliar la información sobre este punto en el apartado 6). 8. La evaluación de impacto sobre los datos personales o sobre los riesgos de reidentificación si se opta por la anonimización puede ser realizada por la administración, pero también sería posible solicitar la colaboración de los 5

6 reutilizadores (véase el apartado 5). 6