¿Reutilización y protección de datos son compatibles? Opinión del GT29

por

publicado el 10 julio 2013

Categorías: Abogado / Abogados LOPD / Administración Pública / Intimidad / LOPD / Open Data / Open Government / Protección de Datos / Reutilización / Trasparencia y Acceso a la información

El pasado 5 de junio, el Grupo de Trabajo del artículo 29 adoptó la Opinión 06/2013 sobre Open Data y reutilización de información del sector público (ISP), con el objetivo de ofrecer una guía para la implementación de la nueva Directiva 2013/37/EU de 26 de junio de 2013, que vino a modificar la ya existente Directiva 2003/98/EC sobre la reutilización de la información del sector público.

Ha pasado ya una década desde que el GT29 adoptase la Opinión 7/2003, sobre asuntos de protección de datos relativos a la información del sector público. No obstante, los diferentes avances tecnológicos en el campo de la ISP y de la protección de datos hacen necesaria la puesta al día de la Opinión de 2003, ya que además, si la Directiva 2003/98/EC dejaba en manos de las AAPP de los Estados miembros el permitir la reutilización de la ISP, ahora rige el principio de que toda la información pública (entendida como información del sector público accesible de conformidad con los ordenamientos jurídicos nacionales) puede ser objeto de reutilización para fines comerciales y no comerciales, teniendo siempre presente, el respeto a la normativa de protección de datos, ya que el «principio de reutilización» no es automático cuando el derecho a la protección de datos está en tela de juicio, por lo que la Administración Pública correspondiente, en los casos en los que la reutilización incluya datos de carácter personal, no podrá invocar la Directiva como justificación para hacer disponibles dichos datos para su reutilización.

El GT29 enfatiza la necesidad de tener presentes los principios de protección de datos «by design» y «by default» y de que las AAPP evalúen el impacto que puede tener la reutilización de dichos datos, así como su conformidad con los principios de determinación, proporcionalidad y minimización del tratamiento de los datos.

Es importante también tener en cuenta las excepciones en materia de protección de datos que la propia Directiva establece, como tales, se señalan:

  • Documentos cuyo acceso está excluido según la normativa de protección de datos;
  • Documentos cuyo acceso está restringido según la normativa de protección de datos; y
  • Partes de documentos que son accesibles conforme a la normativa de protección de datos, cuya reutilización, según lo establecido por la ley, es incompatible con la protección de los individuos en lo relativo al tratamiento de los datos de carácter personal.

En cuanto a la reutilización, el GT señala que ésta debería estar limitada por:

  • Las disposiciones generales de la normativa de protección de datos;
  • (Cuando fuera posible) específicas y adicionales restricciones legales; y
  • Medidas técnicas y organizativas dirigidas a la protección de datos de carácter personal.

En conclusión, para el GT29 es indispensable que la normativa de protección de datos establezca la selección de los datos que pueden o no ser objeto de acceso y reutilización, así como las medidas que han de tomarse para salvaguardar los datos de carácter personal, apoyándose todo ello una sólida base legal, en observancia de los ya citados principios de proporcionalidad, finalidad y minimización del tratamiento de los datos, teniendo en cuenta que cualquier información relativa a una persona identificada o identificable, accesible o no, constituye un dato de carácter personal.

A su vez, a modo de recomendación, el GT29 señala que:

  • El hecho de que alguna ISP contenga datos de carácter personal debe ser tenido en cuenta al momento de considerarlo públicamente accesible, teniendo en cuenta los principios de protección de datos by design y by default.
  • La AP correspondiente, o en su caso el legislador, debe evaluar el impacto de la reutilización de la información, que en su caso, deberá ser objeto de anonimización.
  • Cuando los datos son anonimizados, habrá de tenerse en cuenta también el riesgo de reidentificación.
  • La conclusión de la evaluación, podría ayudar a identificar cautelas específicas para minimizar riesgos, incluyendo, sin limitación, medidas técnicas, legales y organizativas necesarias, como condiciones de licencias adecuadas o técnicas que eviten la descarga masiva de datos, así como técnicas de anonimización adecuadas; derivando de todo ello, el deber de considerar la decisión de acceder y/o publicar la información.
  • Cuando la evaluación del impacto sobre la protección de datos concluya que una licencia abierta no fuera suficiente, la AP correspondiente no debería hacer disponible esa información para su reutilización.
  • Se habrá de asegurar la anonimización y se deberá prohibir expresamente la reidentificación de los individuos y la reutilización de los datos de carácter personal que pueda afecta a dichos sujetos.
  • Los Estados miembros, deben considerar el establecer y proporcionar apoyo a redes de conocimiento y centros de excelencia y de ese modo, establecer el intercambio de buenas prácticas relativas a la anonimización y el Open Data.