Publicació d’actes administratius i d’altra informació amb dades de caràcter personal

Owned by Pol Puigdomènech (Unlicensed)
Last updated: Jan 03, 2023
4 min read

Les corporacions locals han de publicar, d’acord amb la normativa de transparència, actes administratius i d’altra informació que conté o pot contenir dades personals.

Es recomana la lectura de la Guia sobre Redacció i Publicitat de documents administratius que contenen dades de caràcter personal publicada el juliol de 2021 pel Grup de Treball de la Xarxa de Governs Transparents. En aquesta Guia s’hi poden trobar tant directrius i recomanacions per a la redacció de documents administratius amb dades personals com directrius per a la publicació d’actes administratius que contenen dades personals.

En primer lloc cal destacar que no sempre que existeix l’obligació de publicar un acte o document administratiu d’acord amb la normativa de transparència existeix base jurídica per a la publicació de les dades personals que aquest pugui contenir. És a dir, en moltes ocasions, des del punt de vista de la normativa de transparència hem de publicar actes administratius i documents sense que aquesta obligació impliqui fer públiques les dades personals (generalment identificatives) de les persones interessades que apareixen en aquests actes administratius o documents.

En aquests supòsits i per tal de no publicar dades personals innecessàries es recomana prioritzar la redacció dels actes i documents administratius objecte de publicitat utilitzant tècniques d’anonimització, pseudoanonimització i/o remissió als expedients de referència on consten aquestes dades personals sense fer-ne referència explícita a l’acte administratiu o document.

Pel que fa a l’anonimització de les dades personals, l’AEPD ha traduït una guia bàsica d’Anonimització de l’Autoritat de Protecció de dades de Singapur . La guia es complementa amb una eina gratuïta d’anonimització de dades, que l’AEPD posa a disposicions de les organitzacions de forma gratuïta.

En d’altres supòsits però, la normativa obliga i per tant habilita a la publicació de determinades dades personals (generalment identificatives) perquè existeix un interès públic en la seva difusió relacionat amb donar transparència a l’actuació administrativa amb l’objectiu que qualsevol persona tingui coneixement, no només de l’actuació administrativa sinó també de les persones afectades o beneficiades per l’acte administratiu objecte de publicació. En aquests supòsits no es podran aplicar les tècniques d’anonimització, pseudoanonimització i/o remissió als codis,  números d’expedient o d’altres identificadors resultants del procediment administratiu.

Alguns dels exemples més comuns d’aquest tipus de publicacions vinculades a obligacions de publicitat activa del Capítol II de la LTCat podrien ser: les persones beneficiàries de subvencions i ajuts públics, els resultats de les convocatòries de personal, les llistes de personal per processos de formació i/o promoció, les resolucions sobre el règim d’incompatibilitats dels empleats públics entre d’altres.

En aplicació del principi de minimització en la publicació de dades personals en actes administratius i d’altres informacions objecte de publicació als Portals de Transparència quan sigui necessària la identificació de les persones interessades cal tenir en compte les directrius establertes a la Disposició Addicional 7a de la Llei Orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia de drets digitals (LOPDGDD):

  • En cap cas s’ha de publicar el nom i cognoms complet de l’interessat de manera conjunta amb el número complet de document nacional d’identitat, del número d’identitat d’estranger, passaport o document equivalent.

  • Identificar els interessats mitjançant el seu nom i cognoms afegint quatre xifres numèriques aleatòries del document nacional d’identitat, del número d’identitat d’estranger, passaport o document equivalent.

  • Alternar les xifres aleatòries dels documents identificatius dels interessats quan la publicació refereixi a una pluralitat de persones.

L’APDCAT va publicar, el dia 4 de març de 2019 una orientació provisional, acordada conjuntament amb les altres autoritats de control de l’Estat competents en matèria de protecció de dades, sobre com aplicar les pautes establertes a l’esmentada DA7  de la LOPDGDD. Els criteris generals són els següents:

  • Persones que disposen de DNI. Es faran constar nom i cognoms i els dígits quart, cinquè, sisè i setè del DNI. Així, si el DNI fos 12345678-X es consignarà ***4567**.

  • Persones que disposen de NIE. Es faran constar nom i cognoms i, evitant el primer caràcter alfabètic, els dígits quart, cinquè, sisè i setè. Si el NIE fos L1234567X s’indicarà únicament **** 4567 *.

  • Persones que s’identifiquen amb passaport. Es faran constar nom i cognoms i els quatre darrers dígits. En el cas d’un passaport amb format ABC123456 es publicarà *** 3456.

  • ·Persones que s’identifiquin amb qualsevol altre tipus d’identificació que contingui almenys 7 dígits numèrics (numerant dígits d’esquerra a dreta i evitant els de caràcter alfabètic) es publicaran els dígits que ocupin les posicions quarta, cinquena, sisena i setena. Per exemple, en el cas de l’identificador com: XY12345678AB, la publicació seria: *****4567***.

  • ·Persones que s’identifiquin amb una identificació diferent a un passaport amb menys de 7 dígits numèrics s’hauran d’enumerar tots els caràcters, també els alfabètics, i es publicaran els que ocupin les darreres quatre posicions. Per exemple, en cas d’identificador com: ABCD123XY, la publicació seria: *****23XY.

Sempre que sigui necessari portar a terme tècniques d’anonimització o pseudoanonimització cal tenir en compte que en cap cas els actes o documents publicats hauran d’incloure el CSV (Codi Segur de Verificació) perquè la seva publicació permetria la visualització del document original en el que hi consten les dades personals de les persones identificades o identificables (CNS 23/2021). Tampoc seria correcte utilitzar un rectangle negre sobre el text com a tècnica d’anonimització per tal d’impossibilitar la visualització de les dades identificatives de les persones els noms i cognoms de les quals consten en actes administratius i documents que cal anonimitzar perquè no es disposa de la base legal necessària d’acord al principi de licitud per fer-les públiques (PS/00134/2021 AEPD).

A banda d’aquests criteris generals es recomana la lectura de les clàusules específiques de protecció de dades per cada un dels ítems del portal de transparència de https://municat.gencat.cat/ca/Temes/Transparencia/Items-de-transparencia/ ja que existeixen excepcions als criteris anteriorment esmentats en àmbits en els que els beneficiaris de determinats actes administratius pertanyen a col·lectius vulnerables com per exemple podrien ser els beneficiaris de subvencions i ajuts atorgades per motius de vulnerabilitat social (article 45.5 Decret 8/2021). En aquests supòsits serà necessari aplicar tècniques d’anonimització i/o pseudoanonimització que no permetin identificar-ne els beneficiaris.

També podeu consultar les https://suportddgi.atlassian.net/wiki/spaces/BGTPC/pages/2257846290 i les https://suportddgi.atlassian.net/wiki/spaces/BGTPC/pages/2258501635 .