Abuse of Identification by Institutions vs Minimization of Data

← Volver al inicio del Informe

1 – ABUSO DE IDENTIFICACIÓN POR PARTE DE LAS INSTITUCIONES vs MINIMIZACIÓN DE DATOS DESDE EL DISEÑO Y POR DEFECTO

ÍNDICE

ABUSO DE IDENTIFICACIÓN POR PARTE DE LAS INSTITUCIONES vs MINIMIZACIÓN DE DATOS DESDE EL DISEÑO Y POR DEFECTO

RECOMENDACIONES

RECOMENDACIONES DE BUENAS PRÁCTICAS PARA LAS INSTITUCIONES Y EMPRESAS SISTÉMICAS

ENMIENDAS A LA LEY

ANÁLISIS DEL DESARROLLO LEGISLATIVO

ANEXO

ANÁLISIS DE LA JURISPRUDENCIA Y RESOLUCIONES RELEVANTES

LISTADO DE LEGISLACIÓN Y ARTÍCULOS RELEVANTES

ABUSO DE IDENTIFICACIÓN POR PARTE DE LAS INSTITUCIONES vs MINIMIZACIÓN DE DATOS DESDE EL DISEÑO Y POR DEFECTO

“En general, un buen sistema de protección de datos se caracteriza por el hecho de que las organizaciones responsables del tratamiento de nuestra información personal conocen muy bien sus obligaciones normativas y los ciudadanos conocemos muy bien nuestros derechos y los medios para ejercerlos. La máxima expresión de este axioma es un estadio en el que la intervención de las autoridades de control no sea necesaria. Sin embargo, la realidad presente dista mucho de contar con un sistema perfecto capaz de autorregularse por sí mismo. (…) No en vano, el modelo europeo de protección de datos centra su enfoque en el refuerzo de los derechos de los ciudadanos, así como de las obligaciones de las organizaciones en el marco de la denominada responsabilidad proactiva. El cambio de paradigma que tuvo lugar con la aprobación del Reglamento General de Protección de Datos (en adelante, RGPD), profundiza en el empoderamiento de las personas sobre su propia información, cimentado en la transparencia de las organizaciones sobre el uso que se hace de la misma. Se pretende erradicar la asimetría, el desequilibrio de poder que genera la opacidad, el “poder ver sin ser visto” sobre el que disertaba Foucault hace ya medio siglo”.(1)

El derecho de las personas a acceder a la información pública es un derecho reconocido. Además, la casi totalidad de los Estados Miembros de la Unión Europea, ya disponían de alguna regulación sobre la transparencia y el derecho de acceso a la información pública cuando en España se aprobó la Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la Información Pública y Buen Gobierno, desarrollando el artículo 105.b) de la Constitución Española.
A esto se le ha de añadir la obligación de las y los servidores públicos responsables de una tarea de identificarse cuando prestan un servicio (art. 53 de la Ley 39/2015).

La transparencia de las instituciones y corporaciones es fundamental para la demo-cracia, el derecho a proporcionar y recibir información veraz, el control de los poderes públicos, la protección del interés general, preservar la rendición de cuentas y la integridad en el sector público, inhibiendo la corrupción o simplemente garantizar una suficiente agilidad de las instituciones en sus relaciones con la ciudadanía y las y los usuarios.

Aún así, no toda la información que debería ser publicada por las Administraciones y corporaciones sistémicas lo es, y no siempre se publica correctamente. Además, el acceso a la información que debería ser pública y no se encuentra publicada, se desincentiva a través de los requisitos que se exigen para obtenerla. Se mantiene así una todavía considerable opacidad de las instituciones, mientras se exige a la ciudadanía exponerse demasiado si quiere ejercer su derecho de acceso a la información. No nos estamos refiriendo solo a información de una cierta complejidad, sino también a información trivial y de uso cotidiano como la información sobre servicios, tarifas o similares.
Ejemplo: servicio de información de empresa de telefonía –>

En el Estado español encontramos prácticas establecidas desde hace años según las cuales se recogen datos desproporcionados de la ciudadanía, sin motivo aparente alguno, lo que se ha incrementado desde 2015 cuando se aprobó la nueva Ley de Procedimiento Administrativo (e incluso con la Ley de Transparencia) con la obligación de identificación de todas las personas usuarias sistemática y por defecto.

La aplicación del nuevo Reglamento europeo de Protección de Datos y la adaptación del derecho nacional al mismo hubiera permitido al legislador español revertir la situación sobre esta recogida de datos. Sin embargo, no encontramos en la nueva (2018) Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales ninguna mejora sustancial relacionada con este aspecto, y aunque en algunas corporaciones y administraciones se ha reducido la cantidad de datos que se recogen de las y los consumidores y usuarios, esta no es una práctica habitual.

En este contexto se enmarca también la histórica crítica de Xnet a la demagogia con la que se está legislando la justa reivindicación de la sociedad civil para que haya registros de grupos de intereses. En este momento, estos registros desorganizados obligan mucho más a la ciudadanía que no a quienes realmente deberían hacer aflorar, perpetrando la asimetría de poder y desincentivando la participación activa de las personas en la gestión pública.(2)

Colisión con el Reglamento Europeo de Protección de Datos (RGPD)

En el transcurso del posgrado dirigido por Simona Levi y Cristina Ribas sobre Tecnopolítica y Derechos en la Era Digital, algunos de las y los participantes han realizado solicitudes de información a distintas administraciones públicas y corporaciones sobre la cantidad de datos requeridos para la realización de estos trámites, preguntando sobre el motivo de cada uno de dichos requerimientos, en algunos casos obtuvieron que se eliminasen algunos. La Administración requiere identificación para la realización de cualquier actuación o trámite ante la misma, incluyendo las solicitudes realizadas vía la Ley de Transparencia, además de otras comunicaciones tan sencillas como quejas y sugerencias. Lo establece la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPAC)(3) o, en otros casos, como veremos, la Ley de transparencia.

Las Administraciones Públicas tienen la obligación de pedir un gran número de datos. Esto se deriva del hecho anacrónico de que toda relación entre ciudadanía e instituciones se considere un “trámite administrativo”, incluso para poder conocer informaciones que, por ley, por políticas o simplemente por lógica, deben ser públicas. Como veremos en el siguiente apartado, la ley que impone estos procedimientos farragosos creemos que choca con la Ley europea superior.

De hecho, una de las reivindicaciones históricas de la sociedad civil que han dado origen al Reglamento General de Protección de Datos al que está subordinada la Ley Orgánica de Protección de Datos española, es la de no pedir a la ciudadanía más datos de los estrictamente necesarios para que su privacidad no se vea expuesta por una circulación excesiva de datos personales. A este principio se le llama “minimización” y surge especialmente de las reivindicaciones de la sociedad civil alemana que sufrió a mano de la Stasi la más grande operación de vigilancia y recolección de datos personales jamás conocida en la época predigital.

Cuanto a los procedimientos de las grandes empresas sistémicas que también piden más datos de los necesarios y a las que se les debería aplicar directamente la obligación de minimización, esto no ocurre en la mayoría de los casos(4). Esto es agravado por el hecho de que cuando los consumidores detectan irregularidades en el tratamiento de sus datos deban reclamar ante la Agencia Española de Protección de Datos (AEPD) para alertar de ello con resultados que llegan a cuenta gotas y no implican un cambio general de la situación. Creemos que la AEPD que dispone de poderes de supervisión sobre las empresas españolas, podría actuar previa y proactivamente, como en algunos casos ya se ha empezado a hacer.

Las leyes administrativas no sólo exigen que la identificación de los ciudadanos se realice, sino que impone condiciones a dicha identificación. Además, en el ámbito digital, es habitual que se exija la identificación por medio de certificados electrónicos u otros medios que las Administraciones establezcan(5). En el caso de uso de certificados electrónicos, cada Administración escoge la información que recopila de los mismos(6), sin que en general se informe al ciudadano de los datos efectivamente recogidos ni de la finalidad por la que van a ser utilizados ulteriormente (a parte de la identificación del ciudadano).

Los requisitos de comprobación de la identidad de la ciudadanía para todo trámite que quieran llevar a cabo ante las administraciones públicas colisionan directamente con el RGPD según el cual sólo deben recogerse los datos adecuados, pertinentes y no excesivos de acuerdo con los fines para los que son recogidos y antes de recogerlos debe establecerse qué datos serán recogidos por defecto y por qué.
Las leyes administrativas aprobadas en 2013 y 2015 exigen por defecto que las administraciones recojan más datos de los que son necesarios para decidir si permiten a los solicitantes acceder a la información pública o no.

En principio, los datos identificativos no son necesarios para resolver y responder a las solicitudes de acceso a información pública.
Por lo tanto, consideramos que deberían modificarse estas normas para permitir la realización solicitudes y otros trámites sin necesidad de identificar las personas, lo que permitiría que la ciudadanía pudiese controlar las instituciones sin miedo a represalias además de reducir al mismo tiempo la burocracia por la que debe pasarse actualmente para acceder a la información. Quienes deberían identificar el expediente para su seguimiento, trazabilidad y demostrar que están respondiendo a las peticiones, deberían ser solamente las instituciones por medio de códigos identificativos para el usuario u otros sistemas parecidos.

Identificación prescindible de los solicitantes de información pública

En las comparaciones de las leyes de transparencia de distintos países publicadas en la página del Consejo de Transparencia y Buen Gobierno(7,8), puede observarse que en la mayoría de países la solicitud de información pública puede realizarse sin identificarse o utilizando una palabra de reconocimiento que no debe coincidir con el nombre real de la persona, siendo España uno de los pocos países en que se verifica obligatoriamente que la identidad del solicitante coincide con su identidad real mediante la comprobación del DNI, documento equivalente o certificado electrónico. Además, en la mayoría de Estados que se analizan no se requieren la utilización de certificados o firmas electrónicas y es suficiente disponer de una dirección de correo electrónico para realizar la solicitud. Los sistemas en los distintos países son los siguientes:

Xnet, teniendo en cuenta que las normas internacionales permiten que los Estados reconozcan el derecho a la privacidad de quien pide información pública, salvo cuando la identificación sea esencial para tramitar la solicitud de información, considera que requerir la identificación de los solicitantes es excesivo cuando se solicita el acceso a información pública, pudiendo en ciertos casos incluso desincentivar las solicitudes de información por temor a posibles represalias. Además, debemos ser conscientes que algunas de las solicitudes de información que se realizan se refieren a información que debería haber sido publicada por la Administración. Por lo tanto, es ilógico requerir al solicitante que se identifique cuando debería poder acceder a dicha información libremente y no puede hacerlo a causa del incumplimiento de la Administración de su deber de publicar dicha información.

La identificación no es necesaria para acceder a información pública, ya que para decidir sobre las solicitudes, las administraciones deben hacerlo de manera objetiva, es decir, tomando sólo en consideración la información que se solicita y los límites de acceso establecidos por ejemplo en la Ley de transparencia como son la protección de datos personales de las personas que pueden aparecer en la información y la protección de intereses generales como pueden ser la seguridad pública, la protección del medio ambiente, intereses económicos y comerciales, etc.

Finalmente, ha sido admitido incluso por el Consejo de Transparencia y Buen Gobierno que los sistemas de identificación electrónica (Cl@ve y otros certificados electrónicos) pueden ser percibidos como una traba para el ejercicio del derecho de acceso a la información pública(9) en la medida que pueden resultar de difícil uso para la ciudadanía porque son sistemas complejos en cualquiera de sus modalidades, además de discriminar tanto a las personas jurídicas (empresas, asociaciones, etc.) que no tienen DNI ni pueden obtener certificados electrónicos y también discrimina las personas extranjeras que carecen de DNI o certificados electrónicos, e incluso europeas porque el sistema pensado para ellos no funciona para muchos países. De este modo, el Consejo de Transparencia y Buen Gobierno admite que los sistemas de identificación suponen una traba, sin entrar a valorar si la identificación puede percibirse también como una traba al ejercicio del derecho de acceso a la información pública.

Prescindible identificación en el uso de servicios privados

Tenemos derecho a utilizar un servicio sin revelar datos adicionales a los necesarios para su uso. Si una empresa u organización desea procesar datos personales que no son estrictamente necesarios para la prestación de un determinado servicio (por ejemplo, una aplicación de transporte que desea acceder a la lista de contactos de su teléfono), debe obtener el consentimiento explícito para procesar dichos datos y no debería plantearse como un “chantaje”, o sea sin datos no hay servicio. Existen salvedades en la Ley (art. 6.3. “No podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual”), pero las personas no lo saben. Que una empresa crea que ciertos datos son útiles para la prestación de su servicio, no siempre significa que sean necesarios. Eso permite también, por ejemplo, caminar hacia evitar el acoso y el atropello de la presunción de inocencia que practican muchas multinacionales de servicios como las de telefonía, luz y gas cuando persiguen clientes o supuestos deudores, aunque no se haya demostrado que lo sean.

RECOMENDACIONES

Fruto del análisis realizado, para garantizar y proteger el derecho de las personas a acceder a la información, en línea con la legislación internacional de derechos humanos, desde XNet recomendamos:

• Modificar las leyes administrativas, en particular la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPAC), la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de los derechos digitales, además de los protocolos de actuación internos a las instituciones y empresas para proteger la identidad de la ciudadanía cuando no es necesaria para acceder a los servicios prestados por la Administración o empresas.

El Ministerio de Presidencia señaló en 2017 su voluntad de simplificar el sistema de identificación de los solicitantes de información.(10) También hay expertos que se han postulado por una modificación de la Ley para revisar los criterios de identificación de los solicitantes de acceso a la información pública para que no disuadirlos del ejercicio de este derecho.(11)

En este sentido, Xnet considera necesario modificar las leyes administrativas y la Ley de Transparencia, para utilizar las facultades que las normas internacionales dan al Estado para que la identificación de la ciudadanía se requiera solo en casos imprescindibles y debidamente justificados.

En la misma línea, es conveniente prever disposiciones similares para que no se requiera la identificación personal de quienes, desde la sociedad civil organizada y sin ánimo de lucro, se reúnan o interpelen instituciones para aportar exigencias y recomendaciones para las legislaciones y políticas públicas. La transparencia bien entendida debería poner la presión sobre la agenda de las instituciones haciendo de obligado cumplimiento real la publicación de todas las reuniones llevadas a cabo tanto con lobistas profesionales como con la sociedad civil, esto sin necesidad de exponer los datos personales de estos últimos.

• Garantizar la minimización por defecto de los datos que se recogen.
Revisar las leyes y normas de uso frecuente, tanto por parte de operadores públicos como privados, que exigen la recogida de datos personales de las personas para asegurar que el derecho interno no colisiona con el europeo y estos no requieran por defecto más datos de los necesarios escudándose en la ley que deben aplicar, recogiendo solo los datos estrictamente necesarios para el servicio o finalidad que debe cumplirse. En caso de detectar que una norma requiere más datos de los que serían necesarios, promover regulaciones y leyes para su enmienda y adaptación a la nueva regulación de protección de datos personales.

• Exigir que la información de interés público sea puesta a disposición de la ciudadanía sin tener que solicitarla.
Como muchas organizaciones de la sociedad civil pedimos, poner más énfasis y sanciones en que se publique efectiva y debidamente la información que debe ser pública. Por otra parte, no hay impedimento para que las administraciones públicas y otras instituciones y organizaciones obligadas y no obligadas por la Ley publiquen voluntariamente más información de la exigida que pueda ser de interés público. Si las instituciones hacen pública la información, el acceso será directo por parte de la ciudadanía, sin necesidad de identificación alguna, garantizando así un acceso universal y gratuito. Son necesarias mejores sanciones cuando se incumplan las obligaciones de publicación de información en el ámbito de la Administración, las instituciones, los partidos políticos y de las empresas sistémicas. A este propósito recordamos otra reivindicación histórica cuanto a ampliar los sujetos y objetos de aplicación de la Ley de transparencia.

Las autoridades nos han manifestado su preocupación por el uso comercial que se hace de las informaciones que ellas ofrecen en la resolución a las consultas que se les plantean. Consideramos que se puede paliar este problema publicando las consultas de utilidad pública. Cobrar por información institucional que se puede conseguir públicamente es claramente una mala praxis.

• Inspeccionar las medidas adoptadas por parte de instituciones y empresas para proteger los datos personales de las personas.
La Agencia Española de Protección de Datos puede ampliar y normalizar la actuación proactiva que está llevando a cabo, haciendo extensivas a otras instituciones y empresas del mismo sector de actividad las investigaciones que realice. Cuanto a las grandes empresas es necesario que las sanciones sean proporcionadas pero consistentes ya que ha quedado demostrado que las sanciones suelen ser inferiores a lo que las corporaciones ganan recopilando más datos de los necesarios(12). Debe reconocerse la obligación de quienes tratan datos personales de cumplir con las resoluciones de las autoridades cuando se encuentren en situaciones similares a las que se aplique una resolución.

• Reforzar el derecho de la ciudadanía a conocer el uso y destino de sus datos.
Exigir que se informe correctamente a la ciudadanía sobre las comunicaciones de datos que se llevaran a cabo y las finalidades de las mismas, también en los trámites voluntarios, para que esté bien informada y ejerza plenamente su derecho a la autodeterminación informativa reconocido por primera vez en Europa fue en la sentencia del Tribunal Constitucional Alemán de 15 de diciembre de 1983 y en España por el Tribunal Constitucional (STC 254/1993) que la llamó «libertad informática».

• Acortar mejor las definiciones de conceptos demasiado ambiguos, especialmente el de “intereses legítimos”.

RECOMENDACIONES DE BUENAS PRÁCTICAS PARA LAS INSTITUCIONES Y EMPRESAS SISTÉMICAS

ANTERIORES A MODIFICACIONES DE LA LEY PARA CREAR UN MARCO MÁS FAVORABLE AL RESPETO DE LAS LIBERTADES FUNDAMENTALES

• Publicar proactivamente la información institucional, de planificación, jurídica, económica, presupuestaria, estadística o de otra índole, Incluso la que no esté expresamente requerida por Ley, para así reducir el número de solicitudes de acceso, mediante una interpretación amplia de la obligación de publicidad activa prevista por la Ley de Transparencia. Valorar la aplicación de los límites al derecho de acceso de forma objetiva, haciendo por defecto abstracción de la identidad del solicitante.

• En los casos de información o consultas que se realicen frecuentemente a la institución, publicar la información y respuestas en un lugar fácilmente accesible, por ejemplo, mediante una página de preguntas/consultas frecuentes para que no sea preciso contactarla para su obtención. Las autoridades nos han manifestado su preocupación por el uso comercial que se hace de las informaciones que ellas ofrecen en la resolución a las consultas que se les plantean. Consideramos que se puede paliar este problema publicando las consultas de utilidad pública. Cobrar por información institucional que se puede conseguir públicamente es claramente una mala praxis.

• Revisar las políticas existentes en las administraciones, instituciones y grandes empresas sobre la recogida de datos personales para que no recojan más datos de los estrictamente legales y necesarios para los distintos trámites que la ciudadanía puede llevar a cabo.

• Iniciar un mayor número de procedimientos de inspección en las instituciones y grandes empresas para detectar informaciones que deberían ser públicas, pero que sin embargo no han sido objeto de publicación activa así como las infracciones de protección de datos, además de aplicar con mayor agilidad las resoluciones a los actores análogos.

• Adoptar actos normativos, protocolos o procedimientos internos en los que no se requiera la identificación de los solicitantes en base a los estándares internacionales que lo permiten, para así facilitar el ejercicio del derecho de acceso por parte de la ciudadanía. Ejemplos que pueden tomarse en cuenta para este fin son el Protocolo del Consejo General del Poder Judicial(13), la Ordenanza de Transparencia del Ayuntamiento de Madrid(14) o el Buzón Ético del Ayuntamiento de Barcelona, comentados en el análisis del desarrollo legislativo del presente informe.

En la misma línea, es conveniente prever disposiciones similares para que no se requiera la identificación personal de quienes, desde la sociedad civil organizada y sin ánimo de lucro, aporten exigencias y recomendaciones para las legislaciones y políticas públicas y sí hacer de obligado cumplimiento la publicación por parte de los cargos públicos de todas las reuniones llevadas a cabo tanto con lobistas profesionales como con la sociedad civil, esto sin necesidad de exponer los datos personales de estos últimos.

• Desincentivar los incumplimientos.

• Incentivar estas prácticas en el sector privado.

ENMIENDAS A LA LEY

Modificación de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas

Para alcanzar el fin propuesto, debemos solicitar la enmienda de dos artículos de la Ley:
Con la modificación del apartado 1 del Artículo 9. “Sistemas de identificación de los interesados en el procedimiento”, que quedaría redactado como sigue:

1. Las Administraciones Públicas están obligadas a verificar la identidad de los interesados en el procedimiento administrativo, salvo en los casos previstos en el segundo párrafo del apartado 1 del artículo 11 de esta Ley, mediante la comprobación de su nombre y apellidos o denominación o razón social, según corresponda, que consten en el Documento Nacional de Identidad o documento identificativo equivalente.

Asimismo, se debe introducir un nuevo párrafo en el apartado 1 del Artículo 11. “Uso de medios de identificación y firma en el procedimiento administrativo”, que quedaría redactado como sigue:

1. Con carácter general, para realizar cualquier actuación prevista en el procedimiento administrativo, será suficiente con que los interesados acrediten previamente su identidad a través de cualquiera de los medios de identificación previstos en esta Ley.
Los interesados no deberán acreditar su identidad cuando realicen simples consultas, quejas y sugerencias, peticiones de acceso a información pública o información de interés público de acuerdo con la Ley 19/2013 de Transparencia, acceso a la información púbica y buen gobierno.

Tampoco deberán acreditar su identidad cuando, desde la sociedad civil se organicen agrupaciones adhoc y sin ánimo de lucro, se reúnan o interpelen instituciones para aportar exigencias y recomendaciones para las legislaciones y políticas públicas, sugerencias, exigencias o críticas para la elaboración de leyes, reglamentos, políticas, planes y programas públicos (función de grupo de presión para el bien común), pudiendo registrar y proporcionar un nombre, plataforma, grupo informal o colectivo sin designar una persona concreta como representante ni indicar los datos personales de ninguno de sus integrantes, a diferencia de las consultoras y los grupos de presión profesionales que deberán inscribirse en el registro con todos los datos para su identificación.

Modificación de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno.

Para alcanzar el fin propuesto, debemos solicitar la enmienda de un artículo de la Ley, eliminando el punto “a) La identidad del solicitante” del apartado 2 del artículo 17 “Solicitud de acceso a la información”, que quedaría redactado como sigue:

2. La solicitud podrá presentarse por cualquier medio que permita tener constancia de:

a) La información que se solicita.
b) Una dirección de contacto, preferentemente electrónica, a efectos de comunicaciones.
c) En su caso, la modalidad que se prefiera para acceder a la información solicitada.

Además de la introducción de un nuevo apartado 3 del mismo artículo, que quedaría redactado como sigue:

3. El solicitante no está obligado a proporcionar su identidad real en su solicitud de acceso a la información. La ausencia de identificación no será por si sola causa de rechazo o inadmisión de la solicitud.
La identificación del solicitante sólo podrá requerirse cuando sea esencial para valorar su solicitud, debiendo la institución justificar debidamente dicho requerimiento

Los apartados 3 y 4 actuales pasarán a ser, respectivamente los apartados 4 y 5.

Para incrementar las posibilidades de control, tanto del sector público como privado, es altamente recomendable ampliar las posibilidades de publicación de información de forma proactiva y prever la inclusión de corporaciones sistémicas dentro del ámbito de aplicación de la Ley de Transparencia. De mismo modo, es necesaria la definición de sanciones sin las cuales la Ley es papel mojado.

Para incrementar las posibilidades de control de los procedimientos para la elaboración de leyes, reglamentos, políticas, planes y programas públicos, es también altamente recomendable que se exija la publicación de las agendas y reuniones llevadas a cabo por miembros y responsables de las instituciones tanto con lobistas profesionales como con la sociedad civil. En el primer caso, identificando de forma clara el grupo o entidad representada y en el segundo aplicando la siguiente enmienda al artículo 11.1 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas:

Tampoco deberían indicarse datos personales tales como domicilios o similares cuando, desde la sociedad civil se organicen agrupaciones adhoc y sin ánimo de lucro, se reúnan o interpelen instituciones para aportar exigencias y recomendaciones para las legislaciones y políticas públicas, sugerencias, exigencias o críticas para la elaboración de leyes, reglamentos, políticas, planes y programas públicos (función de grupo de presión para el bien común), pudiendo registrar y proporcionar un nombre, plataforma, grupo informal o colectivo, para que estas agrupaciones tengan una protección igual o superior a la de los lobistas profesiones. Estos – las consultoras y los grupos de presión profesionales – deberán inscribirse en el registro con sus datos profesionales de identificación completos.

Modificación de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de los derechos digitales

Para alcanzar el fin propuesto, debemos solicitar la enmienda de la Ley para acotar las definiciones de conceptos genéricos existentes tanto en el Reglamento (UE) 2016/679 General de Protección de Datos como en la Ley, tales como “tratamientos a gran escala”, y específicamente las relativas al “interés legítimo” como base jurídica de legitimación del tratamiento.

Además de la introducción de un nuevo párrafo en el artículo 50. “Publicidad”, que quedaría redactado como sigue:

La Agencia Española de Protección de Datos publicará las resoluciones de su Presidencia que declaren haber lugar o no a la atención de los derechos reconocidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, las que pongan fin a los procedimientos de reclamación, las que archiven las actuaciones previas de investigación, las que sancionen con apercibimiento a las entidades a que se refiere el artículo 77.1 de esta ley orgánica, las que impongan medidas cautelares y las demás que disponga su Estatuto.
Las resoluciones y sus indicaciones serán de obligado cumplimiento para todo responsable y/o encargado del tratamiento que se encuentre en una situación análoga a las de los supuestos objeto de las mismas.

Modificación del Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias

Para alcanzar el fin propuesto, debemos solicitar la enmienda de un artículo de la Ley:

Con la introducción de dos nuevos apartados, g) y h), en el Artículo 8. “Derechos básicos de los consumidores y usuarios”, que quedaría redactado como sigue:

Son derechos básicos de los consumidores y usuarios:
a) La protección contra los riesgos que puedan afectar su salud o seguridad.
b) La protección de sus legítimos intereses económicos y sociales; en particular frente a las prácticas comerciales desleales y la inclusión de cláusulas abusivas en los contratos.
c) La indemnización de los daños y la reparación de los perjuicios sufridos.
d) La información correcta sobre los diferentes bienes o servicios y la educación y divulgación para facilitar el conocimiento sobre su adecuado uso, consumo o disfrute.
e) La audiencia en consulta, la participación en el procedimiento de elaboración de las disposiciones generales que les afectan directamente y la representación de sus intereses, a través de las asociaciones, agrupaciones, federaciones o confederaciones de consumidores y usuarios legalmente constituidas.
f) La protección de sus derechos mediante procedimientos eficaces, en especial ante situaciones de inferioridad, subordinación e indefensión.
g) El derecho de acceso a la información de interés público sobre las empresas sujetos a esta Ley.
h) El derecho a la protección de sus datos personales, conforme la legislación en vigor, y en especial a los principios relativos al tratamiento previstos en el artículo 5 del Reglamento (UE) 2016/679 General de Protección de Datos.

ANÁLISIS DEL DESARROLLO LEGISLATIVO

El derecho de las personas a acceder a la información pública se encuentra protegido tanto a nivel internacional, como europeo ya sea como parte del derecho a la libertad de expresión e información o como derecho autónomo:

Además, en España se aprobó la Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la Información Pública y Buen Gobierno (en adelante, LTAIBG) que desarrolla el artículo 105.b) de la Constitución Española, según el cual la ley debe regular “el acceso de los ciudadanos a los archivos y registros administrativos, salvo en lo que afecte a la seguridad y defensa del Estado, la averiguación de los delitos y la intimidad de las personas.”

En este sentido, el derecho de acceso a la información pública se encuentra específicamente previsto en el artículo 12 de la LTAIBG tanto en el ámbito estatal como en el ámbito autonómico. Se configura como un derecho universal disponible a “todas las personas”, es decir, que debe poder ejercerse sin ser víctima de discriminación alguna. La ley en este sentido concuerda con las normas internacionales que no distinguen entre los solicitantes, el derecho aplicándose tanto a personas físicas como jurídicas(15), sin discriminación por motivo de nacionalidad o residencia, incluyendo a europeos y extranjeros(16), o por edad, formación, recursos, circunstancias personales o condición o situación social.
Además, de acuerdo con el artículo 17.3 LTAIBG, no debe justificarse ningún interés del solicitante en la solicitud de información, sin que la administración pueda denegar el acceso por ello. Indicar los motivos por los que se solicita la información es opcional. En caso de indicarlos, la administración podrá tenerlos en cuenta a la hora de decidir si concede el acceso o no.

El artículo 13 de la LTAIBG define el concepto de información pública del siguiente modo:

“Se entiende por información pública los contenidos o documentos, cualquiera que sea su formato o soporte, que obren en poder de alguno de los sujetos incluidos en el ámbito de aplicación de este título y que hayan sido elaborados o adquiridos en el ejercicio de sus funciones.”

Además de esta información, la ciudadanía tiene derecho a conocer otra información que debe ser objeto de publicación activa por parte de las Administraciones públicas, esta información incluye “información cuyo conocimiento sea relevante para garantizar la transparencia de su actividad relacionada con el funcionamiento y control de la actuación pública” según el artículo 5 de la LTAIBG, que viene concretada en los siguientes artículos que se refieren a “información institucional, organizativa y de planificación” (artículo 6 LTAIBG), el “registro de actividades de tratamiento” (artículo 6bis LTAIBG), “información de relevancia jurídica” (artículo 7 LTAIBG) e “información económica, presupuestaria y estadística” (artículo 8 LTAIBG).

Los “sujetos incluidos en el ámbito de aplicación de este título”, es decir, a los que se les puede solicitar información elaborada o adquirida por ellos incluyen las instituciones previstas en los artículos 2 y 4 de la LTAIBG:

Artículo 2. Ámbito subjetivo de aplicación.

a) La Administración General del Estado, las Administraciones de las Comunidades Autónomas y de las Ciudades de Ceuta y Melilla y las entidades que integran la Administración Local.

b) Las entidades gestoras y los servicios comunes de la Seguridad Social, así como las mutuas de accidentes de trabajo y enfermedades profesionales colaboradoras de la Seguridad Social.

c) Los organismos autónomos, las Agencias Estatales, las entidades públicas empresariales y las entidades de Derecho Público que, con independencia funcional o con una especial autonomía reconocida por la Ley, tengan atribuidas funciones de regulación o supervisión de carácter externo sobre un determinado sector o actividad.

d) Las entidades de Derecho Público con personalidad jurídica propia, vinculadas a cualquiera de las Administraciones Públicas o dependientes de ellas, incluidas las Universidades públicas.

e) Las corporaciones de Derecho Público, en lo relativo a sus actividades sujetas a Derecho Administrativo.

f) La Casa de su Majestad el Rey, el Congreso de los Diputados, el Senado, el Tribunal Constitucional y el Consejo General del Poder Judicial, así como el Banco de España, el Consejo de Estado, el Defensor del Pueblo, el Tribunal de Cuentas, el Consejo Económico y Social y las instituciones autonómicas análogas, en relación con sus actividades sujetas a Derecho Administrativo.

g) Las sociedades mercantiles en cuyo capital social la participación, directa o indirecta, de las entidades previstas en este artículo sea superior al 50 por 100.

h) Las fundaciones del sector público previstas en la legislación en materia de fundaciones.

i) Las asociaciones constituidas por las Administraciones, organismos y entidades previstos en este artículo. Se incluyen los órganos de cooperación previstos en el artículo 5 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, en la medida en que, por su peculiar naturaleza y por carecer de una estructura administrativa propia, le resulten aplicables las disposiciones de este título. En estos casos, el cumplimiento de las obligaciones derivadas de la presente Ley serán llevadas a cabo por la Administración que ostente la Secretaría del órgano de cooperación.

Artículo 4. Obligación de suministrar información.

Las personas físicas y jurídicas distintas de las referidas en los artículos anteriores que presten servicios públicos o ejerzan potestades administrativas estarán obligadas a suministrar a la Administración, organismo o entidad de las previstas en el artículo 2.1 a la que se encuentren vinculadas, previo requerimiento, toda la información necesaria para el cumplimiento por aquéllos de las obligaciones previstas en este título.
Esta obligación se extenderá a los adjudicatarios de contratos del sector público en los términos previstos en el respectivo contrato.

Se excluyen entre los obligados a proporcionar información cuando les es solicitada mediante el derecho de acceso a muchos sectores sensibles como los partidos políticos, sindicatos, organizaciones empresariales. Desde siempre las organizaciones de la sociedad civil que luchamos por la transparencia de las instituciones pedimos que se eliminen un gran número de estas exclusiones.
En lo que respecta a los límites del derecho de acceso a información pública, se encuentran previstos en los artículos 14 y 15 de la LTAIBG, a veces también mal empelados o discutibles.
En todo caso se limita el acceso a la información cuando la difusión de la misma pueda suponer un perjuicio para: La seguridad nacional; La defensa; Las relaciones exteriores; La seguridad pública; La prevención, investigación y sanción de los ilícitos penales, administrativos o disciplinarios; La igualdad de las partes en los procesos judiciales y la tutela judicial efectiva; Las funciones administrativas de vigilancia, inspección y control; Los intereses económicos y comerciales; La política económica y monetaria; El secreto profesional y la propiedad intelectual e industrial: La garantía de la confidencialidad o el secreto requerido en procesos de toma de decisión; La protección del medio ambiente.

Cuando la información contenga datos “que revelen la ideología, afiliación sindical, religión o creencias (…) el origen racial, la salud o la vida sexual” o “incluyese datos genéticos o biométricos o contuviera datos relativos a la comisión de infracciones penales o administrativas que no conllevasen la amonestación pública al infractor”, solo podrá proporcionarse acceso a la misma cuando la persona cuyos datos contiene la información hubiese dado su consentimiento expreso o los hubiese hecho manifiestamente públicos los datos con anterioridad a que se solicitase el acceso (por ejemplo, publicándolos en redes sociales), salvo disociación de los mismos para impedir la identificación de la persona afectada.

Sobre este límite, el mismo artículo 15 LTAIBG admite que los datos personales que aparezcan en la información solicitada sean disociados para que el solicitante no pueda identificar la persona o personas afectadas, es decir, la información podrá proporcionarse al solicitante cuando los datos personales que no sean pertinentes y proporcionados sean anonimizados.

Hay motivos de inadmisión de las solicitudes que se encuentran enumerados en el artículo 18 LTAIBG, el cual indica que podrán inadmitirse las solicitudes cuando:

• La información tenga carácter auxiliar o de apoyo (borradores, notas, opiniones, resúmenes, comunicaciones e informes internos);

• La información deba reelaborarse antes de su divulgación;

• La solicitud se haya dirigido a un órgano que no es competente y se desconozca cual es el competente;

• Se trate de solicitudes manifiestamente repetitivas o abusivas.

Puede observarse que la falta de identificación del solicitante de información no constituye pues ni un límite ni una causa de inadmisión de la solicitud de acceso a información pública, pero es preciso examinar con más atención este requisito.

Apuntes sobre el requisito de identificación:

El artículo 17.2 LTAIBG establece que la solicitud de derecho de acceso deberá presentarse por cualquier medio que permita tener constancia de la identidad del solicitante, el acceso debiendo tener lugar preferentemente por vía electrónica (artículo 22.1 LTAIBG).

Si bien es cierto que la LTAIBG no establece que es necesario comprobar la identidad mediante la presentación del DNI o por medio de certificados electrónicos, en este aspecto se aplica de manera supletoria la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LPAC).
Encontramos en la LPAC el artículo 11.1 que requiere acreditar la identidad de la ciudadanía “con carácter general, para realizar cualquier actuación prevista en el procedimiento administrativo”, incluyendo en el campo de aplicación de este articulo cualquier actuación o trámite ante la Administración Pública, como serían las solicitudes realizadas vía la Ley de Transparencia, además de otras comunicaciones, quejas y sugerencias. Un ejemplo de la aplicación de este artículo puede encontrarse en el Portal de Transparencia de la Administración General del Estado dónde se justifica solicitar la identificación de la ciudadanía que ejerce el derecho de acceso a información pública del modo siguiente:

(17)

La LPAC no sólo exige comprobar la identidad de los solicitantes de información o personas que realizan algún trámite ante la Administración(18), sino que además impone condiciones a dicha comprobación en su artículo 9, debiendo proporcionarse el DNI o documento equivalente, y en el ámbito digital, es habitual que se exija la identificación por medio de certificados electrónicos u otros medios que las Administraciones establezcan (generalmente mediante: Cl@ve PIN, Cl@ve Permanente y DNI electrónico), como el mismo artículo indica.

Ha sido admitido incluso por el Consejo de Transparencia y Buen Gobierno en su memoria anual de 2015(19) que los sistemas de identificación electrónica (Cl@ve y otros certificados electrónicos) pueden ser una traba para el ejercicio del derecho de acceso a la información pública en la medida que pueden resultar de difícil uso para la ciudadanía porque son sistemas complejos en cualquiera de sus modalidades.

Además, de acuerdo con la misma memoria del Consejo de Transparencia y Buen Gobierno, estos sistemas de identificación electrónica resultan discriminatorios con:

(20)

• las personas jurídicas, porque no tienen DNI ni pueden obtener certificados electrónicos desde la entrada en vigor del Reglamento Europeo de firma electrónica en julio de 2016;

• la ciudadanía de la Unión Europea, porque aún poder verificar su identidad a través de la plataforma STORK de validación de firmas e identidades establecidas por los distintos Estados, no todos los países de la UE o del EEE están adheridos a dicha plataforma.

• las personas extranjeras de terceros países no pueden obtener acceso a información alguna al no poder ser comprobada su identidad, debiendo acudir en persona a las Embajadas españolas en caso de querer realizar una solicitud.(21)

Suprimir el requisito de la identificación no solo serviría para ser coherentes con la regulación internacional del derecho de acceso a la información pública, sino que facilitaría su ejercicio, garantizaría que se trata efectivamente de un derecho universal, y reduciría la burocracia que debe cumplirse actualmente para ejercerlo.

Apuntes sobre la normativa de protección de datos personales:

De la localización de la regulación del derecho a la protección de datos personales en la Constitución Española (artículo 18.4CE), bajo el Título dedicado a “los derechos y deberes fundamentales” puede fácilmente deducirse que el mismo constituye un derecho fundamental cuya regulación prima sobre la regulación del derecho de acceso de los ciudadanos a la información pública (artículo 105.b) CE) y la legislación administrativa.
Siendo así, durante la adaptación del ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos o Reglamento General de Protección de Datos (en adelante, RGPD), consideramos que el legislador español, cuando fue adoptada la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), no tuvo suficientemente en cuenta dos principios para evitar que se recojan datos excesivos de la ciudadanía:

• El principio de minimización de datos: no es un concepto nuevo en el ordenamiento jurídico español.

El artículo 5.1.c) del RGPD establece que los datos personales serán “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”, a lo que el Considerando 39 del mismo RGPD añade que “los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios”.

No sería un principio nuevo en el ordenamiento jurídico español. Quizás inspirada de la doctrina del Tribunal Constitucional que ya lo había establecido, la Federación Española de Municipios y Provincias aprobó una “Ordenanza tipo de transparencia, acceso a la información y reutilización”(22) la cual, en su artículo 26.1 indica que “Los órganos competentes para resolver las solicitudes de acceso a la información pública no requerirán a los solicitantes más datos sobre su identidad que los imprescindibles para poder resolver y notificar aquellas”.

El artículo 25 del RGPD remitiendo y precisando el principio anterior, establece:

aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.

2. El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.

3. Podrá utilizarse un mecanismo de certificación aprobado con arreglo al artículo 42 como elemento que acredite el cumplimiento de las obligaciones establecidas en los apartados 1 y 2 del presente artículo.”

Así, el RGPD dice que cuando se diseña un tratamiento de datos personales, debe garantizarse que por defecto sólo sean objeto de tratamiento los datos necesarios.
En este caso, el legislador es quien diseñó el tratamiento consistente en la recogida y comprobación de los datos identificativos de los solicitantes de acceso a la información pública por ley, en concreto la LTAIBG de 2013 y la LPAC de 2015. El RGPD se aprobó en 2016 y la LOPDGDD en 2018. En el proceso de elaboración de la LOPDGDD el legislador debió revisar normas de uso tan frecuente como las mencionadas para asegurar que el derecho interno no colisionaba con el europeo, pero no lo hizo. Así, nos encontramos que las administraciones públicas requieren por defecto más datos de los necesarios escudándose en la ley que deben aplicar, que no fue modificada para ser coherente con los estándares europeos.

Confirmando nuestra posición, encontramos:

RGPD

• El artículo 11 del RGPD, dedicado a los tratamientos que no requieren identificación, que indica que “si los fines para los cuales un responsable trata datos personales no requieren o ya no requieren la identificación de un interesado por el responsable, este no estará obligado a mantener, obtener o tratar información adicional con vistas a identificar al interesado con la única finalidad de cumplir el presente Reglamento.”

• La inclusión por parte del RGPD de la seudononimización como medida aplicable para garantizar el cumplimiento del mismo.

• El Reglamento (UE) 910/2014 sobre servicios de identificación electrónica y servicios fiduciarios para transacciones electrónicas en el mercado interior que además de recordar que la autenticación debe implicar exclusivamente el tratamiento de los datos identificativos adecuados, pertinentes y no excesivos para la concesión del acceso al servicio en línea de que se trate (considerando 11), establece la posibilidad de utilizar seudónimos (artículo 5) o de establecer niveles más bajos de identificación para ciertos servicios (considerando 15), incluidas las transacciones electrónicas que se llevan a cabo en los Estados miembros de la UE.

• El Buzón Ético de Xnet y el Ayuntamiento de Barcelona y sus réplicas

Xnet ha sido pionera en España reivindicando la importancia de proteger a las personas frente a la asimetría con los poderes establecidos y en particular cuando las personas revelan abusos sistémicos para el interés general (whistleblowers/alertadores). En esta labor ha instalado por primera vez en una institución – el Ayuntamiento de Barcelona- un buzón de alerta contra abusos sistémico completamente anónimo. A través de este buzón, la ciudadanía puede enviar denuncias, pistas o indicios de irregularidades para que sean investigados por el Ayuntamiento, quien también puede remitirlas a la institución pertinente al efecto. Este buzón conserva el poder de la ciudadanía de decidir si revela o no su identidad, permitiendo comunicar la información tanto de forma confidencial, es decir, proporcionando la propia identidad, como de forma anónima.

Este prototipo se ha replicado y continua replicándose en otras instituciones como las Oficina Antifraude de Catalunya y de la Comunidad Valenciana, entre otras y es recogido en la Proposición de Ley de Protección Integral de los Alertadores de Xnet, primera transposición europea de la Directiva (UE) 2019/1937, de 23 de octubre de 2019, del Parlamento Europeo y del Consejo sobre la Protección de las Personas que informen sobre infracciones, registrada en el Congreso de los Diputados: https://xnet-x.net/proposicion-ley-proteccion-integral-alertadores/.

(23)

“Será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable. Los empleados y terceros deberán ser informados acerca de la existencia de estos sistemas de información.”

Siguiendo este precepto y el camino abierto por Xnet, la Agencia Española de Protección de Datos, con la aprobación de su Código Ético en enero de 2020, incorporó un canal de consulta y alerta en los que no es preciso indicar la identidad de quién consulta o alerta sobre la comisión de incumplimientos del código ético, irregularidades o actos contrarios a la legalidad.

• Consejo General del Poder Judicial

Antes de la entrada en vigor de la LTAIBG el Consejo General del Poder Judicial (en adelante, CGPJ) puso en marcha su Portal de Transparencia y lo hizo sujetándose a los estándares internacionales fijados en el Convenio n.º 205 del Consejo de Europa sobre el Acceso a Documentos Públicos.

El 18 de noviembre de 2014 CGPJ adoptó un “Protocolo de Integración de la gestión de solicitudes de información de los ciudadanos en el funcionamiento de la organización interna del Consejo General del Poder Judicial”(25) donde se establece en su punto 1.1.1 lo siguiente:

El CGPJ tramitará todas las solicitudes de información con independencia de los datos de identificación proporcionados.

(31)
Sólo cuando se requiera un acceso cualificado (por ejemplo, si se solicita el acceso presencial a una gran cantidad de documentación) se exigirá una identificación.”

Justifica que no se requiera identificación del siguiente modo:

“Aunque la Ley 19/2013 exige la identificación del solicitante, la falta de necesidad de identificación del solicitante es un estándar internacionalmente fijado, al entenderse que el acceso a la información pública es un derecho fundamental de carácter universal en cuya garantía priman las obligaciones de transparencia de los poderes públicos frente a cualquier requisito impuesto al ciudadano que solicita el acceso”.

– El Ayuntamiento de Madrid

En la Ordenanza de Transparencia del Ayuntamiento de Madrid(26), a parte de prever el régimen general aplicable de acuerdo con la LTAIBG, se estableció la posibilidad de solicitar el acceso a información pública sin identificación del solicitante, el cual sólo debe facilitar una dirección de correo electrónico para que el Ayuntamiento pueda comunicarle su decisión y, en su caso, la información solicitada. En todo caso, la Ordenanza indica que de no ser concedido el acceso a la información el solicitante no podrá impugnar la resolución, pero podrá volver a solicitarlo mediante la aplicación de la Ley de Transparencia, esta vez haciendo constar su identidad.

ANEXO

ANÁLISIS DE LA JURISPRUDENCIA Y RESOLUCIONES RELEVANTES

Jurisprudencia y resoluciones internacionales

El Tribunal Europeo de Derechos Humanos, el 14 de abril de 2009, en el caso Tásaság a Szabadsñagjogokért c. Hungría(27) admitió que constituye una vulneración del artículo 10 del Convenio Europeo de Derechos Humanos, referido a la libertad de expresión e información, el hecho de negar a una ONG dedicada a la promoción de los derechos fundamentales el acceso al recurso presentado ante el Tribunal Constitucional por un parlamentario, entre otros, para que el tribunal revisase las enmiendas realizadas al Código Penal, considerando que dicho recurso, y en particular cuando es presentada por un miembro del Parlamento, constituye indudablemente una cuestión de interés público.
El Tribunal Europeo aprovechó para recordar la jurisprudencia sistemática del mismo relacionada con la libertad de prensa según la cual el público tiene derecho a recibir información de interés general.

Jurisprudencia y resoluciones nacionales

Tras la entrada en vigor el 10 de diciembre de 2014 de la Ley 19/2019 de Transparencia, acceso a la información pública y buen gobierno, el 17 de diciembre de 2014, Access Info Europe presentó una queja ante el Defensor del Pueblo(28) en la que, entre otros, manifestaba que era contraria a la aplicación del requisito de hacer constar la identidad del solicitante del artículo 17.2.a) de la Ley 19/2013 en las solicitudes de acceso a la información pública. Lo hacía alegando que la identidad del solicitante era irrelevante cuando se solicitaba dicho acceso y por lo tanto constituía una formalidad innecesaria que requería más esfuerzos y recursos de los que serían necesarios para cumplir con la finalidad de la Ley de transparencia, suponiendo al mismo tiempo una traba para el acceso a la información pública, siendo la no-identificación un factor clave para que la sociedad civil pueda ejercer sus derechos.

A esta queja, el Defensor del Pueblo respondió el 15 de marzo de 2015(29), y sobre la cuestión relativa al requisito de identificación expuso lo siguiente:

“Por último, hay que señalar que en nuestro Derecho las solicitudes anónimas no tienen validez ni producen efectos jurídicos. Tanto del artículo 70 de la Ley 30/1992, como del 17.2 de la Ley 19/2013 se desprende con claridad que es necesario acreditar el nombre y apellidos de la persona física o el nombre de la persona jurídica que ejerza el derecho de acceso. No cabe, como defiende ACCESS INFO EUROPE una solicitud anónima, porque así se desprende sin género de dudas del tenor literal del artículo 17.2.a) y 70.1.a) y d) de la Ley, pero también porque existen una serie de límites al derecho de acceso que habrán de ser ponderados atendiendo a los intereses en juego (artículo 14 de la Ley 19/2013), obligaciones referidas a la protección de datos (artículo 15 de la Ley 19/2013) y causas de no admisión de las solicitudes de acceso, como la de que sea manifiestamente repetitiva o tengan un carácter abusivo o injustificado con la finalidad de transparencia (artículo 18 de la Ley 19/2013), en cuya valoración y estudio puede ser relevante e incluso determinante la identidad del solicitante.”

Así, el Defensor del Pueblo se limitó a confirmar el contenido de la Ley, sin hacer referencia a los tratados internacionales, de los que España es parte, que regulan el supuesto que le fue presentado, entre los cuales, la mayoría reconocen el derecho de obtener información y el Convenio núm. 205 del Consejo de Europa admite que los solicitantes puedan mantener su anonimato.

Además, como es corriente en el Estado español, el Defensor del Pueblo alegó, para defender su posición, que conocer la identidad del solicitante es necesaria para valorar la aplicabilidad de los límites establecidos por la misma Ley de Transparencia. Límites que pueden evaluarse sin embargo sin necesidad de conocer la identidad del mismo:

• En lo que se refiere a los límites previstos por el artículo 15 de la Ley 19/2013, estos hacen referencia a la protección de los datos personales que estén presentes, también, en la información solicitada. El artículo menciona que cuando la información contenga datos personales, deberá hacerse una ponderación razonada “entre el interés público en la divulgación de la información y los derechos de los afectados cuyos datos aparezcan en la información solicitada”. Vemos que en ningún momento el artículo 15 tiene en consideración la identidad del solicitante sino al interés público de la divulgación de la información.

• Sobre los límites del artículo 18 de la Ley 19/2013, el Defensor del Pueblo no tiene en cuenta todas las causas de inadmisión previstas por el mismo, la mayoría de las cuales hacen referencia a la información solicitada y no a la persona del solicitante. La única causa de inadmisión en este artículo que puede tener en consideración persona del solicitante es la repetitividad de las solicitudes de acceso, para cuya evaluación podrían tenerse en consideración otros parámetros distintos de la identidad del solicitante, como por ejemplo el envío de múltiples solicitudes desde la misma dirección de correo electrónico.

De la formulación de esta queja por parte de Acces Info Europe derivó otra resolución del Defensor del Pueblo, de 22 de septiembre de 2015(30), en la que éste respondía al Ministerio de Presidencia, recomendando estudiar la posibilidad de contemplar como vía de presentación de solicitudes de acceso a información pública el correo electrónico en que debiesen reflejarse el nombre, apellidos y el número del DNI. Así, el Defensor, confirmando que la identificación electrónica mediante el sistema Cl@ve resulta excesivamente compleja y larga, disuadiendo el ejercicio del derecho de acceso a la información pública, prevé la posibilidad de que no sea utilizado pero no prevé la posibilidad de no requerir la identificación de los solicitantes cuando piden acceso a información pública, sin cambiar su posición respecto a la resolución anterior.

LISTADO DE LEGISLACIÓN Y ARTÍCULOS RELEVANTES

Declaración Universal de los Derechos Humanos, adoptada y proclamada por la Asamblea General de las Naciones Unidas en su resolución 217 A (III), de 10 de diciembre de 1948

Artículo 19.
Todo individuo tiene derecho a la libertad de opinión y de expresión; este derecho incluye el no ser molestado a causa de sus opiniones, el de investigar y recibir informaciones y opiniones, y el de difundirlas, sin limitación de fronteras, por cualquier medio de expresión.

Pacto Internacional de Derechos Civiles y Políticos, Resolución 2200 A (XXI) de la Asamblea General de las Naciones Unidas, aprobada el 16 de diciembre de 1966

Artículo 19.
1. Nadie podrá ser molestado a causa de sus opiniones.

2. Toda persona tiene derecho a la libertad de expresión; este derecho comprende la libertad de buscar, recibir y difundir informaciones e ideas de toda índole, sin consideración de fronteras, ya sea oralmente, por escrito o en forma impresa o artística, o por cualquier otro procedimiento de su elección.

3. El ejercicio del derecho previsto en el párrafo 2 de este artículo entraña deberes y responsabilidades especiales. Por consiguiente, puede estar sujeto a ciertas restricciones, que deberán, sin embargo, estar expresamente fijadas por la ley y ser necesarias para:
a) Asegurar el respeto a los derechos o a la reputación de los demás;
b) La protección de la seguridad nacional, el orden público o la salud o la moral públicas.

Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, Convenio de Roma del 4 de noviembre de 1950, del Consejo de Europa

Artículo 10. Libertad de expresión.
1. Toda persona tiene derecho a la libertad de expresión. Este derecho comprende la libertad de opinión y la libertad de recibir o de comunicar informaciones o ideas sin que pueda haber injerencia de autoridades públicas y sin consideración de fronteras. El presente artículo no impide que los Estados sometan a las empresas de radiodifusión, de cinematografía o de televisión a un régimen de autorización previa.

Convenio núm. 205 del Consejo de Europa sobre acceso a los documentos públicos de 2009 / Council of Europe Convention No. 205 on Access to Official Documents

Article 4. Requests for access to official documents
1 An applicant for an official document shall not be obliged to give reasons for having access to
the official document.
2 Parties may give applicants the right to remain anonymous except when disclosure of identity is essential in order to process the request.
3 Formalities for requests shall not exceed what is essential in order to process the request.

Constitución Española de 1978

Artículo 105.
La ley regulará:
(…) b) El acceso de los ciudadanos a los archivos y registros administrativos, salvo en lo que afecte a la seguridad y defensa del Estado, la averiguación de los delitos y la intimidad de las personas.

Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas

Artículo 9. Sistemas de identificación de los interesados en el procedimiento.
1. Las Administraciones Públicas están obligadas a verificar la identidad de los interesados en el procedimiento administrativo, mediante la comprobación de su nombre y apellidos o denominación o razón social, según corresponda, que consten en el Documento Nacional de Identidad o documento identificativo equivalente.

2. Los interesados podrán identificarse electrónicamente ante las Administraciones Públicas a través de cualquier sistema que cuente con un registro previo como usuario que permita garantizar su identidad. En particular, serán admitidos, los sistemas siguientes:

a) Sistemas basados en certificados electrónicos reconocidos o cualificados de firma electrónica expedidos por prestadores incluidos en la «Lista de confianza de prestadores de servicios de certificación». A estos efectos, se entienden comprendidos entre los citados certificados electrónicos reconocidos o cualificados los de persona jurídica y de entidad sin personalidad jurídica.

b) Sistemas basados en certificados electrónicos reconocidos o cualificados de sello electrónico expedidos por prestadores incluidos en la «Lista de confianza de prestadores de servicios de certificación».

c) Sistemas de clave concertada y cualquier otro sistema que las Administraciones Públicas consideren válido, en los términos y condiciones que se establezcan.
Cada Administración Pública podrá determinar si sólo admite alguno de estos sistemas para realizar determinados trámites o procedimientos, si bien la admisión de alguno de los sistemas de identificación previstos en la letra c) conllevará la admisión de todos los previstos en las letras a) y b) anteriores para ese trámite o procedimiento.

3. En todo caso, la aceptación de alguno de estos sistemas por la Administración General del Estado servirá para acreditar frente a todas las Administraciones Públicas, salvo prueba en contrario, la identificación electrónica de los interesados en el procedimiento administrativo.

Artículo 11. Uso de medios de identificación y firma en el procedimiento administrativo.
1. Con carácter general, para realizar cualquier actuación prevista en el procedimiento administrativo, será suficiente con que los interesados acrediten previamente su identidad a través de cualquiera de los medios de identificación previstos en esta Ley.

2. Las Administraciones Públicas sólo requerirán a los interesados el uso obligatorio de firma para:

a) Formular solicitudes.
b) Presentar declaraciones responsables o comunicaciones.
c) Interponer recursos.
d) Desistir de acciones.
e) Renunciar a derechos.

Artículo 13. Derechos de las personas en sus relaciones con las Administraciones Públicas.
Quienes de conformidad con el artículo 3, tienen capacidad de obrar ante las Administraciones Públicas, son titulares, en sus relaciones con ellas, de los siguientes derechos:

b) A ser asistidos en el uso de medios electrónicos en sus relaciones con las Administraciones Públicas.

c) A utilizar las lenguas oficiales en el territorio de su Comunidad Autónoma, de acuerdo con lo previsto en esta Ley y en el resto del ordenamiento jurídico.

d) Al acceso a la información pública, archivos y registros, de acuerdo con lo previsto en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno y el resto del Ordenamiento Jurídico.

e) A ser tratados con respeto y deferencia por las autoridades y empleados públicos, que habrán de facilitarles el ejercicio de sus derechos y el cumplimiento de sus obligaciones.

f) A exigir las responsabilidades de las Administraciones Públicas y autoridades, cuando así corresponda legalmente.

g) A la obtención y utilización de los medios de identificación y firma electrónica contemplados en esta Ley.

h) A la protección de datos de carácter personal, y en particular a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas.

i) Cualesquiera otros que les reconozcan la Constitución y las leyes.
Estos derechos se entienden sin perjuicio de los reconocidos en el artículo 53 referidos a los interesados en el procedimiento administrativo.

Artículo 129. Principios de buena regulación.
(…) 5. En aplicación del principio de transparencia, las Administraciones Públicas posibilitarán el acceso sencillo, universal y actualizado a la normativa en vigor y los documentos propios de su proceso de elaboración, en los términos establecidos en el artículo 7 de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno; definirán claramente los objetivos de las iniciativas normativas y su justificación en el preámbulo o exposición de motivos; y posibilitarán que los potenciales destinatarios tengan una participación activa en la elaboración de las normas.

Disposición adicional primera. Especialidades por razón de materia.

1. Los procedimientos administrativos regulados en leyes especiales por razón de la materia que no exijan alguno de los trámites previstos en esta Ley o regulen trámites adicionales o distintos se regirán, respecto a éstos, por lo dispuesto en dichas leyes especiales.

2. Las siguientes actuaciones y procedimientos se regirán por su normativa específica y supletoriamente por lo dispuesto en esta Ley:

a) Las actuaciones y procedimientos de aplicación de los tributos en materia tributaria y aduanera, así como su revisión en vía administrativa.

b) Las actuaciones y procedimientos de gestión, inspección, liquidación, recaudación, impugnación y revisión en materia de Seguridad Social y Desempleo.

c) Las actuaciones y procedimientos sancionadores en materia tributaria y aduanera, en el orden social, en materia de tráfico y seguridad vial y en materia de extranjería.

d) Las actuaciones y procedimientos en materia de extranjería y asilo.

Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno

Artículo 2. Ámbito subjetivo de aplicación.
1. Las disposiciones de este título se aplicarán a:

a) La Administración General del Estado, las Administraciones de las Comunidades Autónomas y de las Ciudades de Ceuta y Melilla y las entidades que integran la Administración Local.

b) Las entidades gestoras y los servicios comunes de la Seguridad Social así como las mutuas de accidentes de trabajo y enfermedades profesionales colaboradoras de la Seguridad Social.

d) Las entidades de Derecho Público con personalidad jurídica propia, vinculadas a cualquiera de las Administraciones Públicas o dependientes de ellas, incluidas las Universidades públicas.

e) Las corporaciones de Derecho Público, en lo relativo a sus actividades sujetas a Derecho Administrativo.

g) Las sociedades mercantiles en cuyo capital social la participación, directa o indirecta, de las entidades previstas en este artículo sea superior al 50 por 100.

h) Las fundaciones del sector público previstas en la legislación en materia de fundaciones.

2. A los efectos de lo previsto en este título, se entiende por Administraciones Públicas los organismos y entidades incluidos en las letras a) a d) del apartado anterior.

Artículo 3. Otros sujetos obligados.
Las disposiciones del capítulo II de este título serán también aplicables a:

b) Las entidades privadas que perciban durante el período de un año ayudas o subvenciones públicas en una cuantía superior a 100.000 euros o cuando al menos el 40 % del total de sus ingresos anuales tengan carácter de ayuda o subvención pública, siempre que alcancen como mínimo la cantidad de 5.000 euros.

Artículo 4. Obligación de suministrar información.
Las personas físicas y jurídicas distintas de las referidas en los artículos anteriores que presten servicios públicos o ejerzan potestades administrativas estarán obligadas a suministrar a la Administración, organismo o entidad de las previstas en el artículo 2.1 a la que se encuentren vinculadas, previo requerimiento, toda la información necesaria para el cumplimiento por aquéllos de las obligaciones previstas en este título. Esta obligación se extenderá a los adjudicatarios de contratos del sector público en los términos previstos en el respectivo contrato.

Artículo 5. Principios generales.
1. Los sujetos enumerados en el artículo 2.1 publicarán de forma periódica y actualizada la información cuyo conocimiento sea relevante para garantizar la transparencia de su actividad relacionada con el funcionamiento y control de la actuación pública.

2. Las obligaciones de transparencia contenidas en este capítulo se entienden sin perjuicio de la aplicación de la normativa autonómica correspondiente o de otras disposiciones específicas que prevean un régimen más amplio en materia de publicidad.

3. Serán de aplicación, en su caso, los límites al derecho de acceso a la información pública previstos en el artículo 14 y, especialmente, el derivado de la protección de datos de carácter personal, regulado en el artículo 15. A este respecto, cuando la información contuviera datos especialmente protegidos, la publicidad sólo se llevará a cabo previa disociación de los mismos.

4. La información sujeta a las obligaciones de transparencia será publicada en las correspondientes sedes electrónicas o páginas web y de una manera clara, estructurada y entendible para los interesados y, preferiblemente, en formatos reutilizables. Se establecerán los mecanismos adecuados para facilitar la accesibilidad, la interoperabilidad, la calidad y la reutilización de la información publicada así como su identificación y localización.

Cuando se trate de entidades sin ánimo de lucro que persigan exclusivamente fines de interés social o cultural y cuyo presupuesto sea inferior a 50.000 euros, el cumplimiento de las obligaciones derivadas de esta Ley podrá realizarse utilizando los medios mayor parte de las ayudas o subvenciones públicas percibidas.

5. Toda la información será comprensible, de acceso fácil y gratuito y estará a disposición de las personas con discapacidad en una modalidad suministrada por medios o en formatos adecuados de manera que resulten accesibles y comprensibles, conforme al principio de accesibilidad universal y diseño para todos.

Artículo 6. Información institucional, organizativa y de planificación.
1. Los sujetos comprendidos en el ámbito de aplicación de este título publicarán información relativa a las funciones que desarrollan, la normativa que les sea de aplicación así como a su estructura organizativa. A estos efectos, incluirán un organigrama actualizado que identifique a los responsables de los diferentes órganos y su perfil y trayectoria profesional.

2. Las Administraciones Públicas publicarán los planes y programas anuales y plurianuales en los que se fijen objetivos concretos, así como las actividades, medios y tiempo previsto para su consecución. Su grado de cumplimiento y resultados deberán ser objeto de evaluación y publicación periódica junto con los indicadores de medida y valoración, en la forma en que se determine por cada Administración competente.
En el ámbito de la Administración General del Estado corresponde a las inspecciones generales de servicios la evaluación del cumplimiento de estos planes y programas.

Artículo 6bis. . Registro de actividades de tratamiento.
Los sujetos enumerados en el artículo 77.1 de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, publicarán su inventario de actividades de tratamiento en aplicación del artículo 31 de la citada Ley Orgánica.

Artículo 7. Información de relevancia jurídica.
Las Administraciones Públicas, en el ámbito de sus competencias, publicarán:

b) Los Anteproyectos de Ley y los proyectos de Decretos Legislativos cuya iniciativa les corresponda, cuando se soliciten los dictámenes a los órganos consultivos correspondientes. En el caso en que no sea preceptivo ningún dictamen la publicación se realizará en el momento de su aprobación.

c) Los proyectos de Reglamentos cuya iniciativa les corresponda. Cuando sea preceptiva la solicitud de dictámenes, la publicación se producirá una vez que estos hayan sido solicitados a los órganos consultivos correspondientes sin que ello suponga, necesariamente, la apertura de un trámite de audiencia pública.

d) Las memorias e informes que conformen los expedientes de elaboración de los textos normativos, en particular, la memoria del análisis de impacto normativo regulada por el Real Decreto 1083/2009, de 3 de julio.

e) Los documentos que, conforme a la legislación sectorial vigente, deban ser sometidos a un período de información pública durante su tramitación.

Artículo 8. Información económica, presupuestaria y estadística.
1. Los sujetos incluidos en el ámbito de aplicación de este título deberán hacer pública, como mínimo, la información relativa a los actos de gestión administrativa con repercusión económica o presupuestaria que se indican a continuación:

a) Todos los contratos, con indicación del objeto, duración, el importe de licitación y de adjudicación, el procedimiento utilizado para su celebración, los instrumentos a través de los que, en su caso, se ha publicitado, el número de licitadores participantes en el procedimiento y la identidad del adjudicatario, así como las modificaciones del contrato. Igualmente serán objeto de publicación las decisiones de desistimiento y renuncia de los contratos. La publicación de la información relativa a los contratos menores podrá realizarse trimestralmente.
Asimismo, se publicarán datos estadísticos sobre el porcentaje en volumen presupuestario de contratos adjudicados a través de cada uno de los procedimientos previstos en la legislación de contratos del sector público.

b) La relación de los convenios suscritos, con mención de las partes firmantes, su objeto, plazo de duración, modificaciones realizadas, obligados a la realización de las prestaciones y, en su caso, las obligaciones económicas convenidas. Igualmente, se publicarán las encomiendas de gestión que se firmen, con indicación de su objeto, presupuesto, duración, obligaciones económicas y las subcontrataciones que se realicen con mención de los adjudicatarios, procedimiento seguido para la adjudicación e importe de la misma.

c) Las subvenciones y ayudas públicas concedidas con indicación de su importe, objetivo o finalidad y beneficiarios.

d) Los presupuestos, con descripción de las principales partidas presupuestarias e información actualizada y comprensible sobre su estado de ejecución y sobre el cumplimiento de los objetivos de estabilidad presupuestaria y sostenibilidad financiera de las Administraciones Públicas.

e) Las cuentas anuales que deban rendirse y los informes de auditoría de cuentas y de fiscalización por parte de los órganos de control externo que sobre ellos se emitan.

f) Las retribuciones percibidas anualmente por los altos cargos y máximos responsables de las entidades incluidas en el ámbito de la aplicación de este título. Igualmente, se harán públicas las indemnizaciones percibidas, en su caso, con ocasión del abandono del cargo.

g) Las resoluciones de autorización o reconocimiento de compatibilidad que afecten a los empleados públicos así como las que autoricen el ejercicio de actividad privada al cese de los altos cargos de la Administración General del Estado o asimilados según la normativa autonómica o local.

h) Las declaraciones anuales de bienes y actividades de los representantes locales, en los términos previstos en la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local. Cuando el reglamento no fije los términos en que han de hacerse públicas estas declaraciones se aplicará lo dispuesto en la normativa de conflictos de intereses en el ámbito de la Administración General del Estado. En todo caso, se omitirán los datos relativos a la localización concreta de los bienes inmuebles y se garantizará la privacidad y seguridad de sus titulares.

i) La información estadística necesaria para valorar el grado de cumplimiento y calidad de los servicios públicos que sean de su competencia, en los términos que defina cada administración competente.

2. Los sujetos mencionados en el artículo 3 deberán publicar la información a la que se refieren las letras a) y b) del apartado primero de este artículo cuando se trate de contratos o convenios celebrados con una Administración Pública. Asimismo, habrán de publicar la información prevista en la letra c) en relación a las subvenciones que reciban cuando el órgano concedente sea una Administración Pública.

3. Las Administraciones Públicas publicarán la relación de los bienes inmuebles que sean de su propiedad o sobre los que ostenten algún derecho real.

Artículo 12. Derecho de acceso a la información pública.
Todas las personas tienen derecho a acceder a la información pública, en los términos previstos en el artículo 105.b) de la Constitución Española, desarrollados por esta Ley.

Asimismo, y en el ámbito de sus respectivas competencias, será de aplicación la correspondiente normativa autonómica.

Artículo 13. Información pública.
Se entiende por información pública los contenidos o documentos, cualquiera que sea su formato o soporte, que obren en poder de alguno de los sujetos incluidos en el ámbito de aplicación de este título y que hayan sido elaborados o adquiridos en el ejercicio de sus funciones.

Artículo 14. Límites al derecho de acceso.
1. El derecho de acceso podrá ser limitado cuando acceder a la información suponga un perjuicio para:

2. La aplicación de los límites será justificada y proporcionada a su objeto y finalidad de protección y atenderá a las circunstancias del caso concreto, especialmente a la concurrencia de un interés público o privado superior que justifique el acceso.

3. Las resoluciones que de conformidad con lo previsto en la sección 2.ª se dicten en aplicación de este artículo serán objeto de publicidad previa disociación de los datos de carácter personal que contuvieran y sin perjuicio de lo dispuesto en el apartado 3 del artículo 20, una vez hayan sido notificadas a los interesados.

Artículo 15. Protección de datos personales.
1. Si la información solicitada contuviera datos personales que revelen la ideología, afiliación sindical, religión o creencias, el acceso únicamente se podrá autorizar en caso de que se contase con el consentimiento expreso y por escrito del afectado, a menos que dicho afectado hubiese hecho manifiestamente públicos los datos con anterioridad a que se solicitase el acceso.
Si la información incluyese datos personales que hagan referencia al origen racial, a la salud o a la vida sexual, incluyese datos genéticos o biométricos o contuviera datos relativos a la comisión de infracciones penales o administrativas que no conllevasen la amonestación pública al infractor, el acceso solo se podrá autorizar en caso de que se cuente con el consentimiento expreso del afectado o si aquel estuviera amparado por una norma con rango de ley.

2. Con carácter general, y salvo que en el caso concreto prevalezca la protección de datos personales u otros derechos constitucionalmente protegidos sobre el interés público en la divulgación que lo impida, se concederá el acceso a información que contenga datos meramente identificativos relacionados con la organización, funcionamiento o actividad pública del órgano.

3. Cuando la información solicitada no contuviera datos especialmente protegidos, el órgano al que se dirija la solicitud concederá el acceso previa ponderación suficientemente razonada del interés público en la divulgación de la información y los derechos de los afectados cuyos datos aparezcan en la información solicitada, en particular su derecho fundamental a la protección de datos de carácter personal.
Para la realización de la citada ponderación, dicho órgano tomará particularmente en consideración los siguientes criterios:

b) La justificación por los solicitantes de su petición en el ejercicio de un derecho o el hecho de que tengan la condición de investigadores y motiven el acceso en fines históricos, científicos o estadísticos.

c) El menor perjuicio de los derechos de los afectados en caso de que los documentos únicamente contuviesen datos de carácter meramente identificativo de aquéllos.

d) La mayor garantía de los derechos de los afectados en caso de que los datos contenidos en el documento puedan afectar a su intimidad o a su seguridad, o se refieran a menores de edad.

4. No será aplicable lo establecido en los apartados anteriores si el acceso se efectúa previa disociación de los datos de carácter personal de modo que se impida la identificación de las personas afectadas.

5. La normativa de protección de datos personales será de aplicación al tratamiento posterior de los obtenidos a través del ejercicio del derecho de acceso.

Artículo 16. Acceso parcial.
En los casos en que la aplicación de alguno de los límites previstos en el artículo 14 no afecte a la totalidad de la información, se concederá el acceso parcial previa omisión de la información afectada por el límite salvo que de ello resulte una información distorsionada o que carezca de sentido. En este caso, deberá indicarse al solicitante que parte de la información ha sido omitida.

Artículo 17. Solicitud de acceso a la información.
1. El procedimiento para el ejercicio del derecho de acceso se iniciará con la presentación de la correspondiente solicitud, que deberá dirigirse al titular del órgano administrativo o entidad que posea la información. Cuando se trate de información en posesión de personas físicas o jurídicas que presten servicios públicos o ejerzan potestades administrativas, la solicitud se dirigirá a la Administración, organismo o entidad de las previstas en el artículo 2.1 a las que se encuentren vinculadas.

2. La solicitud podrá presentarse por cualquier medio que permita tener constancia de:

3. El solicitante no está obligado a motivar su solicitud de acceso a la información. Sin embargo, podrá exponer los motivos por los que solicita la información y que podrán ser tenidos en cuenta cuando se dicte la resolución. No obstante, la ausencia de motivación no será por si sola causa de rechazo de la solicitud.

4. Los solicitantes de información podrán dirigirse a las Administraciones Públicas en cualquiera de las lenguas cooficiales del Estado en el territorio en el que radique la Administración en cuestión.

Acuerdo de 18 de noviembre de 2014, de la Comisión Permanente del Consejo General del Poder Judicial, por el que se aprueba el protocolo de integración en la organización interna del Consejo General del Poder Judicial de la gestión de solicitudes de información de los ciudadanos a que se refiere el artículo 21.1 de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno y se delegan competencias

1.1.1. Legitimación activa para el ejercicio del derecho de acceso.
De conformidad con lo dispuesto en el artículo 12 de la Ley 19/2013, cualquier ciudadano, español o extranjero, persona jurídica privada o pública, es titular del derecho de acceso.

El CGPJ tramitará todas las solicitudes de información con independencia de los datos de identificación proporcionados.

Sólo cuando se requiera un acceso cualificado (por ejemplo, si se solicita el acceso presencial a una gran cantidad de documentación) se exigirá una identificación.

Cuando se proceda a tramitar un recurso por inadmisión ad limine de la solicitud de acceso o denegación del mismo, se exigirá su presentación por los cauces ordinarios.

Acuerdo de 27 de julio de 2016 del Pleno del Ayuntamiento de Madrid por el que se aprueba la Ordenanza de Transparencia de la Ciudad de Madrid

Artículo 23. Acceso sin previa identificación del solicitante.
1. En aquellos supuestos en los que el solicitante de información pública no haga constar sus datos de identidad, solo podrá facilitársele aquella información que ya se halle publicada o aquella otra en la que concurran las siguientes circunstancias:

b) El acceso no afecte a la protección de datos personales en los términos de lo dispuesto en el artículo 15 de la Ley 19/2013, de 9 de diciembre.

c) No sea aplicable ninguna causa de inadmisión.

En el supuesto de que fuera aplicable alguno de los limites de los párrafos a) y b), alguna causa de inadmisión o algún régimen jurídico específico de acceso, el órgano competente para dar respuesta deberá comunicárselo al solicitante para que, en su caso, decida iniciar el procedimiento regulado en la Ley 19/2013, de 9 de diciembre, de conformidad con lo dispuesto en el articulo 24 de esta ordenanza. Los requisitos para formular esta solicitud serán los que se exigen en dichas normas.

2. Para poder garantizar, en su caso, el suministro de la información o la indicación del lugar en que esta se halla publicada, el solicitante deberá facilitar una dirección de correo electrónico.

3. Cuando la información solicitada esté en posesión de las personas mencionadas en el artículo 3.2, el requerimiento expresará el plazo para la remisión de la información, que no excederá de 15 días hábiles. El incumplimiento de dicho plazo podrá dar lugar a la imposición de las multas coercitivas reguladas en el artículo 48.

4. La respuesta a la solicitud de información por esta vía deberá emitirse en el plazo de un mes desde la fecha en que haya sido asignada su tramitación al órgano competente para resolver.
Si la información suministrada no publicada previamente, fuera relevante y su divulgación resultase de interés general, se publicará en el Portal de Gobierno Abierto, comunicándose al solicitante la localización precisa de la información.

5. El régimen de impugnaciones recogido en la Ley 19/2013, de 9 de diciembre, no será aplicable al acceso que se conceda o deniegue según lo dispuesto en este artículo.

6. La utilización previa de esta vía de acceso, no impedirá la presentación de una solicitud de acceso al amparo de lo dispuesto en la Ley 19/2013, de 9 de diciembre, y el artículo 24 de esta ordenanza, para el supuesto de que el solicitante considere insuficiente o inadecuada la respuesta dada por el órgano competente o quiera obtener una resolución administrativa con el contenido y garantías previstas en el articulo 24.

Ordenanza Tipo de Transparencia, Acceso a la Información y Reutilización, aprobada en Junta de Gobierno de la Federación Española de Municipios y Provincias, de 27-5-2014

Artículo 26. Solicitud.
1. Los órganos competentes para resolver las solicitudes de acceso a la información pública no requerirán a los solicitantes más datos sobre su identidad que los imprescindibles para poder resolver y notificar aquéllas.
Asimismo, prestarán el apoyo y asesoramiento necesario al solicitante para la identificación de la información pública solicitada.

2. No será necesario motivar la solicitud de acceso a la información pública. No obstante, el interés o motivación expresada por el interesado podrá ser tenida en cuenta para ponderar, en su caso, el interés público en la divulgación de la información y los derechos de los afectados cuyos datos aparezcan en la información solicitada, de acuerdo con los establecido en el artículo 11.

3. La presentación de la solicitud no estará sujeta a plazo.

4. Se comunicará al solicitante el plazo máximo establecido para la resolución y notificación del procedimiento, así como del efecto que pueda producir el silencio administrativo en los términos previstos en la normativa sobre procedimiento administrativo.

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos)

Artículo 5. Principios relativos al tratamiento.
1. Los datos personales serán

(…) c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»); (…)

Considerando (39)

Todo tratamiento de datos personales debe ser lícito y leal. Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados. El principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular a la información de los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento. Las personas físicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales así como del modo de hacer valer sus derechos en relación con el tratamiento. En particular, los fines específicos del tratamiento de los datos personales deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida. Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Ello requiere, en particular, garantizar que se limite a un mínimo estricto su plazo de conservación. Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios. Para garantizar que los datos personales no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica. Deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos. Los datos personales deben tratarse de un modo que garantice una seguridad y confidencialidad adecuadas de los datos personales, inclusive para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento.

Artículo 25. Protección de datos desde el diseño y por defecto.
1. Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.

Considerando (78)

La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del presente Reglamento. A fin de poder demostrar la conformidad con el presente Reglamento, el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto. Dichas medidas podrían consistir, entre otras, en reducir al máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales, dar transparencia a las funciones y el tratamiento de datos personales, permitiendo a los interesados supervisar el tratamiento de datos y al responsable del tratamiento crear y mejorar elementos de seguridad. Al desarrollar, diseñar, seleccionar y usar aplicaciones, servicios y productos que están basados en el tratamiento de datos personales o que tratan datos personales para cumplir su función, ha de alentarse a los productores de los productos, servicios y aplicaciones a que tengan en cuenta el derecho a la protección de datos cuando desarrollan y diseñen estos productos, servicios y aplicaciones, y que se aseguren, con la debida atención al estado de la técnica, de que los responsables y los encargados del tratamiento están en condiciones de cumplir sus obligaciones en materia de protección de datos. Los principios de la protección de datos desde el diseño y por defecto también deben tenerse en cuenta en el contexto de los contratos públicos.

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales

Disposición adicional octava. Potestad de verificación de las Administraciones Públicas.
Cuando se formulen solicitudes por cualquier medio en las que el interesado declare datos personales que obren en poder de las Administraciones Públicas, el órgano destinatario de la solicitud podrá efectuar en el ejercicio de sus competencias las verificaciones necesarias para comprobar la exactitud de los datos.

Artículo 24. Sistemas de información de denuncias internas.
1. Será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable. Los empleados y terceros deberán ser informados acerca de la existencia de estos sistemas de información.

2. El acceso a los datos contenidos en estos sistemas quedará limitado exclusivamente a quienes, incardinados o no en el seno de la entidad, desarrollen las funciones de control interno y de cumplimiento, o a los encargados del tratamiento que eventualmente se designen a tal efecto. No obstante, será lícito su acceso por otras personas, o incluso su comunicación a terceros, cuando resulte necesario para la adopción de medidas disciplinarias o para la tramitación de los procedimientos judiciales que, en su caso, procedan.
Sin perjuicio de la notificación a la autoridad competente de hechos constitutivos de ilícito penal o administrativo, solo cuando pudiera proceder la adopción de medidas disciplinarias contra un trabajador, dicho acceso se permitirá al personal con funciones de gestión y control de recursos humanos.

3. Deberán adoptarse las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas por la información suministrada, especialmente la de la persona que hubiera puesto los hechos en conocimiento de la entidad, en caso de que se hubiera identificado.

4. Los datos de quien formule la comunicación y de los empleados y terceros deberán conservarse en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados.
En todo caso, transcurridos tres meses desde la introducción de los datos, deberá procederse a su supresión del sistema de denuncias, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica. Las denuncias a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de esta ley orgánica.
Transcurrido el plazo mencionado en el párrafo anterior, los datos podrán seguir siendo tratados, por el órgano al que corresponda, conforme al apartado 2 de este artículo, la investigación de los hechos denunciados, no conservándose en el propio sistema de información de denuncias internas.

5. Los principios de los apartados anteriores serán aplicables a los sistemas de denuncias internas que pudieran crearse en las Administraciones Públicas.

Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias

Artículo 8. Derechos básicos de los consumidores y usuarios.
Son derechos básicos de los consumidores y usuarios:

a) La protección contra los riesgos que puedan afectar su salud o seguridad.

b) La protección de sus legítimos intereses económicos y sociales; en particular frente a las prácticas comerciales desleales y la inclusión de cláusulas abusivas en los contratos.

c) La indemnización de los daños y la reparación de los perjuicios sufridos.

d) La información correcta sobre los diferentes bienes o servicios y la educación y divulgación para facilitar el conocimiento sobre su adecuado uso, consumo o disfrute.

e) La audiencia en consulta, la participación en el procedimiento de elaboración de las disposiciones generales que les afectan directamente y la representación de sus intereses, a través de las asociaciones, agrupaciones, federaciones o confederaciones de consumidores y usuarios legalmente constituidas.

f) La protección de sus derechos mediante procedimientos eficaces, en especial ante situaciones de inferioridad, subordinación e indefensión.

Proposición de Ley de Protección Integral de los Alertadores de Xnet

Primera transposición europea de la Directiva (UE) 2019/1937, de 23 de octubre de 2019, del Parlamento Europeo y del Consejo sobre la Protección de las Personas que informen sobre infracciones, registrada en el Congreso de los Diputados.
Véase: https://xnet-x.net/proposicion-ley-proteccion-integral-alertadores/

_________________________________________________________________

(1)
Isidro Gómez-Juarez. Firma invitada “Apología de la privacidad en la era del Gran Hermano”. El País – Retina. https://retina.elpais.com/retina/2019/09/18/tendencias/1568807812_129427.amp.html?__twitter_impression=true
(2)
Véase: Sobre Grupos de Interés, por Xnet: https://xnet-x.net/sobre-grupos-de-interes/
(3)
En concreto, su artículo 11.
(4)
https://www.elperiodico.com/es/economia/20190927/solo-una-de-cada-cinco-empresas-espanolas-cumple-la-ley-de-proteccion-de-datos-7654202
(5)
En concreto, esta obligación se establece en el artículo 9 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPAC).
(6)
Según consulta telefónica formulada ante la Fábrica Nacional de la Moneda y Timbre.
(7)
Estudio comparado sobre normativa internacional en materia de derecho de acceso a la información pública del Consejo de Transparencia y Buen Gobierno en colaboración con el Instituto Nacional de la Administración Pública (https://www.consejodetransparencia.es/ct_Home/dam/jcr:38363e0e-62b9-40db-b726-419e2bf3dbe2/Estudio%20comparado%20sobre%20normativa%20internacional.epub)
(8)
Informe sobre los requisitos de identificación de los solicitantes de acceso a la información pública de Emilio Guichot Reina, realizado por encargo del Consejo de Transparencia y Buen Gobierno (https://www.consejodetransparencia.es/dam/jcr:977fc69c-b6a9-4df6-90d8-25d5b75993a9/Informe_requisitos_identificacion.pdf).
(9)
Memoria Anual del Consejo de Transparencia y Buen Gobierno de 2015, páginas 103-104: https://www.consejodetransparencia.es/dam/jcr:b4186ab2-141b-464f-99ac-156c2587ffeb/memoria_completa.pdf
(10)
III Plan de Acción de España 2017-2019 de la Alianza para el Gobierno Abierto, de 27 de junio de 2017, págs. 23, 29 y 59. (https://transparencia.gob.es/transparencia/dam/jcr:74d66aee-760c-4962-983e-0b250fb583b8/2017_Junio_Spain_III_Plan_GA_OGP_vf.pdf)
(11)
Joaquín Meseguer Yebra, en su artículo “el acceso a la información pública y los requerimientos de identificación” publicado en la Revista Española de Transparencia nº3, de 2016, cree que es “el momento de promover decididamente las modificaciones precisas para que sea factible la identificación del solicitante en los términos menos restrictivos para el ejercicio del derecho de acceso”.
(https://drive.google.com/file/d/0BzZV66dM4HCTeVhGOVBfM1preUU/view)
(12)
https://www.genbeta.com/redes-sociales-y-comunidades/multa-5-000-millones-dolares-a-facebook-ha-hecho-rico-a-mark-zuckerberg-a-sus-accionistas
(13)
www.poderjudicial.es/stfls/CGPJ/TRANSPARENCIA/FICHEROS/20141215%20Ac%20CP%2018%20nov%202014%20Protocolo%20acceso%20transparecia.pdf
(14)
https://sede.madrid.es/FrameWork/generacionPDF/ANM2016_108.pdf?idNormativa=3eabe8e52c796510VgnVCM1000001d4a900aRCRD&nombreFichero=ANM2016_108&cacheKey=61
(15)
Sentencia del Tribunal Supremo de 3 de junio de 2011.
(16)
Sentencia de la Audiencia Nacional de 10 de febrero de 1999.
(17)
https://transparencia.gob.es/transparencia/transparencia_Home/index/Derecho-de-acceso-a-la-informacion-publica/Solicite-informacion.html#
(18)
La ley anterior a la 39/2015, la Ley 30/1992 de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, no exigía la comprobación de la identidad de las personas que actuaban ante la Administración, sino que, como la LTAIBG exigía que indicasen sólo su nombre y apellidos, y en su caso de la persona que los representase (artículo 70.1.a)).
(19)
Memoria Anual del Consejo de Transparencia y Buen Gobierno de 2015, páginas 103-104: https://www.consejodetransparencia.es/dam/jcr:b4186ab2-141b-464f-99ac-156c2587ffeb/memoria_completa.pdf
(20)
Informe sobre los requisitos de identificación de los solicitantes de acceso a la información pública de Emilio Guichot Reina, realizado por encargo del Consejo de Transparencia y Buen Gobierno, p. 24.
(21)
Informe sobre los requisitos de identificación de los solicitantes de acceso a la información pública de Emilio Guichot Reina, realizado por encargo del Consejo de Transparencia y Buen Gobierno, p. 24.
(22)
http://femp.femp.es/files/11-5133-fichero/Ordenanza%20Transparencia,%20Acceso%20y%20Reutilizaci%C3%B3n%20de%20la%20informaci%C3%B3n.pdf
(23)
https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32019L1937&from=EN
(25)
www.poderjudicial.es/stfls/CGPJ/TRANSPARENCIA/FICHEROS/20141215%20Ac%20CP%2018%20nov%202014%20Protocolo%20acceso%20transparecia.pdf
(26)
https://sede.madrid.es/FrameWork/generacionPDF/ANM2016_108.pdf?idNormativa=3eabe8e52c796510VgnVCM1000001d4a900aRCRD&nombreFichero=ANM2016_108&cacheKey=61
(27)
Resumen de la sentencia: https://hudoc.echr.coe.int/eng#{%22itemid%22:[%22002-1581%22]}
(28)
Access Info Europe presenta una queja ante el Defensor del Pueblo español por la deficiente implementación del derecho de acceso a la información: https://www.access-info.org/es/esp-es/13631
(29)
Respuesta del Defensor del Pueblo a la queja de Access Info Europe, 15 de marzo de 2015: https://www.access-info.org/wp-content/uploads/Respuesta_DefensorPueblo_LeyTransp.pdf
(30)
https://www.defensordelpueblo.es/resoluciones/recomendacion-a-la-oficina-para-la-reforma-de-la-administracion-opera-para-que-estudie-la-posibilidad-de-contemplar-como-via-de-presentacion-por-los-ciudadanos-para-el-ejercicio-del-derecho-de-acces/
(31)
El Consejo General del Poder Judicial, indica sobre este punto: “Aunque la Ley 19/2013 exige la identificación del solicitante, la falta de necesidad de identificación del solicitante es un estándar internacionalmente fijado, al entenderse que el acceso a la información pública es un derecho fundamental de carácter universal, en cuya garantía priman las obligaciones de transparencia de los poderes públicos frente a cualquier requisito impuesto al ciudadano que solicita el acceso.”

1. Abuso de identificación por parte de las instituciones vs minimización de datos desde el diseño y por defecto

ABUSO DE IDENTIFICACIÓN POR PARTE DE LAS INSTITUCIONES vs MINIMIZACIÓN DE DATOS DESDE EL DISEÑO Y POR DEFECTO

RECOMENDACIONES

RECOMENDACIONES DE BUENAS PRÁCTICAS PARA LAS INSTITUCIONES Y EMPRESAS SISTÉMICAS

ENMIENDAS A LA LEY

ANÁLISIS DEL DESARROLLO LEGISLATIVO

Últimos posts sobre:

Derechos digitales, datos, IA y neutralidad de la Red

Aviso legal