Cuentas abiertas. La publicación de movimientos bancarios de las administraciones.

Comparecencia ante la Comissió d’Economia, Pressupostos i Hisenda, de les Corts Valencianes en el Procedimiento de elaboración de la Proposición de Ley de Cuentas Abiertas (01/12/2015). Puede consultarse el debate completo.

Señor presidente/a de la Comisión, Sras. y Sres diputados y diputadas,

Habida cuenta de la brevedad del tiempo disponible permitan que limite al máximo mi presentación profesional. Me limitaré a señalar que he dedicado mi actividad profesional a la protección de datos como investigador y doctor en distintas universidades, presido la Asociación Profesional Española de Privacidad y actualmente desempeño mi labor en el ámbito de la transparencia como Jefe del servicio homónimo en la Diputación de Valencia. No obstante, deben tener en cuenta que comparezco aquí a título privado y que, por tanto, en ningún caso mis opiniones representan las de las instituciones en las que desempeño mi servicio o mi actividad asociativa.

La consideración de la Proposición de Ley de Cuentas abiertas plantea precisamente cuestiones relevantes en materia de conflictos de derechos. Debemos partir del hecho incontestable de la mala elección por parte del legislador español al ubicar el principio de transparencia en el contexto del derecho de acceso a los archivos y registros públicos del artículo 105 b) de la Constitución. Esa ubicación puede hacer pensar en la existencia de una relación de prevalencia del derecho fundamental a la protección de datos que en mi opinión no existe. Lo cierto es que la ubicación natural de la legislación de transparencia debería inspirarse más bien en el derecho a obtener información relevante en una sociedad democrática para la conformación de una opinión pública libre y en el derecho a participar en los asuntos públicos de los artículos 20 y 23 CE. En este sentido, el derecho a acceder a documentos se integra en el artículo 42 de la carta Europea de Derechos fundamentales.

Ello no obstante es innegable que puede producirse un supuesto de conflicto con motivo de la regulación propuesta ya que bastantes de los datos en ella contemplados pueden identificar a una persona o convertirla en identificable. La legislación valenciana de transparencia no prohíbe la publicación de datos personales sino que remite al artículo 15 de la Ley estatal a la hora de resolver los posibles conflictos entre bienes, derechos y valores constitucionales.

El punto de partida para resolver un conflicto de esta naturaleza consiste en dibujar el escenario en el que podría darse. Así en primer lugar, habría que referirse a dos sujetos diferenciados, esto es el emisor del movimiento y el destinatario del mismo. En el primero de los casos lo natural es que se trate de una persona jurídica, la Generalitat sobre la que en ningún caso se proyecta garantía alguna en materia de protección de datos personales. Cuestión distinta sería si figurase información relativa a algún funcionario. En tal caso, se trataría de los llamados «datos meramente identificativos relacionados con la organización, funcionamiento o actividad pública del órgano».

Bastante distinto es el escenario relativo al impacto de los movimientos bancarios en lo que atañe a los destinatarios de los mismos. En primer lugar hay que señalar que en ningún caso existirá impacto alguno en el derecho fundamental a la protección de datos cuando los sujetos que se identifiquen sean:

  • Personas jurídicas.

  • Empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros.

Si puede plantear situaciones de conflicto cuando los destinatarios sean personas físicas. Hay que tener en cuenta que el concepto de dato personal no se refiere exclusivamente a datos meramente identificativos sino a cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. Esta identificabilidad puede producirse por muy diversos métodos. Es identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social.

En el caso de un movimiento bancario van a tratarse datos meramente identificativos (nombre, apellidos, NIF). Sin embargo, serán aspectos contextuales los que ofrezcan información de todo tipo ya que el concepto de una transferencia, la cantidad y la ubicación de la sucursal pueden proporcionar información que afecte no solo a la protección de datos personales sino incluso a la intimidad de una persona.

En este sentido, y antes de proseguir, debo señalar una primera duda respecto de la Proposición de Ley. El artículo 2 referido a las “Cuentas Públicas” parece referirse a las cuentas de la Generalitat desde las que se realice la cuenta aunque el uso del concepto de «Número de Identificación Fiscal asociado a la cuenta» en lugar de Código de Identificación Fiscal me hace dudar del objeto. Y en este sentido me permito realizar una primera sugerencia en lo que se refiere a la técnica legislativa. De prosperar la tramitación de la norma sería muy conveniente distinguir de modo preciso entre los datos a publicar en el caso del emisor, separados de los relativos al receptor y al movimiento.

Dicho esto, permítanme señalar que del juego combinado de datos que existen en un movimiento bancario pueden obtenerse todo tipo de datos:

  • Identificación.

  • Salud y/o condición social (ayudas a la dependencia).

  • Actividad laboral, funcionarial o la condición de estudiante.

  • Salario neto incluidos complementos personales.

  • Ideología sindical cuando por ejemplo se detraiga una cuota sindical aisladamente por error.

Por tanto resulta necesario tener en cuenta la necesidad de resolver los conflictos que puedan producirse teniendo en cuenta tanto la jurisprudencia existente como los propios criterios legislativos.

  • La STJUE dictada en el caso Lindqvist estableció que publicar datos en una web era un tratamiento sujeto a la Directiva.

  • La STJUE dictada en el caso Google-Costeja se refirió al derecho al olvido si bien situó en el ámbito del interés público una posible limitación a este derecho.

  • Finalmente la STJUE dictada en el en el caso Volker und Markus Schecke (C-92/09), Hartmut Eifert (C-93/09) y Land Hessen, señalo que la publicación de información sobre subvenciones exige que en la redacción de la normativa se aplique un juicio de proporcionalidad previo.

Este último es en mi opinión el reto que debe afrontar el legislador valenciano. No se trata de que en mi comparecencia yo transmita a los señores y señoras diputados y diputadas un juicio de valor en términos de un rechazo o de una aceptación global de la Proposición. El reto para el legislador en mi opinión es otro, es el de depurar la técnica legislativa de modo que pueda conciliarse el interés de nuestra sociedad en disponer de una democracia transparente, regida por el principio de rendición de cuentas y capaz de proporcionar al ciudadano información para la toma de sus decisiones. Por ello, creo que la respuesta no es un “sí” o un “no” sino un cómo. Y para ello, de poco sirven las meras disquisiciones académicas hay que poner los pies en el suelo y desarrollar estrategias muy concretas:

1) En primer lugar a mi juicio la referencia del artículo 1.4 a la LOPD responde a una técnica de remisión muy común. De mantenerse debería completarse en los siguientes términos:

  • Mediante referencia expresa a lo dispuesto por el artículo 15 de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno.

  • Asimismo debería precisarse el inciso final referido a «otras leyes que reserven expresamente el carácter secreto de algún dato», a los términos que los que se refiere la Directiva esto es « la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dicho tratamiento esté relacionado con la seguridad del Estado) y las actividades del Estado en materia penal», o el art. 8.2 CEDH cuando se refiere a «la seguridad nacional, la seguridad pública, el bienestar económico del país, la defensa del orden y la prevención de las infracciones penales, la protección de la salud o de la moral, o la protección de los derechos y las libertades de los demás».

2) Deberían aplicarse tres juicios que a su vez permitirán mejorar el contenido normativo:

  • Proporcionalidad y privacy by default. Limitando la información a la estrictamente necesaria.

  • Privacy by design.

  • Privacy impact assessment.

Ello debería suponer un cambio significativo en el artículo 4 cuyo tenor literal debería incorporar los siguientes valores:

  1. Límites en la descripción de algunos ámbitos:

  1. La información será presentada conforme a los estándares ordinarios de la actividad bancaria a la hora de suministrar información a la clientela, favoreciendo en todo momento la fácil comprensión de los datos mostrados.

Con carácter previo a la plena aplicación de la esta Ley se desarrollará un análisis de los conceptos comúnmente utilizados y se elaborarán circulares o instrucciones que ordenen el uso de un lenguaje técnico, aséptico y no invasivo en lo relativo a la información personal que pudieran revelar.

  1. b) Inclusión de un deber de análisis previo respecto del impacto en determinadas categorías de sujetos o movimientos.

  2. Asimismo, se elaborará un estudio de impacto en el derecho a la protección de datos personales que establezca aquellos supuestos en los que la publicación de la información pudiera afectar significativamente al derecho fundamental a la protección de datos y a los derechos de las personas.

En particular se considerarán los riesgos que pudieran afectar a los tratamientos de los datos especialmente protegidos a los que se refiere el artículo 7 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, aquellos que afecten a los menores, a personas víctimas de violencia doméstica de género y los que impliquen riesgos para la seguridad personal del afectado, personas en situación de exclusión social y supuestos equiparables.

  1. c) Inclusión de una cláusula de anonimización.

En caso de que prevalecieran los derechos del afectado o se apreciase la existencia de alguno de los riesgos señalados en el párrafo anterior la información se publicará anonimizada de modo irreversible.

Para finalizar, permítanme señalar que esta Comunidad Autónoma ni ha creado una autoridad independiente de control de la transparencia ni tampoco cuenta con una en materia de protección de datos personales. En este sentido contar con verdaderos expertos, conocedores de la realidad más allá del mero academicismo facilitaría de modo extraordinario la viabilidad de legislación como la que aquí se examina hoy.

Por otra parte, y en gran medida apostar por una adecuada implantación de condiciones de cumplimiento normativo en protección de datos en el conjunto de la Generalitat permitiría que el diseño de las aplicaciones pudieran facilitar precisamente lo que aquí se persigue dotar de transparencia a la acción de gobierno salvaguardando los derechos de los ciudadanos.