RECOMENDACIÓN 2/2008, DE 25 DE ABRIL, DE LA AGENCIA DE PROTECCIÓN DE DATOS DE LA COMUNIDAD DE MADRID, SOBRE PUBLICACIÓN DE DATOS PERSONALES EN BOLETINES Y DIARIOS OFICIALES EN INTERNET, EN SITIOS WEBS INSTITUCIONALES Y EN OTROS MEDIOS ELECTRÓNICOS Y TELEMÁTICOS.
I
La Agencia de Protección de Datos de la Comunidad de Madrid es un ente de derecho público que vela por el cumplimiento de la legislación sobre protección de datos, controlando su aplicación, en especial en lo relativo a los derechos de información, acceso, oposición, rectificación y cancelación de datos, así como en lo relativo a la comunicación de datos personales entre las Administraciones Públicas en el ámbito de los ficheros con datos de carácter personal creados o gestionados por las Instituciones de la Comunidad de Madrid y por los órganos, organismos, entidades de derecho público y demás entes públicos integrantes de su Administración Pública, a los que se refiere el artículo 2 
de la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid.
En concreto, esta función de control se extiende sobre los ficheros y tratamientos de datos personales informatizados y no informatizados cuya titularidad corresponda a la Administración de la Comunidad de Madrid, a las Corporaciones Locales de dicho ámbito territorial, a las universidades públicas de Madrid, y a las corporaciones de derecho público de dicho territorio cuando ejerzan potestades de derecho público.
Junto a esta función de control, la Agencia de Protección de Datos de la Comunidad de Madrid ejerce también una función de interpretación de la normativa vigente en materia de protección de datos y del resto de la normativa que regula la actividad administrativa que pueda afectar al derecho fundamental a la protección de datos personales. Esta función interpretativa se manifiesta no solo a través de la emisión de informes jurídicos que ofrecen respuesta a las consultas planteadas a la Agencia por los responsables de ficheros, sino también a través de la elaboración de Instrucciones y Recomendaciones, tratando de dar respuesta a la aplicación de la protección de datos en determinados sectores administrativos, garantizando en todo momento el derecho fundamental de la protección de los datos de carácter personal de los ciudadanos.
En esencia, como ha señalado el Director de la Agencia en la publicación “Derecho Público y Administración de la Comunidad de Madrid”, para llevar a cabo una adecuación del derecho a la protección de datos personales en relación con las Administraciones Públicas, es necesario interpretarlo de conformidad con otros derechos fundamentales, que exigen una actividad pública objetiva de prestación de los mismos. Esta labor de interpretación tiene que ser desarrollada especialmente por las autoridades autonómicas, ya que su ámbito de control son los tratamientos de datos personales realizados por las Administraciones Públicas. Así, la Agencia de Protección de Datos de la Comunidad de Madrid ha analizado el contenido del derecho fundamental a la protección de datos personales para las Administraciones Públicas, Administración Autonómica, Local, colegios profesionales y universidades públicas, mediante la aprobación de diversas Instrucciones y Recomendaciones en ámbitos públicos específicos, que representan un esfuerzo de interpretación del contenido del derecho fundamental a la protección de datos en el ámbito público. Estas Instrucciones y Recomendaciones recogen los criterios establecidos por la Agencia en las distintas respuestas a consultas formuladas por responsables públicos, permitiendo su exposición de manera más abstracta y general, superando los aspectos más concretos de cada supuesto de hecho, lo que facilita su conocimiento.
Así, se pueden citar la Recomendación 1/2004, de 14 de abril, de la Agencia de Protección de Datos de la Comunidad de Madrid, sobre la utilización y tratamiento de datos del padrón municipal por los Ayuntamientos de esta Comunidad Autónoma; la Recomendación 2/2004, de 30 de julio, de la Agencia de Protección de Datos de la Comunidad de Madrid, sobre custodia, archivo y seguridad de los datos de carácter personal de las historias clínicas no informatizadas; la Recomendación 1/2005, de 5 de agosto, de la Agencia de Protección de Datos de la Comunidad de Madrid, sobre Archivo, Uso y Custodia de la Documentación que compone la Historia Social no informatizada por parte de los Centros Públicos de Servicios Sociales de la Comunidad de Madrid; y la Recomendación 1/2006, de 3 de abril, de la Agencia de Protección de Datos de la Comunidad de Madrid, sobre cesiones de datos de empleados públicos de la Comunidad de Madrid a las secciones sindicales, comités de empresa y juntas de personal.
Es necesario destacar más recientemente, dentro de esta labor de desarrollo normativo, el dictado por la Agencia de dos nuevas normas, la Instrucción 1/2007, de 16 de mayo, de la Agencia de Protección de Datos de la Comunidad de Madrid, sobre el tratamiento de datos personales a través de sistemas de cámaras o videocámaras en el ámbito de los Órganos y Administraciones Públicas de la Comunidad de Madrid, y la Recomendación 1/2008, de 14 de abril, de la Agencia de Protección de Datos de la Comunidad de Madrid, sobre el tratamiento de datos personales en los Servicios Sociales de la Administración de la Comunidad de Madrid y en los Servicios Sociales de los Entes Locales de la Comunidad de Madrid.
Como ya señalaba en su Memoria de 2006, la Agencia de Protección de Datos de la Comunidad de Madrid lleva varios años realizando un exhaustivo análisis de la problemática derivada de la publicación de datos personales a través de Internet, con el objetivo de elaborar una Recomendación sobre la recogida, tratamiento y publicación de dichos datos personales en Boletines y Diarios Oficiales y en sitios web institucionales.
En los últimos años la Agencia ha venido presentando en diversas conferencias nacionales e internacionales su punto de vista sobre la publicación de datos personales en los referidos medios. Así, en el XV Case Handling Workshop (Grupo de Quejas y Reclamaciones Transfronterizas de la Unión Europea) celebrado en Helsinki (Finlandia) los días 23 y 24 de abril de 2007, la Agencia de Protección de Datos de la Comunidad de Madrid tuvo la ocasión de presentar el contenido de su borrador sobre publicación de datos y protección de datos en Internet, recibiendo interesantes aportaciones de las Autoridades de Protección de Datos de Noruega, Eslovaquia y del Supervisor Europeo de Protección de Datos. De este modo, la Agencia de Madrid fue la primera Autoridad de control en plantear esta cuestión en el marco del grupo de trabajo. Posteriormente otras autoridades dieron continuidad a los trabajos iniciados por la Agencia de Madrid en las reuniones de Lisboa, año 2007, y Eslovenia, 2008.
A su vez, el Director de la Agencia de Protección de Datos de la Comunidad de Madrid tuvo la oportunidad de explicar el contenido del documento borrador de la Agencia sobre publicación de datos personales en Boletines Oficiales y en Internet en la ponencia sobre “Acceso a información pública y transparencia administrativa” dentro del IV Encuentro entre Agencias Autonómicas de Protección de Datos, organizado por la Agencia Vasca de Protección de Datos y celebrado en Vitoria los días 23 y 24 de octubre de 2007, y, anteriormente, en una conferencia dictada ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional el 16 de mayo de 2006.
En este marco hay que mencionar también la firma el 20 de diciembre de 2007 de un Convenio de colaboración con Access Info Europe, una Organización de Derechos Humanos miembro de Freedom of Information Advocates Network, dedicada a promover y proteger el derecho de acceso a la información en Europa y a contribuir a la transparencia en el gobierno y en los organismos públicos.
Además, los trabajos de la Agencia se han desarrollado, de una parte, mediante la elaboración de informes dando respuesta a las consultas planteadas por los responsables de ficheros, y, de otra parte, mediante la tramitación de procedimientos de tutela de derechos y de control del cumplimiento de la legislación, en los cuales los ciudadanos han solicitado la cancelación de sus datos personales que aparecían en el BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID y en sitios web institucionales.
Respecto a los informes evacuados por la Agencia, cabe mencionar, entre otros muchos, los relacionados con las siguientes materias:
En 2002, sobre publicación de listados de aspirantes en sitios web, y en 2003 los informes sobre publicación de actas de celebraciones de los Plenos de los Ayuntamientos en sitios web; sobre publicación en webs corporativas de los datos personales de los calificados para la concesión de un premio extraordinario de Bachillerato; sobre la publicación en web de las listas provisionales de excluidos y de adjudicatarios de las ayudas para la realización de estudios en Ciencias de la Seguridad en el curso 2002-2003; sobre la publicación en web del Consejo General del Colegio Profesional de Fisioterapeutas de datos personales de los colegiados; y sobre la publicación en la web de la Consejería de Presidencia de los datos personales de los representantes de empresas.
En 2004, sobre publicación de acuerdos adoptados por los órganos de gobierno de los colegios profesionales en sitios web; sobre publicación en la web de un vecino de las actas de los Plenos de un Ayuntamiento; sobre publicación en Boletines Oficiales de los datos personales de los adjudicatarios de plazas de educación de adultos en los centros penitenciarios mediante el sistema de concurso de traslados; sobre la publicación en la web de un Ayuntamiento de las actas de plenos y juntas de gobierno local que pudieran contener datos personales de vecinos; sobre la publicación en la web de un colegio oficial de los acuerdos suscritos con empresas en los que pudieran figurar datos personales; sobre la publicación en web por la Dirección General de Industria, Energía y Minas de listados de empresas/profesionales que pudieran contener datos de personas físicas; sobre la publicación en web corporativa de los datos personales del titular de los centros sanitarios con autorización definitiva de la Comunidad de Madrid inscritos en el Registro de Centros Sanitarios; sobre los requisitos legales que debe cumplir una página web de un hospital en materia de protección de datos personales, y sobre la recogida de datos personales a través de Internet para crear la correspondiente “tarjetas de donante” y la remisión de los datos a los centros encargados de imprimirlas y distribuirlas.
En 2005, sobre la publicación de las notas de mayores de veinticinco años en las pruebas de acceso a la universidad en sitios web; sobre la publicación de directorios en sitios web; sobre la publicación en web de los premiados por la promoción del espíritu emprendedor en la escuela; sobre la designación de personal del Canal de Isabel II como colaborador de agente de la autoridad y publicidad en relación con el mismo en el BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID incluyendo su NIF, y sobre la publicación del complemento retributivo por méritos individuales de las universidades madrileñas (años 2005, 2006, 2007 y 2008).
En 2006, sobre la publicación de datos de profesores en sitios web; sobre la publicación de los datos del listado de instaladores en sitios web; sobre la oposición por colegiados a la publicación de sus datos profesionales en las webs corporativas; sobre la posibilidad de publicar, y en qué medida, las sanciones disciplinarias firmes impuestas a los profesionales de un sector en la web de su colegio profesional; sobre la posibilidad de publicar los currículos personales en la web de una escuela de arte; sobre la publicación de las listas de los adjudicatarios de ayudas de libros de texto y material didáctico para el curso escolar 2006-2007; y sobre la presentación telemática de solicitudes en los procedimientos del Registro de Licitadores de la Comunidad de Madrid y la consulta en Internet de los datos registrados.
En 2007, sobre la publicación de información de carácter personal en un foro; sobre la visualización de direcciones de correo electrónicos por todos los alumnos participantes en un curso on-line; sobre la publicación en Internet de fotos de estudiantes en un determinado proyecto educativo; sobre la publicación en web de listados con datos personales relacionados con las ayudas de libros de texto y material didáctico para el curso escolar 2008-2009; sobre la licitud de publicar en la Intranet de un Ayuntamiento un listado del censo electoral en formato PDF, elaborado con motivo de las elecciones sindicales; y sobre publicación de listados provisionales y definitivos de personas, en procedimientos de concurrencia competitiva, promovidos por la Consejería de Educación (años 2007 y 2008).
En 2008, sobre la publicación de censos electorales en web de corporaciones de derecho público con ocasión de las elecciones en las mismas; sobre la publicación de datos personales en portales de empleo y en redes virtuales de fomento del liderazgo de la mujer de la Consejería de Empleo y Mujer; sobre la publicación en la web corporativa de un Ayuntamiento, en “abierto”, de determinados datos personales de trabajadores municipales despedidos por acumulación de faltas graves; sobre la publicación en la web de un colegio profesional de listados profesionales y su contenido; sobre la posibilidad de facilitar y publicar en la web de un consejo general de determinada profesión los datos personales de los profesionales inscritos en sus respectivos colegios profesionales de residencia; sobre el tratamiento en web de los censos electorales de federaciones deportivas; sobre la página web “micromadrid” y los datos personales, especialmente de menores, que en ella pudieran figurar; sobre la publicación en web de listados de personas relacionados con las ayudas al estudio a alumnos con aprovechamiento académico excelente para cursar estudios en las universidades de la Comunidad de Madrid (2008-2009); sobre la publicación en web de listados con datos personales, relacionados con ayudas para cursar estudios de postgrado en educación en universidades del Reino Unido y en la República de Irlanda (2008-2009); sobre la publicación en web de listados relacionados con becas de comedor escolar (2008-2009); sobre la publicación en web de listados con datos personales, relacionados con ayudas para el fomento de la movilidad de los estudiantes universitarios de las universidades de Madrid (2008-2009); sobre la publicación en web de listados con datos personales, relacionados con becas para la escolarización en centros privados en el primer ciclo de educación infantil (2008-2009); sobre la publicación en web de los listados con datos personales, relacionados con de ayudas para la realización de contratos de personal investigador de apoyo en el marco del IV Plan Regional de Investigación Científica e Innovación Tecnológica 2005-2008, y sobre la publicación en web de listados con calificaciones de los aspirantes a ingresar en el cuerpo de profesores de enseñanza secundaria, profesores de música, artes escénicas y profesores técnicos de formación profesional, incluyendo las personas que han superado la fase de concurso oposición y las que no.
En relación con sus resoluciones, la Agencia de Protección de Datos de la Comunidad de Madrid tramitó en 2006 un procedimiento de tutela de derechos, dictando el 13 de febrero de 2007 la correspondiente resolución, en la que se afirma que los datos publicados en un Diario Oficial a través de formato electrónico pueden cancelarse cuando ha desaparecido la causa que motivó su publicación.
En el supuesto señalado, un ciudadano manifestaba que sus datos personales relativos a nombre y apellidos, número de documento nacional de identidad y dirección, aparecían en los buscadores de Internet, así como en un BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID, con una reseña alusiva a la prestación económica de renta mínima de inserción social. En consecuencia solicitaba la retirada de Internet del BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID en el cual aparecía dicha reseña.
La denegación del derecho de cancelación de los datos del afectado fue sometida a la tutela de la Agencia, quien resolvió estimando dicha reclamación de tutela, e instando al borrado de los datos personales referidos en el BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID. La argumentación esgrimida por la Agencia en su resolución estimatoria, se basó, de una parte, en la finalización del propio procedimiento administrativo, mediante una resolución firme, lo que conllevaría la desaparición del motivo que provocó la publicación en el Boletín Oficial correspondiente, con lo cual, finalizado el procedimiento, desaparecía la necesidad de dar publicidad al acto que requirió la publicación para dar continuidad al propio proceso administrativo, y, de otra parte, a que la publicación en formato electrónico no pierde actualidad, y la posibilidad de visualizar los contenidos de Boletines Oficiales de años atrás, a través de Internet, es algo habitual y que da actualidad y permanencia a datos que ya no son actuales, y que no debieran tener permanencia, como es el hecho de una notificación de un procedimiento administrativo finalizado.
En idéntico sentido, también en 2007 la Agencia resolvió sobre el borrado de los datos personales de un ciudadano que aparecían en un sitio web institucional, ya que la citada publicación no estaba amparada por la Ley.
Finalmente, respecto al control del cumplimiento de la normativa sobre protección de datos, entre otras, cabe destacar especialmente el dictado de sendas resoluciones de infracción, en 2006, contra la Consejería de Educación (Dirección General de Universidades e Investigación), en relación con el procedimiento de concesión del complemento autonómico por méritos individuales del personal docente e investigador de las universidades públicas de Madrid, por vulneración del principio de calidad de datos, por publicación excesiva de datos de carácter personal, al haberse procedido a la publicación indebida de datos excesivos en Internet, como son la valoración otorgada por “sexenios relativos”, “proyectos de investigación” y quinquenios, y por no haber cancelado debidamente la información personal publicada cuando dejó de ser necesaria para las finalidades legalmente previstas.
II
Como ya señaló el Director de la Agencia en su ponencia “Acceso a información pública y transparencia administrativa”, el acceso a información pública tiene en nuestro país un sólido fundamento constitucional, aunque no ha sido expresamente reconocido como derecho como ocurre en otros países. En cualquier caso, no es un derecho absoluto sino que está sometido a límites, unos límites que deben encontrarse establecidos en una Ley, ser legítimos, apoyarse en otro bien o valor constitucional, y ser proporcionales. La necesidad de la reserva de la documentación administrativa se hace especialmente presente cuando el acceso a información pública supone el acceso a datos personales sometidos a tratamiento. En este caso, este acceso se encuentra limitado por el derecho fundamental a la protección de datos personales que regula el flujo de información relativa a personas, un derecho claramente reconocido a nivel europeo. Un acceso indiscriminado a información pública puede suponer un transparencia absoluta no solo de la Administración sino de los ciudadanos ante la sociedad, lo que vulnera no solo nuestro derecho fundamental a la protección de datos personales sino también nuestro derecho a la intimidad que es un presupuesto para una mínima calidad de vida, para la dignidad y para la libertad personal. Por tanto, la eficacia del derecho fundamental a la protección de datos personales obliga a poner límites al acceso a información pública que se sustancie sobre datos personales. En todo caso hay que señalar que no basta la presencia de un dato personal para que entre en juego el derecho fundamental a la protección de datos personales. Este derecho no tiene por objeto proteger en todos los supuestos los datos personales. Este derecho protege las libertades y los derechos fundamentales frente a los tratamientos de datos personales (artículo 1 LOPD). Es decir, para que se pueda ejercer un derecho fundamental a la protección de datos personales no basta la presencia de datos de carecer personal; tiene que haber tratamiento de datos personales. Este derecho no protege los datos ya que el riesgo no es que haya datos sino que existan tratamientos de datos personales. Por tanto, para que entre en juego el derecho fundamental a la protección de datos personales es necesario que los datos de carácter personal se hallen registrados en un soporte físico que los haga susceptibles de tratamiento (artículo 2.1 LOPD). No obstante, la puesta en marcha de la Administración electrónica hace que la documentación administrativa sea sometida a tratamientos automatizados lo que implica que el acceso a información administrativa afecte al derecho fundamental a la protección de datos personales. La publicación de información que contenga datos personales a través de Boletines Oficiales o de sitios web en Internet supone también un tratamiento de datos personales al ser una operación o procedimiento técnico que permite la cesión de datos de carácter personal [artículo 3.g) LOPD].
Hay que reconocer, llegados a este punto, que la normativa de protección de datos personales no facilita, en general, el principio de transparencia administrativa. Así, la LOPD omite una referencia clara al acceso a la información pública o a la publicidad, haciendo una mención tasada a las que deben ser consideradas fuentes accesibles al público [artículo 3.j) LOPD]. El acceso a información pública debe alcanzarse respetando la normativa relativa a las cesiones de datos. La LOPD exige como regla general el consentimiento del interesado para la cesión de datos personales (artículo 11.1 LOPD). Esto se aplica también a la publicación de datos personales en Boletines Oficiales y páginas web. Hay que señalar, no obstante, que en nuestro país, la LOPD considera legítima la cesión de datos personales, a falta del consentimiento del interesado, cuando esté autorizada en una Ley, se trate de datos recogidos en fuentes accesibles al público o el tratamiento responda a la libre y legítima relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros (artículo 11.2 LOPD). Así, volvería a entrar en juego de nuevo la LRJAP y PAC en este caso como habilitación legal que permite la cesión de datos personales objeto de tratamiento sin consentimiento del interesado. La LRJAP y PAC limita la publicidad de los actos administrativos a los casos en que exista una pluralidad abierta de interesados, a los procedimientos selectivos o de concurrencia competitiva o cuando existan problemas de notificación (artículo 59). Por tanto, no es necesario el consentimiento previo del afectado para la publicación de sus datos personales en Boletines Oficiales o páginas web cuando esta publicación se fundamente en alguno de los supuestos previstos en la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones públicas y del Procedimiento Administrativo Común. Tampoco será necesario este consentimiento cuando la publicación se realice en aplicación de otra norma con rango de Ley o de otra norma comunitaria de aplicación directa.
Este planteamiento del legislador limita mucho en nuestro país el acceso a información administrativa y la publicación a iniciativa de la Administración ya que no existe una habilitación legal clara que permita la cesión de datos personales sin un interés legítimo y sin consentimiento del interesado en beneficio del principio de transparencia administrativa. Es decir, la LOPD no contempló como límite al derecho fundamental a la protección de datos personales un derecho de acceso a información administrativa sin interés legítimo ni previó una publicación generalizada de información administrativa con datos personales a instancias de la Administración. Este panorama legal en España es consecuencia, aunque solo sea parcialmente, de la Directiva Comunitaria 95/46/CE, de la que la normativa española es transposición, que tampoco contempla el acceso a documentos públicos como límite al derecho fundamental a la protección de datos personales ya que únicamente señala en el Considerando 72 “que se tenga en cuenta el principio de acceso público a los documentos oficiales a la hora de aplicar los principios expuestos en la presente Directiva”. En todo caso, la Directiva establece algunas excepciones al consentimiento del interesado que facilitan el acceso a tratamientos de datos personales que obran en la Administración Pública y permiten al legislador un margen para en el futuro materializar mejor el principio de transparencia. El facilitar el acceso a información pública puede ser considerado necesario “para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento”, “para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos” o cuando “es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos o libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva” [artículo 7.c), e) y f)].
El derecho fundamental a la protección de datos personales representa, en todo caso, un importante límite a la publicación de datos personales ya que la publicación supone un tratamiento masivo de información, una cesión indiscriminada de datos personas sin cesionario conocido. No hay que olvidar, como hemos señalado anteriormente, que la protección de datos personales nace como un derecho a controlar la información personal frente a los tratamientos y la publicación es un tratamiento masivo. La protección de datos es el derecho al control de los datos personales, a saber quién tiene mis datos y para qué los va a usar, y que comporta un conjunto de facultades para imponer unos comportamientos activos u omisivos al responsable del fichero. En cambio, la publicación de datos personales hace que el ciudadano pierda el control de su información personal, deja de saber quien tiene sus datos y para que finalidad. Además, las tecnologías de la información permiten fácilmente el tratamiento de los datos personales que se encuentran publicados en Boletines Oficiales y en Internet. Así, los motores de búsqueda basados en la indexación de los contenidos de Diarios Oficiales y páginas web pueden facilitar la utilización de técnicas de minería de datos que permite la captura masiva de información personal, el establecimiento de perfiles de las personas y la generación de bases de datos privadas. Además, esta publicación permite la captación de esta información desde servidores sin nivel equivalente de protección lo que puede menoscabar aún más gravemente nuestro derecho fundamental y hacer inútiles los principios, los derechos y los instrumentos de control establecidos en la legislación.
Por tanto, es lógico que el derecho de acceso a información pública se encuentre limitado en muchas ocasiones por el derecho fundamental a la protección de datos personales. Y viceversa, que el derecho fundamental a la protección de datos personales se encuentre limitado por el acceso a información pública. Hay unas premisas que deben cumplirse y que legitiman los límites y las intromisiones en los derechos fundamentales: El límite debe estar previsto en una Ley, debe ser un bien o valor constitucional y debe respetarse el principio de proporcionalidad. Tanto la protección de datos personales como el acceso a información pública son bienes o valores constitucionales. Existen en algunos supuestos una clara previsión legal que establece la publicidad, en los supuestos previstos en la LRJAP y PAC y en otras Leyes sectoriales o normas comunitarias de aplicación directa, o bien la publicidad responde a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implica la publicación [artículo 11.2.a) y c) LOPD]. No obstante, la habilitación legal para la publicación de la información personal, o la existencia de una relación negocial, elude la necesidad del consentimiento del interesado pero no la vigencia del principio de calidad. Es decir, la publicación siempre tiene que respetar el principio de calidad, que exige que el tratamiento de datos personales sea adecuado, pertinente y no excesivo en relación con la finalidad (artículo 4.1 LOPD). La publicidad, como todo tratamiento de datos personales, tiene que respetar el principio de finalidad y solo será legítima cuando se limite a la finalidad que la justifique, no pudiendo suponer un tratamiento excesivo. Además, este principio obliga a cancelar la información cuando haya dejado de ser necesaria o pertinente para la finalidad (artículo 4.5 LOPD). Si bien le corresponde al legislador determinar la existencia de un interés público que justifica la publicidad de una información personal, éste no concreta siempre y en todos los casos la forma de la publicidad (Boletines Oficiales, sitios web en Internet, espacio privado en Internet, Intranet, tablones de anuncios) ni fija los concretos datos personales que deben hacerse públicos. Esto obliga a tener especialmente presente la aplicación del principio de proporcionalidad. Hay que recordar llegados a este punto que la propia Ley 11/2007 , de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos establece como principio general de la utilización de las tecnologías de la información por parte de las Administraciones Públicas, el respeto “al derecho a la protección de datos de carácter personal en los términos establecidos por la Ley Orgánica 15/1999 , de Protección de Datos de Carácter Personal”, indicando también la importancia del “principio de proporcionalidad” [artículos 4.a) y g)]. El reto en este ámbito es hacer compatible publicidad con proporcionalidad.
El principio de proporcionalidad obliga a analizar la injerencia en el derecho fundamental a la protección de datos personales derivada del acceso a información administrativa a la luz del juicio de adecuación, de necesidad y de proporcionalidad en sentido estricto. Así, en muchas ocasiones, obviamente no en todas, la intromisión en el derecho fundamental a la protección de datos personales es necesaria para facilitar el acceso a información administrativa, por lo que ésta limitación pasaría el juicio de adecuación. El juicio de proporcionalidad en sentido estricto nos obliga a ponderar en cada caso si el fin a alcanzar, el bien constitucional que requiere el acceso a información administrativa, es proporcional con el medio, la intromisión en el derecho fundamental a la protección de datos personales, un análisis que no siempre deja cerrado el legislador y que no es fácil despegar del supuesto concreto. En este caso, habrá que valorar, por una parte, el nivel de injerencia en el derecho fundamental a la protección de datos personales, derivado del nivel de publicidad, del tipo de dato personal al que se va a tener acceso, si es o no de público conocimiento, y las consecuencias negativas que esto puede tener en el interesado, y, por otra, el interés público real que hay en el acceso a esa información administrativa. Por último, el juicio de necesidad obliga a analizar si la injerencia es necesaria para alcanzar el fin o si, por el contrario, hay una medida que supone una menor restricción en el derecho fundamental a la protección de datos pero que sirve para alcanzar el mismo fin de manera igualmente eficaz. El juicio de necesidad nos obliga a analizar el carácter imprescindible o no de la injerencia y si se puede alcanzar el mismo fin con un menor nivel de intrusión en el derecho fundamental a la protección de datos personales. Por tanto, el principio de proporcionalidad nos lleva a analizar seguidamente los distintos niveles de injerencia en el derecho fundamental a la protección de datos personales, derivado de los distintos niveles de publicidad, de la tipología de datos personales objeto de la publicidad y de los diferentes intereses públicos en presencia. La clave, como señalaremos más adelante, es alcanzar el interés público y el valor constitucional que demanda la publicidad con el menor nivel de injerencia en el derecho fundamental a la protección de datos personales.
Existen distintos niveles de injerencia en el derecho fundamental a la protección de datos personales derivado de los distintos niveles de publicidad. Así, el acceso a información pública puede ser más o menos gravoso en relación con el derecho fundamental a la protección de datos personales dependiendo de la clase de publicidad. A estos efectos, no es lo mismo el acceso en un registro público a una información administrativa en la que se contengan datos personales, a que te faciliten copia del expediente, a la publicación de esa información en un tablón de anuncios, a la publicación en una Intranet, a la publicación en un espacio privado en Internet, a la publicación abierta en Internet en un tablón de anuncios electrónicos y a la publicación en un Boletín Oficial. Así, la publicación de una información personal en un Boletín Oficial supone el más elevado nivel de intromisión en el derecho fundamental a la protección de datos personales porque atribuye a esta el carácter de fuente accesible al público, lo que permite la consulta por cualquier persona sin más límite que el abono, en su caso, de una contraprestación y con un conjunto de consecuencias en materia de publicidad y prospección comercial (artículo 30 LOPD) y en relación con los servicios de solvencia patrimonial y de crédito (artículo 29 LOPD), unos efectos que no tiene aquello que se publica simplemente en Internet y que no alcanza el carácter de fuente accesible al público. Además, es posible el tratamiento de estos datos personales que figuren en fuentes accesibles al público (artículo 6.2 LOPD) y su cesión a terceras personas [artículo 11.2.b) LOPD] sin consentimiento del interesado, unos efectos que tampoco tiene aquello que se publica únicamente en Internet. La publicación de un dato personal en un Boletín Oficial hace que estos datos potencialmente se mantengan eternamente en Internet y que se encuentren a través de los distintos buscadores. Es más fácil cancelar la información en Internet mientras que hasta ahora no ha sido posible bloquear la información personal que se encuentra recogida en las ediciones electrónicas de los Boletines Oficiales. La publicación de una información en Internet, si bien supone un menor nivel de intromisión que la que se incluye en un Boletín Oficial, es más sencilla la cancelación de la información que, además, no se convierte en una fuente accesible al público, hace complicado evitar su uso para finalidades distintas, algo que se puede evitar mejor con la publicación restringida en un espacio privado en Internet, con una clave de acceso, o en una Intranet que limita el acceso a las personas que ostentan un interés legítimo. En muchas ocasiones lo más adecuado es proceder a la publicación de datos personales en una Intranet o en un espacio privado en Internet que tenga restringido el acceso a los interesados mediante la utilización de claves personalizadas. La configuración de estos espacios privados en Internet, que puede ser tanto para los ciudadanos como para los empleados públicos permite, al mismo tiempo, el acceso a la información a quien tenga un interés legítimo y la confidencialidad de la misma para terceras personas. Lógicamente, la publicación en un espacio privado en Internet o en una Intranet permite más los tratamientos de la información que el mero acceso a la propia información personal o la publicación en un tablón de anuncios. En todo caso, la protección de datos personales no puede suponer una barrera para el uso de las nuevas tecnologías. El reto es tratar de hacer compatibles los beneficios que comportan las nuevas tecnologías con el mantenimiento de la confidencialidad de la información, evitando cesiones masivas de información que no son necesarias. Existen, por tanto, distintos los niveles de injerencia en el derecho fundamental a la protección de datos personales dependiendo de la modalidad de publicidad. Le corresponde al responsable público optar siempre por el medio que, facilitando la información administrativa al ciudadano y cumpliendo el interés público, suponga la menor intromisión posible en el derecho fundamental a la protección de datos personales.
El principio de calidad exige que los datos de carácter personal sean exactos y puestos al día. Esto obliga a revisar de manera periódica los sitios web institucionales para mantener actualizada la información y corregir los errores existentes, implantando las necesarias medidas de seguridad que eviten la manipulación por terceros de la información personal. Además, mientras que la publicación en papel del Boletín Oficial pierde actualidad, esto no ocurre con la edición electrónica, que permite ver contenidos de Boletines Oficiales antiguos, dando una imagen de actualidad y permanencia a una información que en muchas ocasiones ya no tiene ese carácter. El principio de calidad establece que los “datos personales serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados” (artículo 4.5 LOPD). La información solo puede mantenerse publicada por el tiempo necesario para cumplir la finalidad que justifica la publicación. Por tanto, no respeta el principio de proporcionalidad la publicación eterna de determinados datos personales cuando esta haya dejado de ser necesaria. Así, una cosa es la publicación de una información cuya finalidad permanece en el tiempo, por ejemplo, la publicación de las personas que han accedido a la función pública, y otra cosa es la publicación como forma de notificación del interesado, por ejemplo, por problemas en la notificación, y que pierde el sentido terminado el plazo legal de reclamación. No parece adecuado mantener de manera permanente en Internet los datos de personas sancionadas o de perceptores de ayudas a la integración social. Pudo haber en su momento un interés público en la publicidad de esta información para facilitar el control y el conocimiento social pero este interés no es permanente y desaparece con el paso del tiempo lo que convierte a este tratamiento en excesivo. Lo razonable es bloquear la información de la edición electrónica del Boletín Oficial cuando hayan finalizado los plazos de recurso. La publicidad permanente supone una intromisión continuada en el derecho fundamental a la protección de datos personales y es, por tanto, una injerencia en el derecho fundamental que no respeta el principio de proporcionalidad. Por ello, los órganos administrativos que ordenan la publicación de una información deben fijar también el plazo necesario de publicación, transcurrido el cual la información debe bloquearse.
La publicación en formato electrónico mantiene como actuales y permanentes datos sobre personas que no son “exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado” (artículo 4.3 LOPD). Por tanto, la eficacia jurídica del derecho a la protección de datos personales, y, en concreto, del principio de calidad obliga a bloquear la información de la edición electrónica del Boletín cuando haya dejado de ser necesaria y cuando no exista ya un interés público. La Ley 11/2007 , de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos establece que la publicación de los Boletines o Diarios Oficiales en las sedes electrónicas de la Administración, órgano o entidad competente, pasa a tener, en los términos que cada Administración Pública determine, los mismos efectos atribuidos a su edición impresa. El bloqueo permite asegurar la integridad e inalterabilidad de la información, al mismo tiempo que se limita la publicidad cuando ya se ha cumplido esa finalidad. En todo caso, también se pueden establecer algunas limitaciones al acceso a la información por parte de los motores de búsqueda que permiten la localización y tratamiento de datos personales recogidos en Boletines Oficiales, que puedan consultarse en Internet, y en sitios web en Internet a partir de la indexación de contenidos. Las propias herramientas de búsqueda del Boletín o Diario Oficial pueden establecer límites a la localización masiva de información personal. La obligación de cancelar la información cuando ha dejado de ser necesaria se aplica también a la publicación de datos personales en un espacio privado en Internet, en una Intranet y en tablones de anuncios, que debe limitarse al plazo necesario e imprescindible para el ejercicio de las correspondientes acciones.
Hay que analizar también la distinta tipología de datos personales. Así, si bien es dato de carácter personal cualquier información concerniente a una persona física identificada o identificable [artículo 3.a) LOPD], no es lo mismo un dato de ideología, religión o creencias, que un dato de raza, salud o vida sexual, que un dato de infracciones penales o administrativas, que un dato de ingresos económicos de una persona que ejerce una función pública (es una información pública) o que un dato identificativo, por poner solo algunos ejemplos. Hay datos que la Directiva Comunitaria 95/46/CE y la LOPD consideran información especialmente protegida, lo que tiene unas consecuencias a nivel de consentimiento y de seguridad de la información. Si bien, este derecho fundamental protege todo tipo de datos, sean o no íntimos, sean o no públicos, no supone el mismo nivel de injerencia en el derecho fundamental el acceso a un dato que es público y que no pertenece a la intimidad de una persona que el acceso a un dato que es propio del círculo íntimo de una persona. De esta forma, la protección de los datos personales debe acompasarse atendiendo a la mayor o menor cercanía con la intimidad de una persona.
El principio de calidad prohíbe también la publicación de datos excesivos. Así, debe prevalecer el derecho fundamental a la protección de datos sobre el acceso a información administrativa cuando no existe un interés público que justifique la publicidad de determinada información. Son muchos los datos excesivos que se publican en Boletines Oficiales, que pasan a ser una fuente accesible al público y que se mantienen eternamente en Internet a través de los distintos buscadores. Así, por ejemplo, no parece razonable en muchas ocasiones la publicación del DNI en un Boletín Oficial cuando la persona puede ser convenientemente identificada sin necesidad de publicar este dato.
No parece pertinente tampoco la publicidad en algunos censos electorales, por ejemplo, en el de las elecciones sindicales, del dato de la edad del trabajador, una información que no es necesaria para la identidad de las personas censadas y donde se materializa que la transparencia administrativa significa en muchas ocasiones hacer transparentes a las personas que trabajan o se relacionan con la Administración aunque no exista un claro interés público. En ocasiones, es posible que la publicación de la información se haga de manera disociada, lo que protege el derecho a la protección de datos de las personas afectadas.
Hay que señalar que tanto la LRJAP y PAC como la propia LOPD permiten establecer excepciones al acceso a información pública y a la publicación, limitando la ingerencia en el derecho fundamental a la protección de datos personales y en otros derechos fundamentales. Así, el artículo 61 LRJAP establece que “si el órgano competente apreciase que la notificación por medio de anuncios o la publicación de un acto lesiona derechos o intereses legítimos, se limitará a publicar en el Diario Oficial que corresponda una somera indicación del contenido del acto y del lugar donde los interesados podrán comparecer, en el plazo que se establezca, para conocimiento del contenido íntegro del mencionado acto y constancia de tal conocimiento”. Igualmente, el artículo 6.4 LOPD establece el derecho de oposición a aquellos tratamientos de datos que no requieren el consentimiento de las personas, “cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado”. Este criterio debe aplicarse especialmente cuando se publican datos de personas con discapacidad, por ejemplo, en las cuotas para procesos selectivos o en los procedimientos de subvenciones.
Por último, tiene que existir un interés público claro detrás de la solicitud de acceso a información administrativa. Así, hay que analizar en que la publicidad de información a iniciativa de la Administración es necesaria para garantizar una mayor imparcialidad y objetividad de la Administración, para hacer posible la participación de los ciudadanos en los asuntos públicos y el control democrático del poder público y para favorecer la libertad de información sobre asuntos públicos. Este concepto de interés público entronca con las previsiones del Convenio del Consejo de Europa para la Protección de los Derechos Humanos y de las Libertades Fundamentales (CEDH), de 5 de noviembre de 1950, que, después de reconocer el respeto a la vida privada y familiar, establece que cualquier injerencia, para que sea legítima, debe ser necesaria para una sociedad democrática (artículo 8.2). La transparencia no es un fin en sí mismo sino un medio para alcanzar un claro interés público. En todo caso, la existencia de un claro interés público no justifica todo tipo de intromisión en la protección de datos personales. Es necesario buscar un equilibrio entre el interés público que justifica el acceso a información administrativa y el derecho fundamental a la protección de datos. Se trata de llevar a cabo una ponderación que tenga en cuenta el tipo de interés público que demanda la transparencia administrativa y el nivel de injerencia en el derecho fundamental a la protección de datos personales. Existe en muchas ocasiones un claro interés público, vinculado al acceso a la función pública, a la participación social y a la democracia, que es más importante que el derecho fundamental a la protección de datos personales y que justifica el acceso a información personal. En otras ocasiones, el interés público no justifica una difusión generalizada de datos personales. La clave es tratar de alcanzar este interés público, el acceso a información pública, con el menor nivel de injerencia, con la menor restricción posible del derecho fundamental a la protección de datos personales. Esto obliga a analizar en cada uno de los supuestos el interés público presente, la tipología de datos personales y la clase de intromisión. Por tanto, con anterioridad a difundir la información, es necesario llevar a cabo un análisis previo que permita llevar a cabo una publicidad que respete al mismo tiempo el principio de proporcionalidad.
Lógicamente, esta es una función que le corresponde al responsable del tratamiento de datos personales, que es la persona jurídica de naturaleza pública u órgano administrativo, que decide sobre la finalidad, contenido y uso del tratamiento [artículo 3.d) LOPD], y que tiene la competencia administrativa para la cual el tratamiento es instrumental (artículo 7.2 de la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid). En el supuesto en el que nos encontramos donde el tratamiento de datos personales es la publicación, el responsable del fichero es el órgano administrativo que ordena la publicación de la información, en el Boletín Oficial, en el sitio web de la Administración Pública, en el tablón de anuncios, etcétera, y que tienen la competencia administrativa sobre la materia a la que se refiere la publicación de los datos personales. El responsable del fichero está obligado a respetar en este tratamiento de datos personales que es la publicación de la información el principio de calidad y proporcionalidad, definiendo, dentro del marco que le deja la Ley, en cada uno de los supuestos el nivel de publicidad, los datos personales objeto de tratamiento, el momento de cancelación de la información teniendo en cuenta el interés público. Esto debe estar definido en la correspondiente disposición de carácter general, por ejemplo, la orden que convoca el proceso selectivo, donde debe indicarse la forma de publicación. Es el responsable del fichero el que debe garantizar el resto de los principios de protección de datos, especialmente el de consentimiento y el de seguridad, adoptando las medidas necesarias para proteger la información publicada en Internet, velando por su integridad y evitando su alteración por terceras personas no autorizadas.
La publicación de datos personales en Boletines Oficiales, en sitios web en Internet, en espacios privados en Internet, en una Intranet o en un tablón de anuncios son tratamientos de datos personales que no se encuentran exentos del ejercicio de los derechos de acceso, rectificación, oposición y cancelación por parte de los ciudadanos ante el responsable del fichero. Hay que destacar el derecho de oposición que atribuye al titular de los datos la facultad de oponerse a la publicación, tanto al nivel de publicidad, reclamando un nivel de publicidad más restrictiva, como al tipo de datos objeto de publicación, salvo que esto se encuentre establecido por Ley. Este derecho de oposición también se puede ejercitar cuando se mantenga la publicación de los datos personales y dicha publicación haya dejado de ser necesaria o pertinente para los fines para los cuales se haya realizado.
III
Para ofrecer una respuesta adecuada a las diversas situaciones que se vienen produciendo en la realidad práctica, con carácter previo al dictado de esta Recomendación, la Agencia de Protección de Datos de la Comunidad de Madrid ha realizado un exhaustivo estudio de la situación actual en relación con la publicación de datos de carácter personal a través de las ediciones electrónicas de los Boletines y Diarios Oficiales, así como un completo análisis de la difusión de información personal a través de sitios web institucionales y de otros medios electrónicos y telemáticos administrativos, utilizados por las Administraciones Públicas y órganos administrativos sometidos a su disciplina y control.
A su vez, en atención al contenido de la presente Recomendación y en consideración a su especial aplicación a determinados ámbitos específicos de actividad, la Agencia ha solicitado informe previo a la Dirección General de la Función Pública de la Consejería de Presidencia, Justicia e Interior, al Boletín Oficial de la Comunidad de Madrid, al excelentísimo Ayuntamiento de Madrid y a la Dirección General de los Servicios Jurídicos de la Comunidad de Madrid.
Como consecuencia del análisis realizado, y renunciando a cualquier tentación meramente doctrinal, teórica o abstracta, la presente Recomendación pretende descender al detalle de los problemas reales derivados, en cada caso, de la utilización de medios de publicidad electrónica por parte de los agentes administrativos a los que la misma se dirige. La Agencia es plenamente consciente de que únicamente a través del acercamiento a la realidad práctica de los problemas es posible ofrecer soluciones plausibles, que resulten válidas para los responsables y encargados de los tratamientos de los datos personales que deben aplicarlas.
De este modo, en esta Recomendación se abordan, entre otros supuestos, los derivados de la publicación de datos relativos a procedimientos de concurrencia competitiva, tales como los referentes a procesos selectivos de acceso a la función pública, la publicación de datos relativos a la provisión de puestos de trabajo por concurso y libre designación, la publicación de datos relativos a subvenciones o la publicación de datos relativos a procedimientos de obtención de plazas en colegios públicos y colegios concertados.
A su vez, en atención a las importantes especialidades existentes, se han abordado las singularidades derivadas de la publicación de datos relativos a procedimientos de concurrencia no competitiva, como los referidos a la publicación de los resultados de los procesos de evaluación de la actividad docente, investigadora y de gestión realizados por la universidad, la publicación de calificaciones de alumnos o la publicación de ayudas a empleados públicos.
Asimismo, en la Recomendación se aborda la publicación de los listados de colegiados, la publicación de directorios y la publicación de censos electorales. Finalmente, se ofrece respuesta a otros supuestos de publicidad de la actividad administrativa, tales como los derivados de la publicación de sesiones y acuerdos del Pleno de las Corporaciones Locales y de otros órganos de la Administración Local, de la publicación de retribuciones de los empleados públicos, de la publicación de ponencias y presentaciones, de la publicidad del Registro de Intereses de las Corporaciones Locales, y de la publicación de notificaciones y resoluciones administrativas.
De este modo, la presente Recomendación, lejos de situarse en un terreno meramente programático, se enfrenta a los diferentes problemas existentes, intentando ofrecer en su articulado una cumplida respuesta a los mismos. En este sentido, la amplitud de la extensión del texto de esta Recomendación se justifica por el hecho de que no se produzca una mera trascripción de la LOPD y de la LRJAP y PAC que podría generar problemas interpretativos, sino que como se ha dicho anteriormente, la Agencia opte por dar respuesta a supuestos concretos y específicos en relación con la publicación de datos personales en Boletines y Diarios Oficiales en Internet, en sitios webs institucionales y en otros medios electrónicos y telemáticos.
Esta Recomendación no tiene carácter normativo, sino que es un documento programático, que debe servir de referencia para las Administraciones Públicas a las cuales se dirige, sin perjuicio del carácter imperativo de la normativa citada en la misma.
En su virtud, de conformidad con lo dispuesto en el artículo 15.d) de la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid,
DISPONGO
Artículo único
Aprobación de esta Recomendación
Se aprueba la Recomendación 2/2008, de 25 de abril, de la Agencia de Protección de Datos de la Comunidad de Madrid, sobre publicación de datos personales en Boletines y Diarios Oficiales en Internet, en sitios web institucionales y en otros medios electrónicos y telemáticos, cuyo texto se incluye a continuación.
DISPOSICIÓN FINAL PRIMERA
Entrada en vigor
La presente Recomendación entrará en vigor al día siguiente de su publicación en el BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID.
TÍTULO I
Disposiciones generales
Artículo 1
Objeto
1.1. Esta Recomendación tiene por objeto regular la publicación de datos de carácter personal que se realice en Boletines o Diarios Oficiales a través de Internet, en sitios web institucionales, y mediante cualquiera otros medios electrónicos o telemáticos por parte de las Administraciones Públicas y los órganos administrativos a los que se refiere su artículo 3, para adecuarla al derecho fundamental a la protección de datos de carácter personal.
Artículo 2
Ámbito objetivo de aplicación
2.1. De acuerdo con lo dispuesto en el apartado c) del artículo 3 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y en el apartado t) del artículo 5.1 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de dicha Ley Orgánica, la publicación de datos personales realizada en Boletines o Diarios Oficiales a través de Internet, en sitios web institucionales, y mediante cualquiera otros medios electrónicos o telemáticos de dichas Administraciones Públicas y órganos administrativos, tiene la consideración de tratamiento de datos, al tratarse de un supuesto de cesión de datos de carácter personal.
2.2. A su vez, de acuerdo con la definición de sistema de tratamiento contenida el artículo 5.1, apartado n), del Real Decreto 1720/2007, de 21 de diciembre, el tratamiento de datos personales objeto de esta Recomendación comprende la publicación de datos personales realizada a través de soportes físicos en cualquier formato, constitutivos de impresiones, ediciones, reproducciones o de cualquier otro subproducto derivados de la utilización de sistemas de tratamiento parcialmente automatizados.
2.3. A los efectos de la presente Recomendación, se estará a la definición de dato de carácter personal contenida en el artículo 3.a) de la Ley Orgánica 15/1999, de 13 de diciembre.
Artículo 3
Ámbito subjetivo de aplicación
3.1. Esta Recomendación se aplica a la publicación de datos de carácter personal en Boletines o Diarios Oficiales en Internet, en sitios web institucionales, y en cualquiera otros medios electrónicos o telemáticos, realizados por la Asamblea de Madrid, las instituciones, órganos, organismos, entidades de derecho público y demás entes públicos integrantes de la Administración Pública de la Comunidad de Madrid, así como por los entes que integran la Administración Local del ámbito territorial de la Comunidad de Madrid, y por las universidades públicas de dicha Comunidad.
También se aplica a la publicación de datos de carácter personal en Boletines o Diarios Oficiales en Internet, en sitios web institucionales, y en cualquiera otros medios electrónicos o telemáticos, realizados por las corporaciones de derecho público representativas de intereses económicos y profesionales de la Comunidad de Madrid, siempre y cuando dichos tratamientos se realicen para el ejercicio de potestades de derecho público.
3.2. Esta Recomendación no es de aplicación a la recogida, tratamiento y publicación de datos de carácter personal que realicen las sociedades anónimas constituidas de acuerdo a lo dispuesto en la Ley 1/1984 , de 19 de enero, de Administración Institucional de la Comunidad de Madrid, y a lo dispuesto en la Ley 7/1985 , de 2 de abril, de Bases del Régimen Local, sin perjuicio de que el contenido de la misma sea utilizado por las citadas sociedades anónimas para cumplir con la legislación de protección de datos.
Artículo 4
Responsable y encargado del tratamiento
4.1. A los efectos de la presente Recomendación, se considerará responsable del fichero de datos personales a la persona jurídica de naturaleza pública u órgano administrativo que decida sobre la finalidad, contenido y uso previsto en relación con la publicación de datos de carácter personal en Boletines o Diarios Oficiales en Internet, en sitios web institucionales, y mediante cualquiera otros medios electrónicos o telemáticos.
En todo caso, se entenderá que concurre la condición de responsable del tratamiento en las instituciones, órganos, organismos y demás entes y entidades que, de acuerdo con lo dispuesto por la Ley 8/2001 , de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid, ostenten la competencia administrativa correspondiente en relación con la materia a la que se refiera la publicación de los datos de carácter personal.
En concreto, tendrán la consideración de responsables del tratamiento las Administraciones Públicas u órganos administrativos que ordenen la inserción de textos en el Boletín o Diario Oficial correspondiente a través de Internet, en los sitios web institucionales, o en otros medios electrónicos o telemáticos.
4.2. Conforme a lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, el responsable del tratamiento podrá contratar los servicios de otra persona física o jurídica, pública o privada, que trate los datos personales por cuenta de dicho responsable, en calidad de encargado del tratamiento. En estos casos, no se considerará comunicación o cesión de datos el acceso del encargado del tratamiento a los datos personales para proceder a la publicación en los sitios web institucionales, o en cualquier otro canal electrónico o telemático, cuando dicho acceso sea necesario para la prestación de su servicio al responsable del fichero.
4.3. La realización de tratamientos de datos mediante la publicación de los mismos en sitios web institucionales, y a través de otros canales electrónicos o telemáticos institucionales, por cuenta de terceros, deberá estar regulada en un contrato que constará por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos de carácter personal conforme a las instrucciones del responsable del tratamiento, y que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, que el encargado del tratamiento está obligado a implementar.
Conforme a lo dispuesto en el artículo 9 de la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal de la Comunidad de Madrid, los contratos de prestación de servicios de tratamiento de datos de carácter personal deberán ser comunicados a la Agencia de Protección de Datos de la Comunidad de Madrid con anterioridad a su perfeccionamiento.
Artículo 5
Principios generales
5.1. El consentimiento previo del ciudadano afectado no será necesario cuando la publicación en los Boletines y Diarios Oficiales en Internet, en sitios web institucionales de las Administraciones Públicas, o a través de otros canales electrónicos o telemáticos institucionales, se fundamente en alguno de los supuestos regulados en la Ley 30/1992 , de 26 de noviembre, de Régimen Jurídico de las Administraciones públicas y del Procedimiento Administrativo Común.
5.2. Tampoco será necesario el citado consentimiento cuando la publicación se fundamente en la existencia de una norma con rango de Ley o en una norma comunitaria de aplicación directa que ofrezcan cobertura legal a la cesión de datos derivada de dicha publicación.
5.3. A su vez, sin necesidad del referido consentimiento, la publicación de los datos personales en los Boletines y Diarios Oficiales en Internet, en sitios web institucionales de las Administraciones Públicas, o a través de otros canales electrónicos o telemáticos institucionales, podrá responder a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la utilización de dichos medios de publicación. En este caso la publicación de los datos personales en dichos medios solo será legítima en cuanto se limite a la finalidad que la justifique.
5.4. En cualquier otro caso, la publicación de datos de carácter personal en los Boletines y Diarios Oficiales en Internet, en sitios web institucionales, y a través de otros canales electrónicos o telemáticos de las Administraciones Públicas, requerirá previamente del consentimiento del ciudadano afectado.
5.5. En el caso de los menores de catorce años, para la recogida y tratamiento de sus datos personales a través de sitios web institucionales y canales electrónicos o telemáticos de las Administraciones Públicas, será necesario el consentimiento previo de la persona que ostente su patria potestad o tutela.
5.6. Asimismo, en el caso de tratamiento de datos de carácter personal a través de sitios web institucionales y otros canales electrónicos o telemáticos de las Administraciones Públicas, deberá cumplirse con el derecho de información en la recogida de datos personales al que se refiere el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, con expresa mención a:
III) La finalidad perseguida con la publicación de dichos datos.
III) La determinación, en su caso, de los destinatarios de dicha publicación.
III) La disposición legal que autorice la publicación y el plazo de la misma.
IV) La información sobre la identidad del responsable del fichero.
IV) La posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición, así como la indicación del órgano ante el que se pueden ejercer los mismos.
VI) La indicación de que Internet no constituye una fuente de “acceso al público”, por lo que los datos personales publicados a través de dicho medio no podrán ser reproducidos, en todo o en parte, ni registrados, sin el consentimiento del afectado.
5.7. El responsable del fichero y el encargado del tratamiento deberán cumplir con lo dispuesto en el artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y en el título VIII de su Reglamento de desarrollo, aprobado por Real Decreto 1720/2007 , de 21 de diciembre.
En concreto, por parte de la Administración Pública u órgano administrativo competente deberá garantizarse el pleno cumplimiento de las medidas de seguridad establecidas en el artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, y desarrolladas en el mencionado título VIII del Real Decreto 1720/2007 , de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal.
Artículo 6
Principio de calidad e interés público: Normas generales
6.1. En la recogida, tratamiento y publicación de datos de carácter personal en los Boletines y Diarios Oficiales en Internet, en los sitios web institucionales y canales electrónicos o telemáticos administrativos, tanto si se ha prestado el consentimiento previo del ciudadano afectado, como si se trata de uno de los supuestos contemplados por una norma de rango de Ley o por una norma comunitaria de aplicación directa, o si la publicación se basa en la existencia de una relación negocial, deberá respetarse el principio de calidad de los datos personales regulado en el artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
6.2. En todo caso, en el tratamiento de datos de carácter personal realizado mediante la publicación de datos personales tanto en Boletines o Diarios Oficiales a través de Internet, como en sitios web institucionales y en otros canales electrónicos o telemáticos de las Administraciones Públicas y órganos administrativos a los que se refiere esta Recomendación, el responsable del tratamiento deberá ponderar todos los derechos e intereses en juego.
Especialmente, dicho responsable ponderará la posible concurrencia de intereses públicos que justifiquen el acceso a los datos de personas físicas identificadas o identificables, con las exigencias derivadas del derecho fundamental a la protección de datos de carácter personal. Asimismo, deberá ponderar, en cada caso, las exigencias derivadas de los principios de publicidad y objetividad de la Administración Pública con las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente con el derecho al honor y a la intimidad personal y familiar de las mismas.
6.3. De conformidad con el artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, la publicación de datos personales a través de Boletines o Diarios Oficiales a través de Internet, así como en sitios web institucionales y en otros canales electrónicos o telemáticos de las Administraciones Públicas y órganos administrativos, solo se realizará cuando resulte adecuada, pertinente y no excesiva en relación con el interés público que la justifique.
6.4. La publicación de los datos personales se reputará conforme a la normativa sobre protección de datos cuando la difusión de aquellos a través del medio elegido resulte necesaria en consideración a los hechos y a las circunstancias concurrentes, en aras del interés general, resultando la elección de este tipo de publicación de datos personales la medida más adecuada, pertinente y proporcional de las que puedan adoptarse en orden a la satisfacción del interés público, con cumplimiento de los siguientes requisitos:
a) Que la publicación de los datos personales en dicho medio constituya una medida susceptible de conseguir el objetivo que se pretende (juicio de idoneidad).
b) Que los fines perseguidos con la publicación no puedan alcanzarse de una manera menos intrusiva, teniendo en cuenta la protección de los datos de carácter personal, resultando dicha publicación necesaria por no existir otro medio más moderado para la consecución de tal propósito con igual eficacia (juicio de necesidad).
c) Que la publicación de los datos personales resulte proporcional y equilibrada en atención a la ponderación entre la finalidad perseguida y el grado de restricción del derecho fundamental a la protección de datos de carácter personal, derivando de dicha publicación más beneficios o ventajas para el interés general que perjuicios sobre la protección de los datos de carácter personal (juicio de proporcionalidad en sentido estricto).
6.5. En todo caso, la Administración Pública u órgano administrativo competente deberán optar por realizar dicha publicación a través del sistema o medio de publicidad que suponga un menor nivel de injerencia en el derecho a la intimidad y a la protección de los datos de carácter personal del afectado.
En este sentido, siempre que sea posible, deberá disociarse la información de carácter personal obrante en dichos medios, siguiendo para ello el procedimiento definido por el artículo 3 , apartado f), de la Ley Orgánica 15/1999, de 13 de diciembre, de modo que la información que se obtenga no pueda asociarse a personas identificadas o identificables.
Artículo 7
Principio de calidad e interés público: Nivel de publicidad
7.1. En los supuestos en que no rija el principio de publicidad, se reputará plenamente conforme con la normativa sobre protección de datos el acceso individual del ciudadano afectado a sus propios datos de carácter personal, publicados por la Administración Pública u órgano administrativo competente en un sitio web institucional o en otros canales electrónicos o telemáticos, cuando dicho acceso se produzca exclusivamente a datos personales propios.
Este tipo de acceso requerirá, de manera indispensable, de la identificación y autenticación del ciudadano que lo realice, mediante sistemas de firma electrónica avanzada, incluyendo los incorporados al documento nacional de identidad, u otros medios, como la introducción de una clave de acceso personalizada previamente asignada por la Administración, con su correspondiente contraseña, la aportación de información solo conocida por ambas partes, o mecanismos equivalentes.
En este supuesto el acceso podrá realizarse tanto a través de un área ubicada en el sitio web institucional o en el canal electrónico o telemático abierto en Internet, como, en su caso, a través de la utilización de una Intranet administrativa que requiera la identificación y autenticación por mecanismos fiables que permitan acreditar indubitadamente la identidad de la persona mediante el uso de cualquiera de los medios de identificación señalados.
7.2. En los supuestos en los que rija el principio de publicidad, se reputará plenamente conforme con la normativa sobre protección de datos el acceso de los interesados en el procedimiento administrativo a los datos de carácter personal relacionados con el mismo y publicados por la Administración Pública u órgano administrativo competente en un sitio web institucional o en otros canales electrónicos o telemáticos, siempre que requiera como requisito indispensable de la identificación y autenticación del ciudadano que lo realice, mediante sistemas de firma electrónica avanzada, incluyendo los incorporados al documento nacional de identidad, u otros medios, como la introducción de una clave de acceso personalizada previamente asignada por la Administración, con su correspondiente contraseña, la aportación de información solo conocida por ambas partes, o mecanismos equivalentes.
En este supuesto el acceso podrá realizarse tanto a través de un área restringida ubicada en el sitio web institucional o en el canal electrónico o telemático abierto en Internet, como, en su caso, a través de la utilización de una Intranet administrativa que requiera la identificación y autenticación por mecanismos fiables que permitan acreditar indubitadamente la identidad de la persona mediante el uso de cualquiera de los medios de identificación señalados.
7.3. De acuerdo con el artículo 12 (Publicación electrónica del tablón de anuncios o edictos) de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, la publicación de actos y comunicaciones que, por disposición legal o reglamentaria deban publicarse en tablón de anuncios o edictos podrá ser sustituida o complementada por su publicación en la sede electrónica del organismo correspondiente.
En consecuencia, en su caso, el acceso a los tablones de anuncios electrónicos deberá verificarse a través de la consulta identificada del interesado, utilizando para ello cualquiera de los medios identificativos a los que se refieren los apartados anteriores.
También en este supuesto, el acceso a los tablones de anuncios electrónicos podrá realizarse tanto a través de un área restringida ubicada en el sitio web institucional o en el canal electrónico o telemático abierto en Internet, como, en su caso, a través de la utilización de una Intranet administrativa.
7.4. La publicación de datos de carácter personal en Boletines o Diarios Oficiales a través de Internet supone un mayor nivel de injerencia sobre el derecho fundamental a la protección de datos de carácter personal que la publicación de los mismos a través de sitios web institucionales, o de cualquier otro medio electrónico o telemático administrativo, al constituir dichos Boletines o Diarios oficiales “fuentes accesibles al público”, de acuerdo con la definición de las mismas contenida en el artículo 3 , apartado j), de la Ley Orgánica 15/1999, de 13 de diciembre.
En consecuencia, se recomienda que dicha publicación en Boletines o Diarios Oficiales, y, en consecuencia, el acceso no identificado de cualquier ciudadano a los datos así publicados, se produzca únicamente en aquellos supuestos en que se trate de uno de los supuestos contemplados por una norma con rango de Ley o por una norma comunitaria de aplicación directa.
7.5. La publicación no restringida de datos de carácter personal, con acceso no identificado y universal, de datos de carácter personal en sitios web institucionales, o en cualquier otro medio electrónico o telemático administrativo, supone un menor nivel de injerencia sobre el derecho fundamental a la protección de datos de carácter personal que la publicación de dichos datos personales en Boletines y Diarios Oficiales.
En consecuencia, se recomienda que, siempre que una norma con rango de Ley o una norma comunitaria de aplicación directa no establezcan lo contrario, la Administración Pública u órgano administrativo competente que deba proceder a la publicación no restringida de datos de carácter personal que posibilite el acceso no identificado y universal a los mismos, lo realice a través de un sitio web institucional o mediante cualquier otro medio electrónico o telemático, sin acudir a la publicación de los datos a través de Boletines o Diarios oficiales.
Para el mejor cumplimiento de esta Recomendación, se aconseja que en la Orden o Resolución correspondiente se señale el medio a través del cual se llevará a cabo la publicación de los datos personales en el sitio web institucional de la Administración u órgano administrativo competente, o en el tablón de anuncios electrónico.
7.6. En todo caso, se recomienda que en la Orden, u otra disposición de carácter general, en la que establezca la publicidad de los datos personales derivados del procedimiento administrativo correspondiente, se indique, de manera concreta y específica, el medio de publicación elegido por el órgano competente para la consecución de los correspondientes efectos jurídicos perseguidos con dicha publicación.
Artículo 8
Principio de calidad e interés público: Tipología de datos
8.1. La Administración u órgano administrativo que inste o realice la publicación se limitará a publicar aquellos datos personales de los afectados que resulten imprescindibles para la finalidad pretendida. En todo caso, deberá evitarse cualquier publicación de datos personales innecesarios para dicha finalidad.
8.2. En la publicación de los datos personales en Boletines o Diarios Oficiales a través de Internet, así como en sitios web institucionales o en otros canales electrónicos o telemáticos oficiales, el órgano administrativo competente atenderá especialmente a la naturaleza de la información tratada, en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la información.
8.3. Salvo habilitación legal expresa, fundamentada en la existencia de una norma con rango de Ley o en una norma comunitaria de aplicación directa que ofrezcan cobertura legal a dicha publicación, se recomienda que no se proceda a la publicación de datos personales en Boletines o Diarios Oficiales a través de Internet, así como en sitios web institucionales o en otros canales electrónicos o telemáticos administrativos, cuando de la propia naturaleza de los mismos o en atención a su especial nivel de protección dicha publicación resulte claramente incompatible con el respeto a la intimidad, a la dignidad personal o al libre desarrollo de la personalidad.
A dichos efectos, la Administración pública u órgano administrativo competente deberá considerar la especial protección dispensada por la normativa sobre protección de datos a los siguientes tipos de datos personales:
A) Los de salud, y, de manera específica, los referentes a la discapacidad o invalidez de las personas.
B) Los relativos a la vida sexual y al origen racial de las personas, así como los relacionados con la ideología, la afiliación sindical, la religión o las creencias.
C) Los relacionados con fines policiales o derivados de actos de violencia de género.
D) Los referidos a las personas menores de edad.
E) Los relativos a la comisión de infracciones penales o administrativas.
F) Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.
G) Los que ofrezcan una definición de las características o de la personalidad de los afectados, así como los que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.
8.4. En estos supuestos, se recomienda que, cuando resulte necesario posibilitar el acceso a través de Internet de datos personales especialmente protegidos, tales como los referidos en el apartado anterior, el órgano competente adopte las medidas oportunas para que dicho acceso se produzca en relación con los datos mínimos e indispensables para cumplir con la finalidad perseguida.
Asimismo, se recomienda que, cuando se proceda a la publicación de datos especialmente protegidos, el órgano competente, de acuerdo con lo dispuesto en el artículo 61 de la Ley 30/1992, de 26 de noviembre, proceda, en la medida de lo posible, a la publicación de una somera indicación del contenido del acto y del lugar donde los interesados podrán comparecer, en el plazo que se establezca, para el conocimiento íntegro de dichos actos y constancia de tal conocimiento.
8.5. En el caso de que se publiquen en los sitios web institucionales o en otros canales electrónicos o telemáticos oficiales datos personales contenidos en actos administrativos previamente publicados en el Boletín o Diario Oficial correspondiente a través de Internet, la publicación en los referidos sitios deberá limitarse a establecer un enlace o una referencia a dichos Boletines o Diarios Oficiales en Internet, redifusión o sindicación de su contenido electrónico original, por ejemplo, vía RSS, u otros mecanismos similares, sin necesidad de duplicar la información.
8.6. Cuando la publicación de información en Boletines o Diarios Oficiales a través de Internet, así como en sitios web o en otros canales electrónicos o telemáticos institucionales, se realice con fines estadísticos o científicos, salvo que concurra el consentimiento del afectado, se recomienda que se evite la publicación de sus datos personales, imposibilitándose la identificación del mismo.
Con carácter general, y siempre que sea posible, en este tipo de supuestos deberá disociarse la información de carácter personal obrante en dichos medios, siguiendo para ello el procedimiento definido por el artículo 3 , apartado f), de la Ley Orgánica 15/1999, de 13 de diciembre, de modo que la información que se obtenga no pueda asociarse a personas identificadas o identificables.
Artículo 9
Cancelación de oficio de los datos personales publicados en sitios web institucionales y en otros canales electrónicos o telemáticos institucionales
9.1. Los datos de carácter personal publicados en sitios web institucionales o en otros canales electrónicos o telemáticos institucionales serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido publicados, sin perjuicio de las excepciones contenidas en esta Recomendación.
Con carácter general, la Administración Pública u órgano administrativo competente procederá a la supresión y borrado de los datos personales publicados cuando dejen de ser necesarios o pertinentes en relación con dicha finalidad, sin proceder a la conservación de la publicación por un período de tiempo mayor del estrictamente necesario y dentro de los plazos máximos establecidos por la normativa sectorial específicamente aplicable.
9.2. Las actuaciones comprendidas en este apartado no requerirán comunicación alguna al afectado, sin perjuicio del ejercicio de los derechos reconocidos a dicho afectado en la Ley Orgánica 15/1999 , de 13 de diciembre.
El ejercicio por los afectados de su derecho de cancelación en relación con la publicación de sus datos personales resultará plenamente compatible con la obligación del responsable del tratamiento a la que se refiere el párrafo anterior.
9.3. Una vez concluido el período al que se refieren los párrafos anteriores, la publicación de datos personales en el sitio web institucional o en otros canales electrónicos o telemáticos institucionales no podrá mantenerse, sin perjuicio de la obligación de bloqueo prevista por el artículo 16.3 de la Ley Orgánica 15/1999, de 13 de diciembre, a disposición de las Administraciones Públicas y los jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento durante el plazo de prescripción de las correspondientes responsabilidades y/o acciones.
9.4. Además, sin perjuicio de su cancelación, el bloqueo de los datos personales en un sitio web institucional o en otros canales electrónicos o telemáticos institucionales podrá mantenerse durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica, de la ejecución de un contrato, o de la aplicación de medidas precontractuales solicitadas por el interesado, siempre que la concurrencia de dichas circunstancias quede suficientemente probada a través del correspondiente soporte documental.
9.5. Asimismo, el mantenimiento de la publicación de los datos personales en el sitio web institucional o en otros canales electrónicos o telemáticos institucionales podrá traer causa de la atención por la Administración Pública u órgano administrativo competente del ejercicio de sus derechos por el ciudadano afectado por el tratamiento.
Artículo 10
Conservación y bloqueo de los datos personales publicados en Boletines o Diarios Oficiales a través de Internet
10.1. De acuerdo con lo dispuesto en el apartado 1 del artículo 11 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, la publicación de los Diarios o Boletines Oficiales en las sedes electrónicas de la Administración, órgano o entidad competente tiene, en las condiciones y garantías que cada Administración Pública determine, los mismos efectos que los atribuidos a su edición impresa.
A su vez, de acuerdo con el apartado 2 de dicho artículo 11, la publicación del Boletín Oficial en la sede electrónica del organismo competente tendrá carácter oficial y auténtico en las condiciones y con las garantías que se determinen reglamentariamente, derivándose de dicha publicación los efectos previstos en el título preliminar del Código Civil y en las restantes normas aplicables.
10.2. Ello, no obstante, se recomienda que la conservación de los datos de carácter personal publicados en Boletines o Diarios Oficiales a través de Internet, en cumplimiento de las obligaciones previstas por Ley 11/2007 , de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, y de la normativa sectorial específicamente aplicable, se realice sin perjuicio de la obligación de bloqueo de dichos datos personales cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido publicados, sin perjuicio de las excepciones contenidas en esta Recomendación.
La recomendación de bloqueo contenida en este artículo permite limitar la publicidad de los datos personales, al mismo tiempo que se garantiza la autenticidad, integridad e inalterabilidad de los contenidos del Diario Oficial que se publique en sede electrónica.
10.3. Con carácter general, la Administración Pública u órgano administrativo competente, actuando en su calidad de responsable del tratamiento, ordenará al titular del Boletín o Diario Oficial electrónico el bloqueo de los datos personales publicados cuando dejen de ser necesarios o pertinentes en relación con dicha finalidad, y dentro de los plazos máximos establecidos por la normativa sectorial específicamente aplicable.
Las actuaciones comprendidas en este apartado no requerirán comunicación alguna al afectado, sin perjuicio del ejercicio de los derechos reconocidos a dicho afectado en la Ley Orgánica 15/1999 , de 13 de diciembre.
10.4. Una vez concluido el período al que se refiere el párrafo anterior, se recomienda que la conservación de los datos personales publicados en Boletines o Diarios Oficiales a través de Internet se realice mediante el bloqueo de los mismos, manteniéndolos a disposición de las Administraciones Públicas y los jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento durante el plazo de prescripción de las correspondientes responsabilidades y/o acciones, de acuerdo con lo dispuesto en el artículo 16.3 de la Ley Orgánica 15/1999, de 13 de diciembre.
10.5. Además, el bloqueo de los datos personales en Boletines o Diarios Oficiales a través de Internet podrá mantenerse durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica, de la ejecución de un contrato, o de la aplicación de medidas precontractuales solicitadas por el interesado, siempre que la concurrencia de dichas circunstancias quede suficientemente probada a través del correspondiente soporte documental.
10.6. Alternativamente, en el momento de ordenar la inserción de la información con datos de carácter personal en el Boletín o Diario Oficial a través de Internet, la Administración Pública u órgano administrativo competente podrá establecer las instrucciones precisas que deba seguir el encargado del tratamiento para el bloqueo de los datos de carácter personal cuando concurran las circunstancias referidas en los apartados anteriores.
Artículo 11
Motores de búsqueda en Boletines o Diarios Oficiales, en sitios web institucionales y en otros canales electrónicos o telemáticos administrativos
11.1. En su Informe de 4 de abril de 2008, el Grupo de Trabajo del Artículo 29 de la Directiva 95/46/CE, de 25 de octubre de 1995, del Parlamento Europeo y del Consejo, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos, ha analizado la situación legal en relación con la protección de datos personales y los buscadores de Internet, llegándose a la conclusión de que el período de conservación de datos personales por parte de dichos buscadores no debería sobrepasar los seis meses de plazo, ya que no existe una base legal para mantenerlos durante un período de tiempo mayor.
11.2. La presente Recomendación se refiere tanto a la indexación automática por parte de motores de búsqueda generales, como a la obtención de resultados a partir de datos personales en aquellos motores de búsqueda específicos proporcionados por el propio sitio web del Boletín o Diario Oficial, o del sitio web institucional o canal electrónico o telemático administrativo, una vez transcurridos seis meses desde la fecha en que se realice la correspondiente publicación de los datos personales de personas físicas.
Especialmente, cuando los Boletines o Diarios Oficiales publicados a través de Internet, así como los sitios web y otros canales electrónicos o telemáticos institucionales, contengan motores de búsqueda que permitan la búsqueda de información, o la búsqueda, localización y posterior almacenamiento de datos personales de personas físicas que aparezcan publicados en dichos medios, se recomienda la adopción de las medidas a las que se refiere este artículo.
En concreto, se recomienda que la Administración Pública u órgano administrativo competente adopten las medidas técnicas necesarias para impedir la indexación automática de los datos personales contenidos en Boletines o Diarios Oficiales en Internet, o en los sitios web y otros canales electrónicos o telemáticos institucionales.
A dichos efectos, se sugiere que el responsable del tratamiento, o, en su caso, el Encargado del mismo, implementen en los sitios web objeto de esta Recomendación la utilización de herramientas técnicas e informáticas del tipo “no robot” que minimicen, en la medida de lo posible, la diseminación de la información de carácter personal a la que se pueda acceder a través de los motores de búsqueda.
Asimismo, habida cuenta el estado de la tecnología en cada momento, se recomienda que, para impedir la indexación automática de los datos personales en los motores de búsqueda, el responsable del tratamiento o, en su caso, encargado del mismo, impulsen la incorporación e implementación de cualquier otro tipo de medidas técnicas e informáticas que resulten adecuadas dirigidas a evitar dicha indexación de contenidos con datos de carácter personal.
11.3. Cuando, en virtud de exigencia legal o por concurrir cualquiera de los supuestos a los que se refieren los artículos 9 y 10 de esta Recomendación, el responsable del sitio web del Boletín o Diario Oficial, o del sitio web institucional o canal electrónico o telemático administrativo se vea impedido a cesar en el tratamiento de los datos, se recomienda que por parte de los servicios de búsqueda incorporados en dichos sitios web o canales electrónicos o telemáticos institucionales se proceda al cese en el tratamiento de los datos de carácter personal.
A dichos efectos, se recomienda que por parte de dichos servicios de búsqueda se proceda a adoptar medidas no solo para cesar en el tratamiento de la información, sino también para impedir el acceso futuro a la misma a través de su servicio.
11.4. A su vez, se recomienda que los servicios de búsqueda incorporados en los sitios web del Boletín o Diario Oficial, o en el sitio web institucional correspondiente, a los que se refiere este artículo, respeten el ejercicio de los derechos de acceso, rectificación, cancelación y oposición de las personas cuyos datos se indexan desde otros sitios web en su función de buscador.
En consecuencia, se recomienda que, a solicitud de su titular, por parte de los servicios de búsqueda incorporados a los sitios web institucionales, se garanticen los derechos de acceso, rectificación, cancelación y oposición, reconocidos en los artículos 15 y siguientes de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, en su normativa de desarrollo, y en el artículo 12 de esta Recomendación.
11.5. Las recomendaciones establecidas en este artículo resultan también aplicables al indexado de imágenes de las personas físicas identificadas o identificables realizado por parte de los motores de búsqueda, debiendo considerarse, a dichos efectos, que una persona es identificable cuando su identidad pueda determinarse mediante la captación, grabación, transmisión, conservación o almacenamiento de imágenes, sin que ello requiera plazos, actividades o esfuerzos desproporcionados.
Artículo 12
Ejercicio de derechos en relación con la publicación de datos personales en Boletines o Diarios Oficiales a través de Internet, en sitios web institucionales y en otros canales electrónicos o telemáticos institucionales
12.1. La publicación de datos personales en los Boletines y Diarios Oficiales en Internet, en sitios web institucionales y en otros canales electrónicos o telemáticos administrativos, deberá realizarse sin perjuicio de los derechos de acceso, rectificación, cancelación y oposición de los ciudadanos afectados, regulados tanto en la Ley Orgánica 15/1999 , de 13 de diciembre, de protección de datos de carácter personal, como en el Real Decreto 1720/2007 , de 21 de diciembre, por el que se aprueba su Reglamento de desarrollo.
En consecuencia, se recomienda que el tratamiento de datos personales a través de dichos medios se realice de forma que permita el ejercicio por parte de los afectados de los derechos a los que se refieren los artículos 15 y siguientes de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal.
12.2. Los derechos de acceso, rectificación, cancelación y oposición son personalísimos y serán ejercidos por el afectado. Cuando dicho afectado se encuentre en situación de incapacidad o minoría de edad que le imposibilite el ejercicio personal de estos derechos, podrá hacerlo en su nombre su representante legal, siendo necesario que acredite tal condición. Asimismo, estos derechos podrán ejercitarse a través de representante voluntario expresamente designado al efecto.
Los derechos de acceso, rectificación, cancelación y oposición son derechos independientes, de tal forma que no puede entenderse que el ejercicio de ninguno de ellos sea requisito previo para el ejercicio de otro.
12.3. Sin perjuicio de lo dispuesto en la presente Recomendación, el ejercicio por parte de los afectados de los derechos a los que se refiere este artículo se llevará a cabo de conformidad con lo dispuesto por la Ley Orgánica 15/1999 , de 13 de diciembre, y por su normativa de desarrollo, y sin más limitaciones que las previstas en dicha normativa.
12.4. De manera específica, y sin perjuicio de lo dispuesto en las citadas normas, el ejercicio del derecho de oposición a la publicación de los datos personales del afectado en Boletines o Diarios Oficiales, así como en sitios web institucionales y en otros canales electrónicos o telemáticos administrativos, podrá fundamentarse en la concurrencia de un motivo legítimo y fundado, referido a la concreta situación personal de dicho afectado y basado en:
a) La elección indebida, por parte del responsable del tratamiento, de una forma de publicación de los datos personales que suponga un mayor nivel de publicidad del que dicho afectado deba soportar en atención a las circunstancias concurrentes, siempre que una Ley no disponga lo contrario.
b) La publicación por parte del responsable del tratamiento de datos excesivos en atención a la tipología de los mismos y al especial nivel de protección dispensada por el ordenamiento jurídico a los datos personales señalados en el artículo 8 de esta Recomendación, siempre que una Ley no disponga lo contrario.
c) El mantenimiento de la publicación de los datos personales por parte del responsable del tratamiento cuando dicha publicación haya dejado de ser necesaria o pertinente para los fines para los cuales se haya realizado.
12.5. La Administración Pública u órgano administrativo competente deberá atender la solicitud de acceso, rectificación, cancelación u oposición ejercida por el interesado adoptando las medidas oportunas para garantizar la efectividad de dichos derechos.
12.6. En todo caso, el órgano competente resolverá sobre la solicitud del afectado aun cuando no se hubiera procedido a la publicación de los datos personales del mismo, o se hubiera procedido a la cancelación de dichos datos por haber dejado de ser necesarios o pertinentes para la finalidad perseguida.
12.7. Para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, el afectado deberá cumplir los requisitos establecidos en los artículos 15 a 17 por la Ley Orgánica 15/1999, de 13 de diciembre, y en el título III del Real Decreto 1720/2007 , de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de dicha Ley Orgánica.
12.8. En todo caso, la solicitud del afectado deberá remitirse a la Administración Pública u órgano administrativo competente que hubiera instado la publicación de los datos de carácter personal en el Boletín o Diario Oficial a través de Internet, en el sitio web institucional o en el canal electrónico o telemático correspondiente.
12.9. La Administración Pública u órgano administrativo competente tendrá la obligación de hacer efectivo el derecho de acceso, rectificación, cancelación u oposición del interesado en el plazo de diez días. Dicha Administración u órgano competente deberá responder a la solicitud del afectado, en todo caso, aun cuando no hubiera procedido a la publicación de los datos personales del mismo, debiéndole comunicar dicha circunstancia.
12.10. El interesado al que se deniegue total o parcialmente el ejercicio de los derechos señalados en este artículo, podrá reclamar su tutela ante el Director de la Agencia de Protección de Datos de la Comunidad de Madrid.
12.11. Transcurrido el plazo sin que de forma expresa se responda a la petición de acceso, rectificación, cancelación u oposición, esta podrá entenderse desestimada a los efectos de la presentación de la reclamación prevista en el artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre, y en el artículo 3 del Decreto 67/2003, de 22 de mayo, por el que se aprueba el Reglamento de desarrollo de la Agencia de Protección de Datos de la Comunidad de Madrid de tutela de derechos y de control de ficheros de datos de carácter personal.
12.12. En el supuesto de que la Administración Pública u órgano administrativo competente acceda a la rectificación, cancelación u oposición solicitada por el ciudadano afectado, deberá proceder a la modificación o cancelación de los datos personales que hubieran sido objeto de publicación en su sitio web institucional o en el canal electrónico o telemático correspondiente.
Si, a efectos de su publicación, los datos de carácter personal hubieran sido comunicados al titular del Boletín o Diario Oficial correspondiente, la Administración Pública u órgano administrativo competente deberá notificarle la modificación o el bloqueo de datos efectuado, debiendo aquel proceder también a la modificación o al bloqueo de los datos personales del afectado en la versión electrónica de dicho Boletín o Diario Oficial.
12.13. En todo caso, la Administración Pública u órgano administrativo competente deberán justificar su denegación con expresión del precepto legal en que se ampare, informando al interesado de los motivos de la misma y de su derecho a recabar la tutela de la Agencia de Protección de Datos de la Comunidad de Madrid, conforme a lo dispuesto en el artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre, y en el artículo 3 del Decreto 67/2003, de 22 de mayo, por el que se aprueba el Reglamento de desarrollo de la Agencia de Protección de Datos de la Comunidad de Madrid de tutela de derechos y de control de ficheros de datos de carácter personal.
12.14. Cuando los afectados ejercitasen sus derechos ante el encargado del tratamiento, solicitando su derecho ante el mismo, dicho encargado deberá dar traslado de la solicitud al responsable, a fin de que por el mismo se resuelva, a menos que en la relación existente con el responsable del tratamiento se prevea precisamente que el encargado atenderá, por cuenta del responsable, las solicitudes de ejercicio por los afectados de sus derechos de acceso, rectificación, cancelación u oposición.
Cuando, actuando por cuenta del responsable, el encargado del tratamiento decidiere mantener la publicación de los datos de carácter personal en la versión electrónica de dicho Boletín o Diario Oficial, sin proceder a la modificación o al bloqueo de dichos datos, deberá justificar su denegación con expresión del precepto legal en que se ampare, informando al interesado de los motivos de la misma y de su derecho a recabar la tutela de la Agencia de Protección de Datos de la Comunidad de Madrid, conforme a lo dispuesto en el artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre, y en el artículo 3 del Decreto 67/2003, de 22 de mayo, por el que se aprueba el Reglamento de desarrollo de la Agencia de Protección de Datos de la Comunidad de Madrid de tutela de derechos y de control de ficheros de datos de carácter personal.
12.15. En todo caso, ante la petición cursada por la Administración Pública u órgano administrativo competente, el titular del Boletín o Diario Oficial deberá proceder a la modificación o, en su caso, al bloqueo de los datos de carácter personal obrantes en la versión electrónica de dicho Boletín o Diario Oficial.
Artículo 13
Agencia de Protección de Datos de la Comunidad de Madrid: Actividad consultiva y función de control y tutela de derechos
13.1. En aquellos supuestos en que las Administraciones Públicas y órganos administrativos a los cuales va dirigida esta Recomendación tengan dudas sobre la aplicación e interpretación de la misma, se recomienda que soliciten informe a la Agencia de Protección de Datos de la Comunidad de Madrid.
En su solicitud de informe, el responsable del tratamiento deberá motivar suficientemente el nivel de publicidad que pretenda aplicar a la publicación de los datos personales, mediante la utilización de cualquiera de los medios a los que se refiere esta Recomendación.
En dicha motivación incorporada a su solicitud de informe dicho responsable del tratamiento deberá referirse de manera concreta y precisa a los hechos y a las circunstancias concurrentes que, a su juicio, motiven la elección de un determinado medio para la publicación de los datos personales, por resultar el mismo el más adecuado, pertinente y proporcional de los que pueda adoptar.
En su caso, en dicho informe, el responsable del tratamiento deberá hacer expresa referencia a la posible concurrencia de las circunstancias referidas en el artículo 6.4 de esta Recomendación.
13.2. Sin perjuicio del carácter no normativo de la presente Recomendación, la Agencia de Protección de Datos de la Comunidad de Madrid procederá a la apertura de actuaciones inspectoras, y, en su caso, a la depuración de las responsabilidades correspondientes, en aquellos supuestos en los que se produzca una cesión indiscriminada de datos personales, la vulneración del principio de calidad de datos, o cualquier otra vulneración de la normativa sobre protección de datos, mediante la publicación de los mismos en Boletines y Diarios Oficiales en Internet, en sitios web institucionales de las Administraciones Públicas, o a través de otros canales electrónicos o telemáticos institucionales, cuando no concurra el consentimiento previo del ciudadano, o la existencia de una norma con rango de Ley formal o comunitaria de aplicación directa que permita dicha publicación sin limitación de acceso.
TÍTULO II
Supuestos concretos de publicación en Boletines y Diarios Oficiales, en sitios web institucionales y en otros canales electrónicos o telemáticos administrativos
Capítulo I
Publicación de datos relativos a procedimientos de concurrencia competitiva
Artículo 14
Cuestiones generales
14.1. Entre otros procedimientos, se reputan procedimientos de concurrencia competitiva los procesos selectivos para el ingreso de empleados públicos en la Administración Pública y los de provisión de puestos de trabajo de empleados públicos, los relativos a la obtención de premios extraordinarios y becas, los relativos a contratos administrativos, y los relativos a la obtención de plazas en colegios públicos o concertados y en las universidades públicas, así como aquellos otros en los que existiendo una pluralidad de solicitantes y un número de plazas o de créditos limitados, deba procederse a la asignación de los mismos en función de la consideración de unos méritos o requisitos susceptibles de cómputo o valoración.
14.2. La publicación de datos personales en Boletines o Diarios Oficiales en Internet derivada de los procedimientos de concurrencia competitiva se fundamenta en el artículo 59.6.b) de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.
14.3. El órgano administrativo titular de la competencia administrativa del procedimiento de concurrencia competitiva correspondiente deberá decidir sobre los datos personales que sean objeto de publicación con acceso no identificado por cualquier persona, debiendo producir dicha publicación la menor injerencia posible sobre el derecho a la intimidad y a la protección de los datos de carácter personal de los ciudadanos afectados.
En este tipo de supuestos, se recomienda que el acceso no identificado por cualquier persona, realizado como consecuencia de la publicación de datos personales en Boletines y Diarios Oficiales en Internet, se limite a los datos personales mínimos correspondientes al resultado final del procedimiento administrativo, a la indicación de los datos personales mínimos de los beneficiarios o adjudicatarios de dicho procedimiento, así como, en su caso, a la publicación de la baremación total de los méritos valorados.
A juicio de la Agencia de Protección de Datos de la Comunidad de Madrid, se cumple así suficientemente con las exigencias derivadas de lo dispuesto en el artículo 59.6.b) de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, causando esta publicación una menor injerencia en la intimidad de los ciudadanos afectados por el tratamiento de sus datos.
14.4. La Agencia de Protección de Datos de la Comunidad de Madrid recomienda que la publicación de actos administrativos de trámite referentes a procedimientos de concurrencia competitiva en Boletines o Diarios Oficiales en Internet o en sitios web institucionales sea sustituida por la utilización de un espacio privado, con acceso restringido, en los sitios web institucionales.
Así, por ejemplo, entre otros datos de carácter personal contenidos en los actos administrativos de trámite, cuando los procedimientos de concurrencia competitiva incorporen algún trámite administrativo consistente en la realización de una baremación parcial de los méritos de los ciudadanos afectados, se recomienda que se proceda a la publicación de los resultados de la baremación parcial a través de este espacio privado, con acceso restringido, en los sitios web institucionales, en el canal electrónico o telemático abierto en Internet, en los tablones de anuncios electrónicos, o, en su caso, en la correspondiente Intranet administrativa.
La utilización de estos espacios privados garantizará que los participantes en dichos procedimientos puedan conocer los actos administrativos derivados de la tramitación del expediente identificándose mediante sistemas de firma electrónica avanzada, incluyendo los incorporados al documento nacional de identidad, u otros medios como el uso de un nombre de usuario y una contraseña segura, la aportación de información solo conocida por ambas partes, o mecanismos equivalentes.
14.5. Para la publicación en los sitios web institucionales, sin restricción ni identificación de acceso, de actos administrativos de trámite derivados de procedimientos de concurrencia competitiva que contengan datos de carácter personal de los ciudadanos afectados, se recomienda que el órgano competente obtenga el consentimiento previo y expreso de los mismos.
De acuerdo con lo indicado anteriormente, en caso de no obtenerse este consentimiento, se recomienda que la publicación de dichos actos administrativos de trámite se realice únicamente en espacios privados de los tablones de anuncios electrónicos, del sitio web institucional, o del canal electrónico o telemático abierto en Internet, o, en su caso, en la correspondiente Intranet administrativa, exigiéndose la acreditación indubitada de la identidad de la persona que acceda a los datos mediante el uso de cualquiera de los medios de identificación señalados en los apartados anteriores.
14.6. Especialmente, cuando los procedimientos de concurrencia competitiva incorporen algún dato de carácter personal relativo a la existencia de discapacidades físicas, psíquicas o sensoriales de los afectados, se recomienda que se proceda únicamente a la publicación de los resultados mínimos correspondientes a la baremación efectuada.
En estos supuestos, se recomienda que, de acuerdo con lo dispuesto en el artículo 61 de la Ley 30/1992, de 26 de noviembre, por parte de la Administración Pública u órgano administrativo competente, se proceda, en la medida de lo posible, a la publicación de una somera indicación del contenido de dicha baremación y del lugar donde los interesados podrán comparecer, en el plazo que se establezca, para el conocimiento íntegro de la misma y constancia de tal conocimiento.
14.7. En el caso de que se publiquen en los sitios web institucionales datos relativos a actos administrativos de procedimientos de concurrencia competitiva que a su vez hayan sido publicados en el Boletín o Diario Oficial correspondiente a través de Internet, la publicación en los referidos sitios deberá limitarse a establecer una referencia o enlace a dichos Boletines o Diarios Oficiales en Internet, redifusión o sindicación de su contenido electrónico original, por ejemplo, vía RSS, u otros mecanismos similares, sin necesidad de duplicar la información.
14.8. Una vez finalizado el plazo para interponer las reclamaciones y/o recursos administrativos legalmente establecidos, se deberá proceder a la supresión y borrado físico de la información de carácter personal publicada en el sitio web institucional, en los tablones de anuncios electrónicos, en el canal electrónico o telemático abierto en Internet, o en la correspondiente Intranet administrativa, referente al procedimiento de concurrencia competitiva.
Artículo 15
Publicación de datos relativos a procesos selectivos de acceso a la función pública
15.1. La Ley 7/2007 , de 12 de abril, del Estatuto Básico del Empleado Público, determina en su artículo 61 los sistemas selectivos de acceso a la función pública. En el caso de los funcionarios de carrera serán los de oposición y concurso-oposición, teniendo el sistema de concurso un carácter excepcional. En el supuesto del personal laboral fijo, los sistemas selectivos serán la oposición, el concurso-oposición y el concurso de valoración de méritos. De conformidad con el artículo 55 de la citada Ley, estos procedimientos de concurrencia competitiva se ajustan, entre otros, a los principios de publicidad de las convocatorias y de sus bases.
15.2. Los artículos 15 a 26 , del Real Decreto 364/1995, de 10 de marzo, por el que se aprueba el Reglamento General de Ingreso del Personal al Servicio de la Administración General del Estado y de Provisión de Puestos de Trabajo y Promoción Profesional de los Funcionarios Civiles del Estado, aplicable a los procesos selectivos de la Administración de la Comunidad de Madrid, regulan los trámites administrativos de los procesos selectivos de acceso a la función pública, contemplando aquellos trámites y actos administrativos que serán objeto de publicación en el Boletín o Diario Oficial correspondiente.
Entre los trámites administrativos objeto de publicación con datos de carácter personal se encuentran los referentes a las listas de admitidos y excluidos, la relación de aprobados y el nombramiento como funcionarios de carrera.
15.3. La Agencia de Protección de Datos de la Comunidad de Madrid recomienda que la publicación en relación con estos procedimientos en los Boletines o Diarios Oficiales en Internet, se produzca únicamente en relación con los datos relativos al nombre, apellidos, número del documento nacional de identidad, puntuación total obtenida y nombramiento como funcionarios de carrera de las personas que obtuvieron las plazas. Asimismo, se recomienda la aplicación de esta norma cuando se trate de procesos de acceso a la Administración Pública que afecten a personal laboral.
Especialmente, se recomienda que, en ningún caso, se proceda a la publicación en el Boletín o Diario Oficial en Internet de los datos de carácter personal de aquellos aspirantes que no hayan superado dicho proceso.
En el supuesto de que, apartándose del contenido de estas recomendaciones, se produjese la publicación de los listados de excluidos provisionales o definitivos en los Boletines o Diarios Oficiales en Internet, así como las causas de exclusión, dicha publicación deberá realizarse de manera que cause la menor injerencia sobre el derecho a la intimidad y a la protección de datos de los ciudadanos afectados.
A su vez, en relación con la publicación de la relación definitiva de aprobados, debe tenerse en cuenta que la minusvalía es un dato de salud, por lo que se recomienda que la publicación de dicha relación contenga la información mínima relativa al hecho de la discapacidad, sin incluir referencia alguna al grado o el tipo de la misma.
15.4. La Agencia de Protección de Datos de la Comunidad de Madrid recomienda que los actos de trámite que contengan datos de carácter personal en los procesos selectivos, y, en especial, los referentes a las calificaciones obtenidas por los aspirantes en los distintos exámenes y pruebas realizadas, las adaptaciones concedidas a dichos aspirantes que concurran por el turno de discapacidad y la convocatoria de los aspirantes para realizar los exámenes o proceder a la lectura de los mismos, se publiquen únicamente a través de un sitio web institucional, en un canal electrónico o telemático de la Administración u órgano administrativo convocante, o bien en el tablón de anuncios electrónico del órgano competente, con acceso identificado y restringido a los interesados, exigiéndose la acreditación indubitada de la identidad mediante el uso de cualquiera de los medios de identificación señalados en esta Recomendación, acreditándose indubitadamente la identidad de la persona que realice el acceso a través de los mismos.
A través de dichos sistemas de acceso deberá garantizarse que únicamente los interesados en el procedimiento selectivo podrán acceder a los datos personales de terceras personas relacionados con dicho procedimiento, exigiéndose, como requisito indispensable, de la identificación y autenticación del ciudadano que realice dicho acceso, mediante sistemas de firma electrónica avanzada, incluyendo los incorporados al documento nacional de identidad, u otros medios, como la introducción de una clave de acceso personalizada previamente asignada por la Administración, con su correspondiente contraseña, la aportación de información solo conocida por ambas partes, o mecanismos equivalentes.
15.5. Sin perjuicio de lo dispuesto en los apartados anteriores, se podrá proceder a la publicación de los citados trámites en el sitio web de la Administración u órgano administrativo convocante, sin la exigencia de un sistema de acceso identificado o restringido, en aquellos supuestos en que se solicite con carácter previo el consentimiento para dicha publicación a los aspirantes. A dichos efectos se considera que este consentimiento debe ser diferente del consentimiento que presta el aspirante para participar en el proceso selectivo. Para la solicitud de dicho consentimiento se estima como medio idóneo para la obtención del mismo su solicitud y obtención a través del modelo utilizado por el ciudadano afectado para participar en el proceso selectivo correspondiente.
En estos supuestos, se recomienda que en la Orden o Resolución que convoque el procedimiento de acceso a la función pública o de ingreso como empleado público, se contemple dicha forma de publicación de los distintos actos de trámite.
15.6. En relación con los aspirantes que se presenten a un proceso selectivo por el turno de discapacidad, será suficiente para cumplir con los principios de publicidad y concurrencia que los mismos sean identificados, ya sea en las listas de admitidos y excluidos, en la relación de aprobados o en su nombramiento, con la letra “D”, sin necesidad de publicar el tipo de discapacidad, ni el grado de la misma.
En consecuencia, se recomienda que se evite la referencia expresa al tipo de discapacidad o al grado de la misma, por resultar contraria a lo dispuesto en el artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre, ya que los datos sobre minusvalía tienen la consideración de datos especialmente protegidos.
15.7. En el supuesto de que se pretendan publicar en un sitio web institucional los actos administrativos que hayan aparecido en los Boletines o Diarios Oficiales en Internet en relación con un proceso selectivo, la Administración u órgano administrativo competente deberá limitarse a establecer una referencia o enlace a dichos Boletines o Diarios Oficiales en Internet, redifusión o sindicación de su contenido electrónico original, por ejemplo, vía RSS, u otros mecanismos similares, sin necesidad de duplicar la información.
15.8. De conformidad con el principio de finalidad, una vez concluido el procedimiento administrativo que justificó su publicación y transcurrido el plazo previsto para la interposición, en su caso, de las correspondientes acciones y/o reclamaciones legales, deberá procederse a la cancelación de los datos de carácter personal de trámite, tales como los relativos a los excluidos a las pruebas selectivas, a la mención de la causa de exclusión, y a las calificaciones parciales correspondientes a las diferentes pruebas realizadas del sitio web institucional, canal electrónico o telemático administrativo, o tablón de anuncios electrónico de la Administración u órgano administrativo convocante.
En concreto, se recomienda que por parte de la Administración pública u órgano administrativo competente no se proceda a la conservación y mantenimiento de la publicación de datos personales relativos al tratamiento histórico de los actos de trámite de las convocatorias de procesos selectivos, por reputarse dicha forma de tratamiento contraria a la normativa sobre protección de datos.
Artículo 16
Publicación de datos relativos a la provisión de puestos de trabajo por concurso y libre designación
16.1. El artículo 78.2 de la Ley 7/2007, de 12 de abril, del Estatuto del Empleado Público, y el artículo 38.2 del Real Decreto 364/1995, de 10 de marzo, establecen que la convocatoria y resolución para la provisión de puestos de trabajo se realiza por los sistemas de concurso o por libre designación, disponiéndose que dichas convocatorias y resoluciones se publiquen en el Boletín o Diario Oficial correspondiente.
16.2. Para cumplir con el principio de calidad de datos establecido en el artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre, en las resoluciones de estos procedimientos administrativos para la provisión de puestos de trabajo se recomienda que, tanto en los Boletines o Diarios Oficiales en Internet como, en su caso, en la publicación en sitios web institucionales y en otros medios electrónicos o telemáticos, únicamente se publiquen los datos relativos al nombre y apellidos del adjudicatario, sin necesidad de referir el número de su documento nacional de identidad.
En este sentido, debe considerarse que los adjudicatarios de estos puestos de trabajo son personal que ya desempeña un puesto de trabajo en el ámbito de la Administración Pública correspondiente, por lo que la publicación del número de su documento nacional de identidad podría resultar contrario a lo dispuesto por el artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre.
16.3. Salvo habilitación legal expresa, fundamentada en la existencia de una norma con rango de Ley o en una norma comunitaria de aplicación directa que ofrezcan cobertura legal a dicha publicación, o cuando así lo consintiera expresamente el ciudadano afectado, no deberá procederse a la publicación de los datos personales de los candidatos que no hayan obtenido plaza en el procedimiento de provisión, tanto por haber quedado desestimada su petición cuanto por haber sido excluidos de dicho procedimiento.
Dicha recomendación se extiende tanto a la publicación de datos personales en los Boletines o Diarios Oficiales en Internet como, en su caso, en la publicación en sitios web institucionales y en otros medios electrónicos o telemáticos administrativos.
16.4. En su caso, se recomienda que la publicación de los datos personales de los afectados en los correspondientes tablones de anuncios electrónicos o a través de un sitio web institucional cuando se encuentre previsto en la Orden o Resolución de convocatoria para la provisión de puestos de trabajo, o se haya solicitado y obtenido previa y expresamente el consentimiento de los afectados, se mantenga durante el tiempo estrictamente necesario para cumplir con la finalidad de la publicación.
En consecuencia, cuando finalice el plazo de reclamación o de interposición de las correspondientes recursos, se recomienda que los datos de carácter personal publicados sean retirados de los correspondientes tablones de anuncios electrónicos o del sitio web institucional de la Administración Pública u órgano administrativo competente, siendo, en su caso, borrados de dicho sitio web institucional susceptible de consulta a través de Internet, y procediéndose a la cancelación de los datos personales publicados.
Artículo 17
Publicación de datos relativos a subvenciones
17.1. De acuerdo con lo establecido en la Ley 38/2003 , de 17 de noviembre, General de Subvenciones, y en la Ley 2/1995 , de 8 de marzo, de Subvenciones de la Comunidad de Madrid, la concesión de subvenciones se ajusta, entre otros, a los principios de publicidad, transparencia y concurrencia.
17.2. Dichas normas, con rango de Ley formal, disponen que se publiquen en el Boletín o Diario Oficial correspondiente las subvenciones concedidas expresando el programa o crédito presupuestario al que se imputen, el beneficiario, la cantidad concedida y la finalidad o finalidades de la subvención.
17.3. En consecuencia, la Agencia de Protección de Datos de la Comunidad de Madrid recomienda que, cuando los beneficiarios sean personas físicas, en la publicación que el órgano competente realice a través de Boletines o Diarios Oficiales en Internet del resultado final de la convocatoria, se limite a identificar a dichas personas, indicando su nombre y apellidos, y, en su caso, la cantidad concedida y puntuación final obtenida, no debiendo publicarse ningún otro dato más de carácter personal en dichos medios.
A su vez, se recomienda que, salvo habilitación legal expresa, fundamentada en la existencia de una norma con rango de Ley o en una norma comunitaria de aplicación directa que ofrezcan cobertura legal a dicha publicación, o cuando así lo consintiera expresamente el ciudadano afectado, no se proceda a la publicación en Boletines o Diarios Oficiales en Internet de los datos personales de los solicitantes que no hayan resultado beneficiarios o adjudicatarios de la subvención, tanto por haber quedado desestimada su petición cuanto por haber sido excluidos de dicho procedimiento.
Dicha recomendación relativa a la publicación de datos personales en los Boletines o Diarios Oficiales en Internet, se hace, asimismo, extensiva a la publicación, en su caso, a través de sitios web institucionales y de otros medios electrónicos o telemáticos administrativos de información personal, cuando se posibilite el acceso no identificado a los datos personales de los afectados.
17.4. En todo caso, se recomienda que la publicación en el sitio web institucional de la Administración u órgano administrativo competente, o en un tablón de anuncios electrónico, de los datos personales derivados de los procedimientos de concesión de subvenciones, se prevea expresamente en la Orden o Resolución de convocatoria de dichas subvenciones, debiendo solicitarse y obtenerse con carácter previo y expreso el consentimiento de los ciudadanos afectados. A dichos efectos, se reputará como medio idóneo para la obtención de dicho consentimiento su solicitud en el modelo utilizado por el ciudadano afectado para participar en el procedimiento correspondiente.
17.5. De otra parte, en relación con las subvenciones, en muchas ocasiones se suelen publicar en los Boletines o Diarios Oficiales en Internet las valoraciones parciales y totales de los solicitantes de las ayudas, así como otros actos de trámite derivados del procedimiento.
Para el conocimiento de este tipo de trámites, se recomienda que la publicación de los datos no se realice en los Boletines o Diarios Oficiales en Internet, sino en un espacio privado ubicado en un sitio web institucional o en otros canales electrónicos o telemáticos, en los que cada solicitante pueda consultar tanto su valoración como la del resto de solicitantes.
Se recomienda que la habilitación para entrar en dicho espacio privado se efectúe a través de la identificación y autenticación del ciudadano que lo realice, mediante sistemas de firma electrónica avanzada, incluyendo los incorporados al documento nacional de identidad, u otros medios, como la introducción de una clave de acceso personalizada previamente asignada por la Administración, con su correspondiente contraseña, la aportación de información solo conocida por ambas partes, o mecanismos equivalentes.
17.6. Asimismo, se recomienda que el órgano administrativo competente adopte las medidas oportunas para que, en relación con el acceso a determinados datos personales especialmente protegidos, tales como los relativos a la discapacidad de las personas, a la pertenencia a minorías raciales, o a circunstancias relativas a violencia de género, derivados de la gestión y resolución de expedientes sobre subvenciones, dicho acceso se produzca en relación con los datos mínimos e indispensables para cumplir con la finalidad perseguida.
En estos supuestos, se recomienda que, de acuerdo con lo dispuesto en el artículo 61 de la Ley 30/1992, de 26 de noviembre, por parte de la Administración Pública u órgano administrativo competente, se proceda, en la medida de lo posible, a la publicación de una somera indicación del contenido del acto y del lugar donde los interesados podrán comparecer, en el plazo que se establezca, para el conocimiento íntegro de dichos actos y constancia de tal conocimiento.
La Agencia de Protección de Datos de la Comunidad de Madrid recomienda la especial aplicación de esta norma en aquellos casos en los que se proceda a la valoración de datos de salud de los ciudadanos afectados, relativos a la existencia de discapacidades físicas, psíquicas o sensoriales de las personas solicitantes de las subvenciones.
En estos supuestos, se recomienda que, por parte de la Administración pública u órgano administrativo competente, se proceda a la publicación de una somera indicación del contenido del acto y del lugar donde los interesados podrán comparecer, en el plazo que se establezca, para el conocimiento íntegro del mencionado acto y constancia de tal conocimiento.
17.7. En el supuesto de que se pretendan publicar en un sitio web institucional los actos administrativos derivados de los procedimientos de concesión de subvenciones que hayan sido objeto de publicación previa en los Boletines o Diarios Oficiales en Internet, se recomienda que la Administración u órgano administrativo competente se limite a establecer una referencia o enlace a dichos Boletines o Diarios Oficiales en Internet, redifusión o sindicación de su contenido electrónico original, por ejemplo, vía RSS, u otros mecanismos similares, sin necesidad de duplicar la información.
17.8. En todo caso, se recomienda que la publicación de los datos personales de los afectados por el procedimiento de concesión de subvenciones en un sitio web institucional, en otros canales electrónicos o telemáticos, en un tablón de anuncios electrónico, o en los Boletines o Diarios Oficiales en Internet, se mantenga el tiempo estrictamente necesario para cumplir con la finalidad de la publicación.
En consecuencia, cuando finalice el plazo de reclamación o de interposición de los correspondientes recursos, los datos de carácter personal publicados deberán ser borrados del sitio web institucional susceptible de consulta a través de Internet, procediéndose a la cancelación de los mismos. Asimismo, transcurrido dicho plazo, deberá procederse al bloqueo de los datos personales publicados en los Boletines o Diarios Oficiales en Internet.
Artículo 18
Publicación de datos relativos a procedimientos de obtención de plazas en colegios públicos y colegios concertados
18.1. Los procedimientos para la obtención de plazas en colegios públicos y colegios concertados son procedimientos de concurrencia competitiva, en los cuales el órgano convocante debe valorar, entre otros méritos y circunstancias invocadas por los solicitantes, los relativos al nivel de renta, la proximidad al centro escolar, la previa escolarización de hermanos en el centro o determinados datos relativos a la salud del solicitante.
18.2. La Agencia de Protección de Datos de la Comunidad de Madrid recomienda que la publicación de datos personales que posibilite el acceso no identificado a los mismos a través de Internet, se realice única y exclusivamente en relación con el listado de adjudicatarios de plazas.
18.3. En el supuesto de que se pretendan publicar las valoraciones de los méritos y circunstancias reseñadas en las convocatorias, se recomienda que dicha publicación se realice mediante un espacio privado en el sitio web del órgano convocante o en otros canales electrónicos o telemáticos a los cuales cada solicitante pueda acceder para consultar tanto su valoración como la del resto de solicitantes.
Se recomienda que la habilitación para entrar en dicho espacio privado se efectúe a través de la identificación y autenticación del ciudadano que lo realice, mediante sistemas de firma electrónica avanzada, incluyendo los incorporados al documento nacional de identidad, u otros medios, como la introducción de una clave de acceso personalizada previamente asignada por la Administración, con su correspondiente contraseña, la aportación de información solo conocida por ambas partes, o mecanismos equivalentes.
Asimismo, utilizando idénticos mecanismos y sin necesidad de haber concurrido como participante en el procedimiento de solicitud y obtención de plazas, se reputa conforme con la normativa sobre protección de datos el acceso a los datos personales relacionados con dicho procedimiento por parte de toda persona que esgrima un interés legítimo en el procedimiento administrativo. También en este supuesto, se requerirá como condición indispensable de la identificación y autenticación del ciudadano que realice el acceso, mediante sistemas de firma electrónica avanzada, incluyendo los incorporados al documento nacional de identidad, u otros medios, como la introducción de una clave de acceso personalizada previamente asignada por la Administración, con su correspondiente contraseña, la aportación de información solo conocida por ambas partes o mecanismos equivalentes.
18.4. Especialmente en aquellos casos en los que se proceda a la valoración de datos de salud de los alumnos afectados, relativos a la existencia de discapacidades físicas, psíquicas o sensoriales, tal y como ocurre con la valoración del dato de salud relativo a la condición de celiaco, se recomienda que el órgano administrativo competente adopte las medidas oportunas para que dicha información, relativa a la salud de las personas, incorpore únicamente los datos personales mínimos para cumplir con la finalidad prevista.
En estos supuestos, se recomienda que, de acuerdo con lo dispuesto en el artículo 61 de la Ley 30/1992, de 26 de noviembre, por parte de la Administración Pública u órgano administrativo competente, se proceda, en la medida de lo posible, a la publicación de una somera indicación del contenido del acto y del lugar donde los interesados podrán comparecer, en el plazo que se establezca, para el conocimiento íntegro de dichos actos y constancia de tal conocimiento.
18.5. En el supuesto de que se pretenda publicar datos relativos a procedimientos de obtención de plazas en colegios públicos y colegios concertados en el sitio web del órgano convocante, se recomienda solicitar con carácter previo el consentimiento expreso de los solicitantes, salvo en lo referente a la adjudicación de dichas plazas.
18.6. En todo caso, se recomienda que la publicación de los datos personales de los afectados por el procedimiento de obtención de plazas en un sitio web institucional, en otros canales electrónicos o telemáticos, o en un tablón de anuncios electrónico, se mantenga el tiempo estrictamente necesario para cumplir con la finalidad de la publicación. En consecuencia, cuando finalice el plazo de reclamación o de interposición de los correspondientes recursos, los datos de carácter personal publicados deberán ser borrados del sitio web institucional susceptible de consulta a través de Internet, procediéndose a la cancelación de los mismos.
Capítulo II
Publicación de datos relativos a procedimientos de concurrencia no competitiva
Artículo 19
Cuestiones generales
19.1. Entre otros procedimientos, se reputan procedimientos de concurrencia no competitiva los relativos a la gestión y obtención de ayudas por dependencia, los de ayudas a los empleados públicos, los relativos a la gestión y obtención de ayudas por el cumplimiento de quinquenios o sexenios universitarios, y el otorgamiento de licencias, carnés y demás autorizaciones concedidas por las Administraciones Públicas a personas físicas, así como aquellos otros en los que, no concurriendo el carácter selectivo en la elección de los aspirantes, la Administración u órgano administrativo competente se limita a resolver una determinada solicitud a la luz de la normativa reguladora y del cumplimiento por el solicitante de los requisitos legalmente exigidos.
19.2. Los procedimientos de concurrencia no competitiva no tienen carácter selectivo. La Ley 30/1992 , de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común no prevé la publicación de los datos relativos a los procedimientos de concurrencia no competitiva, por lo que se recomienda que por parte del órgano competente se analice, en cada caso, la posible existencia de una previsión legal sectorial que autorice la publicación de los datos de carácter personal, o se solicite y obtenga el consentimiento del interesado.
En todos estos supuestos, salvo que concurra dicha disposición legal sectorial que autorice la publicación o se obtenga el referido consentimiento del afectado, se recomienda que la información derivada del procedimiento de concurrencia no competitiva se comunique directamente al interesado, sin proceder a su publicación a través de Internet.
19.3. Se podrá proceder a la publicación a través de Internet de los datos personales del ciudadano afectado cuando se solicite el consentimiento previo del mismo. A dichos efectos se considera que este consentimiento debe ser diferente del consentimiento que presta el aspirante para participar en el procedimiento de concurrencia no competitiva. Para la solicitud de dicho consentimiento se estima como medio idóneo para la obtención del mismo su solicitud y obtención a través del modelo utilizado por el ciudadano afectado para participar en el procedimiento de concurrencia no competitiva correspondiente.
Si bien la obtención del consentimiento del afectado podrá dar lugar a la publicación de sus datos personales a través de Internet, se recomienda que no se proceda a la publicación de datos excesivos del ciudadano afectado.
Artículo 20
Publicación de los resultados de los procesos de evaluación de la actividad docente, investigadora y de gestión realizados por la Universidad
20.1. La Universidad pública realiza el servicio público de la educación superior mediante la investigación, la docencia y el estudio. Son funciones de la universidad al servicio de la sociedad, la creación, desarrollo, transmisión y crítica de la ciencia, de la técnica y de la cultura, la preparación para el ejercicio de actividades profesionales que exijan la aplicación de conocimientos y métodos científicos y para la creación artística, la difusión, la valorización y la transferencia del conocimiento al servicio de la cultura, de la calidad de la vida, y del desarrollo económico, y la difusión del conocimiento y la cultura a través de la extensión universitaria y la formación a lo largo de toda la vida.
Los datos de evaluación académica, si bien no tienen el carácter de información especialmente protegida, adquieren una especial sensibilidad en el ámbito académico por encontrarse vinculados al prestigio profesional de los docentes.
20.2. La disposición adicional vigésimo primera de la Ley Orgánica 4/2007, de 12 de abril, por la que se modifica la Ley Orgánica 6/2001 , de 21 de diciembre, de Universidades, establece en su apartado cuarto que no será preciso el consentimiento del personal de las universidades para la publicación de los resultados de los procesos de evaluación de su actividad docente, investigadora y de gestión realizados por la universidad o por las agencias o instituciones públicas de evaluación.
20.3. De conformidad con dicha norma, los resultados de los procesos de evaluación de su actividad docente, investigadora y de gestión realizados por la universidad o por las agencias o instituciones públicas de evaluación podrán publicarse en el sitio web institucional de la correspondiente universidad pública, en otros canales electrónicos o telemáticos, o en el tablón de anuncios electrónico de la universidad, si bien la Agencia de Protección de Datos de la Comunidad de Madrid recomienda que dicha publicación se realice en un espacio privado en Internet, o a través de una Intranet administrativa, en los que, tanto el personal de las universidades como el resto de los interesados componentes de la comunidad universitaria, puedan acceder a dichos datos identificándose mediante sistemas de firma electrónica avanzada, incluyendo los incorporados al documento nacional de identidad, u otros medios como el uso de un nombre de usuario y una contraseña segura, la aportación de información solo conocida por ambas partes, o mecanismos equivalentes, de manera que la información personal no se encuentre en un espacio abierto que pueda ser consultado por cualquier persona ajena al ámbito universitario.
20.4. En todo caso, en la publicación de los datos de carácter personal a los que se refiere el presente artículo, se recomienda que cuando los resultados de los procesos de evaluación de su actividad docente, investigadora y de gestión realizados por la universidad o por las agencias o instituciones públicas de evaluación se publiquen en el sitio web institucional, en canales electrónicos o telemáticos, o en tablones de anuncios electrónicos, de conformidad con el principio de finalidad establecido en el artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre, una vez transcurrido el plazo establecido para presentar posibles reclamaciones y/o alegaciones en relación con el contenido de la publicación, dichos datos de carácter personal sean objeto de cancelación, supresión o borrado del sitio web, del canal o del tablón de anuncios electrónico correspondiente.
Artículo 21
Publicación de calificaciones de alumnos
21.1. De acuerdo con la Constitución Española, la educación tiene por objeto el pleno desarrollo de la personalidad humana en el respeto a los principios democráticos de convivencia y a los derechos y libertades fundamentales.
Todos los ciudadanos tienen derecho a acceder a la educación en función de sus aptitudes y vocación, sin que en ningún caso el ejercicio de este derecho esté sujeto a discriminación, debiendo prevalecer el principio de igualdad y los valores de mérito y capacidad. Dichos derechos deben garantizarse por las Administraciones Públicas y órganos administrativos competentes de acuerdo con el principio de objetividad.
21.2. La disposición adicional vigésimo primera de la Ley Orgánica 4/2007, de 12 de abril, por la que se modifica la Ley Orgánica 6/2001 , de 21 de diciembre, de Universidades, establece en su apartado tercero que no será preciso el consentimiento de los estudiantes para la publicación de los resultados de las pruebas relacionadas con la evaluación de sus conocimientos y competencias ni de los actos que resulten necesarios para la adecuada realización y seguimiento de dicha evaluación.
21.3. De conformidad con dicha norma, las calificaciones de los estudiantes universitarios podrán publicarse en el sitio web institucional de la correspondiente universidad pública, en otros canales electrónicos o telemáticos, o en el tablón de anuncios electrónico de la Universidad, si bien, la Agencia de Protección de Datos de la Comunidad de Madrid recomienda que dicha publicación se realice en un espacio privado en Internet, o a través de una Intranet administrativa, en los que cada alumno, así como el resto de los interesados componentes de la comunidad universitaria, puedan acceder a su calificación y a las calificaciones del resto de alumnos pertenecientes al grupo, identificándose mediante sistemas de firma electrónica avanzada, incluyendo los incorporados al documento nacional de identidad, u otros medios como el uso de un nombre de usuario y una contraseña segura, la aportación de información solo conocida por ambas partes, o mecanismos equivalentes, de manera que las calificaciones no se encuentren en un espacio abierto que pueda ser consultado por cualquier persona ajena al ámbito universitario.
21.4. En lo referente a la publicación de calificaciones en el resto de ámbitos educativos, la Ley Orgánica 2/2006 , de 3 de mayo, de Educación, no contiene ninguna referencia específica que habilite la publicidad de dichas calificaciones obtenidas por los estudiantes a través de sitios web institucionales.
No obstante lo anterior, la Agencia de Protección de Datos de la Comunidad de Madrid entiende que, en muchas ocasiones, esta publicación puede estar justificada en virtud de los principios de mérito y capacidad que rigen en materia de Educación, siempre que no se afecte al libre desarrollo de la personalidad de los individuos afectados.
En este sentido, en el supuesto de publicación de calificaciones de los estudiantes no universitarios a través de un sitio web institucional, de canales electrónicos o telemáticos, o de tablones de anuncios electrónicos, deberá garantizarse el acceso restringido de dichos estudiantes, o de la persona que ostente su patria potestad o tutela, a sus propios datos personales, facilitando dicho acceso mediante sistemas de firma electrónica avanzada, incluyendo los incorporados al documento nacional de identidad, u otros medios como el uso de un nombre de usuario y una contraseña segura, la aportación de información solo conocida por ambas partes, o mecanismos equivalentes.
En consecuencia, se recomienda que no se proceda a publicar en Internet, a través de sitios web institucionales, canales electrónicos o telemáticos, ni tablón de anuncios electrónicos que posibiliten el acceso no identificado, las calificaciones de los alumnos de Educación Infantil, Educación Secundaria Obligatoria, Bachillerato, Formación Profesional, enseñanzas de idiomas, enseñanzas artísticas, enseñanzas deportivas, educación para personas adultas y pruebas de acceso a la universidad (para mayores de veinticinco años y de selectividad), salvo que se obtenga el consentimiento previo y expreso de los alumnos afectados.
21.5. Tanto en el supuesto de publicación de datos personales en el ámbito universitario, como en el resto de ámbitos educativos a los que se refiere el presente artículo, se recomienda que cuando las calificaciones se publiquen en el sitio web institucional, en canales electrónicos o telemáticos, o en tablones de anuncios electrónicos, de conformidad con el principio de finalidad establecido en el artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre, una vez transcurrido el plazo establecido para presentar posibles reclamaciones y/o alegaciones en relación con dichas calificaciones por parte los alumnos o por la persona que ostente su patria potestad o tutela, dichos datos de carácter personal sean objeto de cancelación, supresión o borrado del sitio web, del canal o del tablón de anuncios electrónico correspondiente.
Capítulo III
Publicación de listados, directorios y censos
Artículo 22
Publicación de listados de colegiados
22.1. La publicación de los listados de colegiados pertenecientes a colegios profesionales se encuentra justificada por la función que corresponde a dichas corporaciones de derecho público en relación con la ordenación de la profesión colegiada y la evitación del intrusismo.
22.2. De conformidad con la Ley Orgánica 15/1999 , de 13 de diciembre, y con el Real Decreto 1720/2007 , de 21 de diciembre, los listados de colegiados pertenecientes a colegios profesionales son fuentes accesibles al público. Dichos listados constituyen ficheros con datos de carácter personal cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación.
Ello no obstante, de acuerdo con lo dispuesto en el apartado 3 del artículo 21 de la Ley Orgánica 15/1999, de 13 de diciembre, la comunicación de datos recogidos de fuentes accesibles al público no podrá efectuarse a ficheros de titularidad privada, sino con el consentimiento del interesado o cuando una Ley prevea otra cosa.
22.3. Los listados de colegiados pertenecientes a colegios profesionales pueden publicarse en el sitio web institucional, o en cualquier otro canal electrónico o telemático del correspondiente colegio profesional, sin perjuicio del derecho de oposición a esta publicación que pueda ejercer el colegiado.
22.4. De acuerdo con el artículo 7.1.c) del Real Decreto 1720/2007, de 21 de diciembre, la publicación del listado de colegiados en el sitio web institucional o, en su caso, en otro canal electrónico o telemático del colegio profesional, incluirá únicamente los datos relativos a nombre, título, profesión, actividad, número de colegiado, fecha de incorporación, situación de ejercicio profesional, grado académico, dirección profesional e indicación de su pertenencia al grupo. La dirección profesional podrá incluir los datos del domicilio postal completo, número telefónico, número de fax y dirección profesional.
22.5. La publicación de más datos personales, incluyendo el documento nacional de identidad, de los referidos en el apartado anterior, en el sitio web institucional o, en su caso, de otro canal electrónico o telemático del colegio profesional requerirá previamente la obtención del consentimiento del mismo.
Artículo 23
Publicación de directorios
23.1. La publicación de directorios de los empleados públicos, con datos identificativos relativos, entre otros, al puesto de trabajo desempeñado, la dirección postal del mismo, la dirección de correo electrónico o el número de teléfono profesional, constituye una forma de tratamiento de datos de carácter personal.
23.2. El artículo 35.b) de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, establece únicamente el derecho de los ciudadanos a identificar a las autoridades y al personal de las Administraciones Públicas bajo cuya responsabilidad se tramiten los procedimientos, pero no habilita la publicación de listados de puestos de trabajo de los empleados públicos.
De conformidad con el artículo 74 de la Ley 7/2007, de 12 de abril, del Estatuto Básico del Empleado Público, las Administraciones Públicas estructuran su organización a través de relaciones de puestos de trabajo u otros instrumentos organizativos similares que comprenden, al menos, la denominación de los puestos, los grupos de clasificación profesional, los cuerpos o escalas, en su caso, a que estén adscritos los sistemas de provisión y las retribuciones complementarias. Las relaciones de puestos de trabajo así como los instrumentos organizativos similares son públicos.
Salvo habilitación legal expresa que así lo autorice, la publicación de las relaciones de puestos de trabajo en los Boletines o Diarios Oficiales en Internet no deberá contener los datos del nombre y apellidos, ni ningún otro dato de carácter personal de los empleados públicos que ocupen cada uno de los puestos de trabajo comprendidos en dichas relaciones de puestos de trabajo u otros instrumentos organizativos.
23.3. Atendiendo a que la aplicación del artículo 35.b) de la Ley 30/1992, de 26 de noviembre, tiene lugar cuando el ciudadano ostenta la condición de interesado en un procedimiento administrativo, y en evitación del tratamiento masivo de los datos personales de los afectados, con carácter general se recomienda que no se publiquen en los sitios web institucionales, o en otros canales electrónicos o telemáticos, la dirección de correo electrónico ni el número de teléfono de los empleados públicos al servicio de la Administración Pública, recomendándose la publicación de números de teléfono y direcciones de correo electrónico institucionales.
De acuerdo con lo señalado en este artículo, en la publicación de las relaciones de puestos de trabajo se recomienda que no se proceda a divulgación de datos personales, dado que dicha publicación sería excesiva, no adecuada y contraria al principio de calidad de datos, establecido en los artículos 4 y 11 de la Ley Orgánica 15/1999, de 13 de diciembre.
En consecuencia, la Agencia de Protección de Datos de la Comunidad de Madrid recomienda que, en su caso, la publicación de los datos personales que componen los directorios institucionales se realice a través de una Intranet administrativa o de un área privada ubicada en el sitio web institucional o en el canal electrónico o telemático abierto en Internet, que requieran la identificación y autenticación por mecanismos fiables que permitan acreditar indubitadamente la identidad de la persona que acceda a dicha información.
23.4. No obstante lo anterior, en el supuesto del personal con responsabilidades políticas, la Agencia de Protección de Datos de la Comunidad de Madrid entiende que puede procederse a la publicación de su nombre y apellidos, dirección postal y dirección de correo electrónico, sin consentimiento del mismo, atendiendo al principio democrático y representativo. La dirección de correo electrónico personal podrá ser sustituida en estos casos por una dirección de correo electrónico institucional.
23.5. Con carácter excepcional, cuando concurra el interés público necesario, corresponderá al titular del órgano administrativo determinar, en su caso, la conveniencia de proceder a la publicación sin restricciones en el sitio web institucional o en el canal electrónico o telemático abierto en Internet, de los datos referentes al nombre y apellidos, denominación del puesto, teléfono y/o dirección de correo electrónico de sus empleados públicos con responsabilidad meramente administrativa.
Artículo 24
Publicación de censos electorales: Normas generales
24.1. El censo electoral es un tratamiento de datos personales necesario para la participación en los procesos democráticos. En estos censos se contienen, entre otros datos personales, la información relativa al nombre, apellidos, edad, domicilio y número del documento nacional de identidad de los electores censados.
24.2. El artículo 39.2 de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General, se refiere a la posibilidad de que el acceso al censo electoral se realice por medios informáticos, disponiendo que los Ayuntamientos y Consulados estarán obligados a mantener un servicio de consulta de las listas electorales vigentes de sus respectivos municipios y demarcaciones durante el plazo de ocho días, a partir del sexto día posterior a la convocatoria de elecciones. La consulta podrá realizarse por medios informáticos, previa identificación del interesado, o mediante la exposición al público de las listas electorales, si no se cuenta con medios informáticos suficientes para ello.
24.3. Con carácter general, se recomienda que el acceso a los datos personales obrantes en los censos electorales quede limitado a aquellas personas que tengan la condición de elector o elegible, accediendo únicamente a sus datos personales propios. En consecuencia, se recomienda que dichos censos no se publiquen en sitios web institucionales, en otros canales electrónicos o telemáticos, o en los tablones de anuncios electrónicos de la Administración Pública u órgano administrativo competente, para su acceso libre y no identificado, ya que con dicha práctica se produciría una cesión indiscriminada de datos de carácter personal.
En consecuencia, se recomienda que este tipo de acceso requiera, de manera indispensable, de la identificación y autenticación del ciudadano que lo realice, mediante sistemas de firma electrónica avanzada, incluyendo los incorporados al documento nacional de identidad, u otros medios, como la introducción de una clave de acceso personalizada previamente asignada por la Administración, con su correspondiente contraseña, la aportación de información solo conocida por ambas partes, o mecanismos equivalentes.
En estos supuestos el acceso podrá realizarse tanto a través de un área ubicada en el sitio web institucional o en el canal electrónico o telemático abierto en Internet, como, en su caso, a través de la utilización de una Intranet administrativa que requiera la identificación y autenticación por mecanismos fiables que permitan acreditar indubitadamente la identidad de la persona mediante el uso de cualquiera de los medios de identificación señalados.
24.4. En todo caso, la Agencia de Protección de Datos de la Comunidad de Madrid recomienda que la publicación en el sitio web institucional o, en su caso, de otro canal electrónico o telemático de la Administración Pública u órgano administrativo de los datos censales, no alcance a aquellos datos de carácter personal que resulten inadecuados, no pertinentes o excesivos para las finalidades previstas en la ley.
En este sentido, se recomienda que, siempre que sea posible, se evite la publicación en Internet de la edad, el domicilio y el número del documento nacional de identidad de los censados.
24.5. La publicación del censo electoral en el sitio web institucional, en el canal electrónico o telemático abierto en Internet, en los tablones de anuncios electrónicos, o, en su caso, a través de la utilización de una Intranet administrativa, deberá respetar lo dispuesto en el artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre. En consecuencia, una vez transcurrido el plazo establecido para presentar posibles reclamaciones y/o alegaciones en relación con el contenido del censo electoral, los datos de carácter personal deberán ser objeto de cancelación, supresión o borrado del sitio web, del canal, del tablón de anuncios electrónico o de la Intranet administrativa correspondiente.
Artículo 25
Publicación de censos electorales: Corporaciones de derecho público
25.1. Las corporaciones de derecho público, en el ejercicio de sus potestades de derecho público, organizan los procesos electorales a sus órganos de gobierno. El fichero del censo electoral es un fichero público sometido al ámbito de aplicación de la Ley 8/2001 , de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid, y, por consiguiente, al control de la Agencia de Protección de Datos de la Comunidad de Madrid.
25.2. Teniendo en cuenta que en los censos electorales confeccionados en los procesos electorales de las Corporaciones de Derecho Público se contienen, entre otros datos, los de carácter personal relativos al nombre, apellidos y número de documento nacional de identidad de los electores, y en algunos casos también el domicilio de estos, se recomienda que el acceso a dichos censos electorales quede limitado a aquellas personas que tengan la condición de elector o elegible.
A su vez, se recomienda que dichos censos no se publiquen en sitios web institucionales, canales electrónicos o telemáticos, ni en tablones de anuncios electrónicos para su acceso libre y sin identificación previa, ya que con dicha práctica se produciría una cesión indiscriminada de datos de carácter personal.
25.3. Por lo demás, en la publicación de censos electorales de las corporaciones de derecho público se recomienda la adopción del resto de medidas recogidas en el artículo 24 de esta Recomendación, especialmente en lo relativo a los sistemas restringidos de acceso a la información personal contenida en los censos, al tipo de datos personales objeto de dicho acceso, y a las obligaciones relativas a la cancelación de los datos de carácter personal.
Artículo 26
Publicación de censos electorales: Procesos electorales de la Administraciones Públicas
26.1. El artículo 26.3 de la Ley 29/1987, de 12 de junio, de regulación de los órganos de representación, determinación de las condiciones de trabajo y participación del personal al servicio de las Administraciones Públicas, establece que las Mesas Electorales obtendrán de la Administración el censo de funcionarios y confeccionarán con los medios que les habrá de facilitar la Administración Pública correspondiente la lista de electores, que se hará pública en los tablones de anuncios de todos los centros de trabajo, mediante su exposición durante un tiempo no inferior a setenta y dos horas.
En consecuencia, lo dispuesto en el artículo 24 de esta Recomendación será de aplicación a cualquier otro proceso electoral organizado en el ámbito de las Administraciones Públicas y órganos administrativos a los que se refiere esta Recomendación, incluyendo los procesos electorales para elegir a los órganos de representación del personal al servicio de las Administraciones Públicas.
26.2. En estos supuestos, las Administraciones Públicas suelen proceder a la publicación de los datos personales relativos a la fecha de nacimiento y/o a la antigüedad en la Administración Pública de los electores.
Sin perjuicio del tratamiento del dato relativo a la fecha de nacimiento para la determinación de las personas de mayor y menor edad que deban participar en el proceso electoral con las atribuciones señaladas en la Ley, dicho dato no deberá ser objeto de publicación. Asimismo, en ningún caso, deberá procederse a la publicación del dato relativo a la antigüedad en la Administración Pública de los electores.
26.3. Por lo demás, en la publicación de censos electorales de las Administraciones Públicas se recomienda la adopción del resto de medidas recogidas en el artículo 24 de esta Recomendación, especialmente en lo relativo a los sistemas restringidos de acceso a la información personal contenida en los censos, al tipo de datos personales objeto de dicho acceso, y a las obligaciones relativas a la cancelación de los datos de carácter personal.
Capítulo IV
Otros supuestos de publicidad de la actividad administrativa
Artículo 27
Publicación de sesiones y acuerdos del Pleno de las Corporaciones Locales y de otros órganos de la Administración Local
27.1. La publicidad de la actividad administrativa de los gobiernos locales favorece la objetividad de la actuación administrativa local y el control social de su actividad, facilitando la participación de los ciudadanos en los asuntos públicos.
27.2. El artículo 70 de la Ley 7/1985, de 2 de abril, Reguladora de las Bases de Régimen Local, establece que las sesiones del Pleno de las Corporaciones Locales son públicas, salvo en aquellos asuntos que puedan afectar al derecho fundamental de los ciudadanos a que se refiere el artículo 18.1 de la Constitución, cuando así se acuerde por mayoría absoluta. Sin embargo, las sesiones de las Comisiones de Gobierno no son públicas.
El apartado 2 del referido artículo 70 establece que los acuerdos que adopten las Corporaciones Locales se publicarán o notificarán en la forma prevista por la Ley.
27.3. En el ámbito de la Comunidad de Madrid, la Ley 2/2003 , de 11 de marzo, de Administración Local de la Comunidad de Madrid, regula, en su artículo 23, la forma de efectuar la información a los vecinos de manera que:
a) Los Municipios adoptarán las medidas organizativas oportunas para facilitar a los vecinos el derecho de información sobre los asuntos de interés local.
b) En todo caso, los municipios establecerán, a través de su Reglamento orgánico, el régimen de publicidad en lo que concierne a acuerdos, decretos y resúmenes de las sesiones del pleno, sin perjuicio de que para aquellos cuya población sea inferior a 20.000 habitantes, dicha publicidad se encuentre garantizada mediante el tablón de anuncios.
27.4. El artículo 207 del Real Decreto 2568/1986, de 28 de noviembre, que aprueba el Reglamento de Organización, Funcionamiento y Régimen Jurídico de las Corporaciones Locales, establece que todos los ciudadanos tienen derecho a obtener copias y certificaciones acreditativas de los acuerdos de los órganos de gobierno y administración de las entidades locales y de sus antecedentes, así como a consultar los archivos y registros en los términos que disponga la legislación de desarrollo del artículo 105.b), de la Constitución Española. La denegación o limitación de este derecho, en todo cuanto afecte a la seguridad y defensa del Estado, la averiguación de los delitos o la intimidad de las personas, deberá verificarse mediante resolución motivada.
Además, de acuerdo con lo dispuesto por el artículo 229 del propio Real Decreto 2568/1986, de 28 de noviembre, sin perjuicio de lo dispuesto en el artículo 70.2 de la Ley 7/1985, de 2 de abril, la Corporación dará publicidad resumida del contenido de las sesiones plenarias y de todos los acuerdos del Pleno y de la Comisión de Gobierno, así como de las resoluciones del Alcalde y las que por su delegación dicten los delegados. A tal efecto, además de la exposición en el tablón de anuncios de la entidad, podrán utilizarse los siguientes medios:
a) Edición, con una periodicidad mínima trimestral, de un Boletín Informativo de la entidad.
b) Publicación en los medios de comunicación social del ámbito de la entidad.
27.5. En relación con el Ayuntamiento de Madrid, de acuerdo con el artículo 9.2 de la Ley 22/2006, de 4 de julio, de Capitalidad y Régimen Especial de Madrid, las sesiones del Pleno son públicas. No obstante, podrán ser secretos el debate y votación de aquellos asuntos que puedan afectar al derecho fundamental de los ciudadanos a que se refiere el artículo 18.1 de la Constitución, cuando así se acuerde por mayoría absoluta.
El Pleno puede funcionar en comisiones que estarán formadas por los Concejales que designen los grupos políticos en proporción a su representación en el Pleno. En todo lo no previsto en dicha Ley en lo que se refiere a su convocatoria, constitución, funcionamiento y adopción de acuerdos, el Pleno se rige, en el marco de lo dispuesto por la legislación estatal básica en materia de gobierno y administración local, por su Reglamento Orgánico y las Resoluciones dictadas por su Presidente en interpretación de este.
Esta regulación se complementa con lo previsto en el Reglamento Orgánico del Pleno del Ayuntamiento de Madrid, aprobado el 31 de mayo de 2004, que en relación con la publicidad de las sesiones del Pleno establece, en su artículo 55, que las sesiones del Pleno de las Corporaciones Locales son públicas. No obstante, podrán ser secretos el debate y votación de aquellos asuntos que puedan afectar al derecho fundamental de los ciudadanos a que se refiere el artículo 18.1 de la Constitución, cuando así se acuerde por mayoría absoluta. Para ampliar la difusión del desarrollo de las sesiones podrán utilizarse sistemas de megafonía, circuitos de televisión o redes de comunicación tales como Internet.
27.6. De acuerdo con lo anterior, el Reglamento Orgánico de cada Ayuntamiento es la norma prevista en la Ley a través de la cual se establecerá el régimen de publicidad de los acuerdos, decretos y resúmenes del pleno. Habrá que acudir por tanto al Reglamento Orgánico de cada Ayuntamiento para comprobar si contiene un régimen específico a través del cual se pueda publicar en el sitio web municipal el contenido de estos acuerdos plenarios.
En consecuencia, si así se encuentra previsto reglamentariamente y siempre que dichos acuerdos en los que se contiene información con datos de carácter personal no afecten al honor, a la intimidad personal o familiar y a la propia imagen de los afectados, los mismos podrán ser objeto de publicación en el sitio web institucional del Ayuntamiento sin contravenir por ello la Ley Orgánica 15/1999 , de 13 de diciembre.
27.7. De conformidad con el principio de finalidad previsto en el artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre, los datos personales serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual se registraron, por lo que la Administración u Órgano competente deberá analizar caso por caso la finalidad por la que los datos personales fueron incorporados al acuerdo municipal para determinar cuándo deberán ser cancelados.
27.8. A su vez, debe tenerse en cuenta que, en ocasiones, los datos personales objeto de publicación no son los de los miembros del Pleno, sino de terceras personas. En consecuencia, con la publicación de los datos a través del sitio web del Ayuntamiento se realizaría una cesión de datos personales de personas que no son miembros del Pleno a través de Internet.
En estos casos, para la consecución de la finalidad perseguida, lo más habitual es que no sea necesario incluir datos personales de los ciudadanos y, por ello, dicha publicación resultaría excesiva. Por tanto, el Ayuntamiento no debería publicar en Internet dichos datos.
Sin embargo, debe tenerse en cuenta que en algunos casos puede ocurrir que en la discusión de un tema esencial en la actividad política del Ayuntamiento se incluyan datos personales y que estos datos sean imprescindibles para la comprensión del asunto de que se trate. En este caso, deberá considerarse que la publicación de dichos datos personales no es excesiva para la finalidad perseguida. Por tanto, solo en el supuesto de que la publicación de los datos personales de terceras personas que surjan en los debates pueda contribuir al conocimiento por los ciudadanos de la actividad política que desarrolla el Pleno podrá realizarse dicha publicación sin infringir el principio de calidad de los datos.
En consecuencia, se recomienda que en la publicación y la eventual difusión de los datos personales de los ciudadanos en general surgidos en el marco de los debates del Pleno Municipal a través de Internet, el Ayuntamiento correspondiente atienda las posibles solicitudes de acceso, cancelación u oposición ejercidas por los ciudadanos afectados por dicha publicación, debiendo adoptar las medidas oportunas para garantizar el ejercicio de estos derechos cuando dichas solicitudes se produjeren.
27.9. Para la publicación de actas y acuerdos del resto de Órganos de la Administración Local en sitios web institucionales regirán las reglas descritas en este artículo, de manera que no podrán publicarse datos personales de los ciudadanos que afecten a su derecho al honor, a la intimidad personal o familiar y a la propia imagen.
Artículo 28
Publicación de ponencias y presentaciones
28.1. La publicación en sitios web institucionales o en otros canales electrónicos o telemáticos de ponencias, artículos y presentaciones de personas físicas que hayan participado en seminarios, jornadas o eventos de similar índole organizados por las Administraciones Públicas, en cualquier formato electrónico, ya sea en Word, PDF, u otros, ya sea mediante la reproducción en archivos de audio o vídeo de las intervenciones de las citadas personas físicas, supone una forma de cesión de datos de carácter personal, que puede conllevar la comunicación del nombre y apellidos, dirección de correo electrónico, voz e imagen del autor afectado.
28.2. La participación en seminarios, jornadas o eventos de similar índole no lleva aparejado de forma automática el consentimiento para la publicación de datos de carácter personal en sitios web institucionales. No obstante, a efectos de publicidad del seminario, jornada o evento, la participación en el mismo conlleva el consentimiento para publicar la agenda u orden del día con los datos personales del ponente.
28.3. Para proceder a la citada publicación en un sitio web institucional o en cualquier otro canal electrónico o telemático del resto de datos de carácter personal a los que se refiere este artículo, se recomienda que en el supuesto de que dichos datos se refieran a personas físicas identificadas o identificables ajenas a la organización de la Administración Pública u órgano administrativo competente, con carácter previo, se solicite y obtenga el consentimiento del autor para llevar a cabo la publicación de los referidos datos.
28.4. Dicha obligación de obtención del consentimiento previo no será exigible cuando los datos personales de cuya publicación se trate se refieran a cargos políticos o empleados públicos pertenecientes a la organización convocante del correspondiente seminario, congreso, jornada o publicación, al entenderse que, en estos supuestos, resulta de aplicación lo dispuesto en el artículo 11.2.c) de la Ley Orgánica 15/1999, de 13 de diciembre, respondiendo la publicación de los datos a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implica la publicación de los datos de carácter personal a los que se refiere este artículo.
Artículo 29
Publicación de imágenes
29.1. A los efectos de la presente Recomendación, y de acuerdo con lo dispuesto en el artículo 3.a) de la Ley Orgánica 15/1999, de 13 de diciembre, únicamente se entenderá que la imagen es un dato de carácter personal cuando identifique o haga identificable a una persona física.
29.2. Se recomienda que para proceder a la publicación de la imagen de un ciudadano en un sitio web institucional o en cualquier otro canal electrónico o telemático administrativo, la Administración pública u órgano administrativo competente solicite y obtenga el consentimiento previo del mismo, salvo que dicha imagen fuera captada por un medio de comunicación en ejercicio de la libertad de información reconocida por el artículo 20 de la Constitución Española.
29.3. En todo caso, la persona cuya imagen haya sido publicada en un sitio web institucional o en cualquier otro canal electrónico o telemático administrativo podrá ejercitar el derecho de oposición a que se publique dicha imagen, y en su caso, solicitar la cancelación de la misma.
29.4. En el supuesto de imágenes de contenido o carácter histórico se podrá proceder a la publicación de las mismas siempre y cuando gocen de la condición de documento histórico de acuerdo con lo dispuesto en la Ley 4/1993 , de 21 de abril, de Archivos y Patrimonio Documental de la Comunidad de Madrid, en la Ley 10/1998 , de 9 de julio, de Patrimonio Histórico de la Comunidad de Madrid, y en la Ley 16/1985 , de 25 junio, del Patrimonio Histórico Español.
Artículo 30
De la publicidad del Registro de Intereses de las Corporaciones Locales y de las retribuciones de los empleados públicos
30.1. La Ley 7/1985 , de 2 de abril, de Bases del Régimen Local, regula en su artículo 75.7 el denominado Registro de Intereses, en virtud del cual, los miembros de las Corporaciones Locales deben formular declaración sobre causas de posible incompatibilidad y sobre cualquier actividad que les proporcione o pueda proporcionar ingresos económicos. En dicho Registro las personas afectadas deberán formular asimismo declaración de todos sus bienes patrimoniales.
30.2. Estas declaraciones se efectúan en los modelos aprobados por los Plenos respectivos, llevándose a cabo en el momento previsto en el citado artículo 75.7 de la Ley 7/1985, de 2 de abril, de Bases del Régimen Local.
Las declaraciones deben inscribirse en los Registros de Intereses constituidos en las Entidades Locales, que tienen carácter público.
30.3. En los supuestos en que las personas afectadas por lo dispuesto en dicho artículo, en virtud de su cargo, vieran amenazada su seguridad personal o la de sus bienes o negocios, la de sus familiares, socios, empleados o personas con quienes tuvieran relación económica o profesional podrán realizar dichas declaraciones ante el secretario de la diputación provincial o, en su caso, ante el órgano competente de la Comunidad Autónoma correspondiente. Tales declaraciones se inscribirán en un Registro Especial creado a estos efectos en aquellas instituciones. En estos supuestos, las personas afectadas deberán aportar al secretario una mera certificación simple y sucinta, acreditativa de haber cumplimentado sus declaraciones, y que estas están inscritas en el Registro Especial de Intereses, que sea expedida por el funcionario encargado del mismo.
30.4. En consecuencia, se recomienda que, atendiendo a la finalidad para la cual se exigen estas declaraciones y a las excepciones legales relativas a la publicidad de las mismas, únicamente se publiquen en sitios web institucionales del Ayuntamiento, o en cualquier otro canal electrónico o telemático de las Corporaciones Locales, aquellas declaraciones que no se encuentren inscritas en el Registro Especial.
30.5. Sin perjuicio de la periodicidad con que las Corporaciones Locales procedan a la publicación del contenido de los Registros de Intereses, se recomienda que se respete lo dispuesto en el artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre, en relación con el principio de calidad de datos, no debiendo publicarse datos inadecuados, no pertinentes o excesivos en relación con la finalidad pretendida por la Ley que autoriza la publicación.
30.6. Asimismo, se recomienda que los datos de carácter personal declarados en los registros de intereses y publicados en sitios web de los Ayuntamientos o en otros canales electrónicos o telemáticos de las Corporaciones Locales, sean cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido publicados.
30.7. Por otra parte, existen otras informaciones de los Ayuntamientos donde rige el principio de publicidad. Así, no es necesario el consentimiento de los miembros del Pleno Municipal para el tratamiento de sus datos personales relativos a sus retribuciones, indemnizaciones y asistencias a los que se refiere el artículo 75.5 de la Ley 7/1985, de 2 de abril, de Bases del Régimen Local, dentro de los límites que con carácter general se establezcan, en su caso.
De acuerdo con dicha habilitación legal, podrán publicarse íntegramente en el “Boletín Oficial” de la provincia a través de Internet, y en los tablones de anuncios electrónicos de la Corporación, los acuerdos plenarios referentes a retribuciones de los cargos con dedicación exclusiva y parcial y régimen de dilación de estos últimos, indemnizaciones y asistencias, así como los acuerdos del presidente de la Corporación determinando los miembros de la misma que realizan sus funciones en régimen de dedicación exclusiva o parcial.
30.8. No obstante lo anterior, se recomienda que la publicación de dichos datos personales relativos a los miembros del Pleno Municipal en el Boletín Oficial en Internet, o, en su caso, en los tablones de anuncios electrónicos de la Corporación Local, se cancelen cuando hayan dejado de ser necesarios para la finalidad que motivaron su publicación.
30.9. Por otra parte, en el artículo 74 de la Ley 1/1986, de 10 de abril, de la Función Pública de la Comunidad de Madrid, regula el complemento de productividad y las gratificaciones por servicios extraordinarios, incluyendo ambas como retribuciones complementarias de los funcionarios de la Comunidad de Madrid.
En este sentido, las cantidades que perciba cada funcionario por cualquiera de estos dos conceptos serán de conocimiento público para todo el personal de la Comunidad de Madrid, así como para los representantes sindicales.
30.10. En consecuencia, se entiende que la publicación de los datos personales correspondientes a la concesión de complementos de productividad y de gratificaciones por servicios extraordinarios, mediante la publicación de los mismos en sitios web institucionales, o en los tablones de anuncios electrónicos del Órgano competente, queda habilitada por lo dispuesto en una norma con rango de Ley formal, que no solo ampara, sino que además exige que la percepción de las cantidades a las que se refiere el artículo 74 de la Ley 1/1986, de 10 de abril, de la Comunidad de Madrid, sea de conocimiento público para todo el personal de la Comunidad de Madrid y para los representantes sindicales, si bien la Agencia recomienda que dicha publicación se realice en un espacio privado en Internet, o a través de una Intranet administrativa, de manera que solo puedan acceder a dichos datos, mediante sistemas de firma electrónica avanzada, incluyendo los incorporados al documento nacional de identidad, u otros medios, como el uso de un nombre de usuario y una contraseña segura, el personal al servicio de la Comunidad de Madrid y los representantes sindicales, de manera que la información retributiva no se encuentre en un espacio abierto que pueda ser consultado por cualquier persona ajena a los anteriormente citados.
30.11. En todos estos supuestos, se recomienda que la publicación de los datos se ajuste, tal y como exige el artículo 4.1 de la Ley Orgánica 15/1999, de 13 de diciembre, a los fines que justificaron su tratamiento, que serán los establecidos por la legislación sobre Función Pública de la Comunidad de Madrid.
En este sentido, los datos de carácter personal solo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. En consecuencia, se recomienda que la comunicación de dichos datos retributivos se limite a la identificación concreta de las personas afectadas, con referencia a su nombre y dos apellidos, y a la mención a la cuantía percibida y al período temporal al que se refiere dicha percepción económica.
Además, se recomienda que la publicación de dichos datos en sitios web institucionales o en tablones de anuncios electrónicos se ajuste al estricto cumplimiento de lo dispuesto por el artículo 4.2 de la Ley Orgánica 15/1999, de 13 de diciembre, no pudiendo usarse los datos de carácter personal objeto de tratamiento para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos.
30.12. A su vez, se recomienda que la publicación de dichos datos personales en sitios web institucionales, o, en su caso, en los tablones de anuncios electrónicos del órgano competente, se cancele cuando hayan dejado de ser necesarios o pertinentes para la finalidad que motivó dicha publicación.
Capítulo V
Publicación de notificaciones y resoluciones administrativas
Artículo 31
Notificaciones a través de Boletines y Diarios Oficiales en Internet de procedimientos sancionadores, procedimientos de responsabilidad patrimonial y otras materias administrativas
31.1. De acuerdo con lo dispuesto en el artículo 59.5 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, cuando concurran ciertas dificultades para notificar determinados actos administrativos, dicha notificación podrá realizarse a través de Boletines y Diarios Oficiales.
En todos estos supuestos la publicación tiene como única finalidad la notificación al interesado, por lo que se recomienda que se limite a los casos estrictamente necesarios.
31.2. La notificación mediante Boletines y Diarios Oficiales a través de Internet se viene produciendo en relación con la notificación de las fases de procedimientos sancionadores y de procedimientos de responsabilidad patrimonial, así como respecto de la notificación de actos administrativos derivados del resto de materias a las que puede resultar de aplicación el artículo 59.5.
En especial, entre otros supuestos, la publicación de los datos personales se viene realizando en el curso de los procedimientos de recaudación ejecutiva o de notificación de sanciones en materia de tráfico, circulación de vehículos y seguridad vial, venta ambulante, actividades feriales, protección de consumidores, vías pecuarias, caza, pesca, sanidad, servicios sociales, deporte, turismo, transportes, protección civil, obras públicas, medio ambiente, urbanismo, vivienda y patrimonio.
31.3. No obstante lo anterior, el artículo 37.3 de la Ley 30/1992, de 26 de noviembre, establece que el acceso a los documentos de carácter sancionador o disciplinario se encuentra limitado a la persona del interesado, no pudiendo acceder a dichos datos terceras personas.
A su vez, el artículo 7.5 de la Ley Orgánica 15/1999, de 13 de diciembre, dispone que los datos de carácter personal relativos a la comisión de infracciones penales o administrativas solo podrán ser incluidos en ficheros de las Administraciones Públicas competentes en los supuestos previstos en las respectivas normas reguladoras.
Finalmente, el artículo 61 de la Ley 30/1992, de 26 de noviembre, prevé que si el órgano competente apreciase que la notificación por medio de anuncios o la publicación de un acto lesiona derechos o intereses legítimos, se limitará a publicar en el Diario Oficial que corresponda una somera indicación del contenido del acto y del lugar donde los interesados podrán comparecer, en el plazo que se establezca, para conocimiento del contenido íntegro del mencionado acto.
31.4. En consecuencia, se recomienda que cuando resulte necesaria la notificación de un acto administrativo derivado de un procedimiento sancionador, de un procedimiento de responsabilidad patrimonial, o de cualquier otro procedimiento administrativo que contenga datos de carácter personal, mediante su publicación en Boletines y Diarios Oficiales a través de Internet, o a través de sitios web institucionales, dicha publicación se realice atendiendo a lo dispuesto en los artículos 37.3 y 61 de la Ley 30/1992, de 26 de noviembre, y en el artículo 7.5 de la Ley Orgánica 15/1999, de 13 de diciembre.
A dichos efectos, se recomienda que:
a) Con carácter general, se evite la publicación del contenido íntegro del acto administrativo objeto de notificación.
b) Atendiendo al principio de calidad de los datos establecido por el artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre, la publicación se limite a la indicación de su nombre, apellidos, número de documento nacional de identidad y número del expediente administrativo, no debiendo procederse a la publicación de otros datos personales.
31.5. Asimismo, se recomienda que el dato del domicilio del afectado solo se publique en los Boletines o Diarios Oficiales a través de Internet o en sitios web institucionales, cuando guarde relación directa con la actividad administrativa a la que se refiere la notificación. En especial, entre otros supuestos, se entiende la concurrencia de dicho requisito en los procedimientos de expropiación forzosa cuando resulte necesario publicar el domicilio del expropiado mediante su indicación en el Boletín o Diario Oficial en Internet.
31.6. Salvo habilitación legal expresa, fundamentada en la existencia de una norma con rango de Ley o en una norma comunitaria de aplicación directa que ofrezcan cobertura legal a dicha publicación, o cuando así lo consintiera expresamente el ciudadano afectado, se recomienda que no se proceda a la publicación de datos personales derivados de procedimientos sancionadores o de procedimientos de responsabilidad patrimonial en Boletines o Diarios Oficiales y en sitios web institucionales.
31.7. De conformidad con el principio de finalidad, una vez concluido el procedimiento administrativo que justificó su publicación y transcurrido el plazo previsto para la interposición, en su caso, de las correspondientes acciones y/o reclamaciones legales, se recomienda que la Administración Pública u órgano administrativo competente proceda al bloqueo de los datos de carácter personal publicados en Boletines o Diarios Oficiales en Internet.
La Recomendación de bloqueo contenida en este artículo deberá aplicarse sin perjuicio de la garantía de la autenticidad e integridad de los contenidos de los Boletines y Diarios Oficiales en Internet, respetándose, en todo caso, la autenticidad, integridad e inalterabilidad de los contenidos del Diario Oficial que se publique en sede electrónica.
31.8. A su vez, la publicación de los datos personales a los que se refiere este artículo en un sitio web institucional, en el canal electrónico o telemático abierto en Internet, o, en su caso, en tablones de anuncios electrónicos, deberá respetar lo dispuesto en el artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre. En consecuencia, se recomienda que, una vez transcurrido el plazo establecido para presentar posibles reclamaciones y/o alegaciones en relación con dichos actos, los datos de carácter personal sean objeto de cancelación, supresión o borrado del sitio web, del canal o del tablón de anuncios electrónico.
Artículo 32
Publicación de datos de sancionados por cometer infracciones administrativas
32.1. De acuerdo con lo dispuesto en el artículo 37.3 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, con carácter general, se recomienda que la publicación de las resoluciones administrativas sancionadoras por parte de la Administración pública u órgano administrativo competente se realice de forma disociada.
En consecuencia, se recomienda que el órgano competente impida el acceso no identificado de terceras personas a los datos de carácter personal de los sancionados, evitando la publicación de los mismos en Boletines y Diarios Oficiales en Internet, en sitios web institucionales, o en cualquier otro canal electrónico o telemático administrativo.
32.2. Sin embargo, existen supuestos concretos, claramente delimitados, en los que algunas normas con rango de Ley formal contemplan la publicación en Boletines o Diarios Oficiales, en sitios web institucionales, o en cualquier otro canal electrónico o telemático administrativo, de determinados datos personales de los sancionados, tales como los relativos al nombre y apellidos, número del documento nacional de identidad, infracción cometida y sanción impuesta.
La publicación no restringida de dichos datos y, en consecuencia, el acceso no identificado a los mismos mediante la consulta de Boletines o Diarios Oficiales, sitios web institucionales o canales electrónicos o telemáticos, se encuentra habilitada, entre otros supuestos, en el artículo 62 de la Ley 5/2002, de 27 de junio, sobre Drogodependencia y otros Trastornos Adictivos; en el artículo 78 de la Ley 5/2003, de 20 de marzo, de Residuos de la Comunidad de Madrid; en el artículo 110 de la Ley 6/1995, de 28 de marzo, de Garantías de los Derechos de la Infancia y la Adolescencia en la Comunidad de Madrid; en el artículo 64 de la Ley 1/1999, de 13 de marzo, de Ordenación del Turismo de la Comunidad de Madrid; en el artículo 62.7 de la Ley 2/2002, de 19 de junio, de Evaluación Ambiental de la Comunidad de Madrid; en el artículo 40.2 de la Ley de Infracciones y Sanciones en el Orden Social, aprobado mediante Real Decreto Legislativo 5/2000 , de 4 de agosto, que establece la publicidad de las sanciones impuestas por infracciones muy graves en materia de prevención de riesgos laborales; en el artículo 11 de la Ley 49/2007, de 26 de diciembre, por la que se establece el régimen de infracciones y sanciones en materia de igualdad de oportunidades, no discriminación y accesibilidad universal de las personas con discapacidad.
En atención a la exigencia de habilitación legal específica, se recomienda que la publicación de datos personales relativos a una persona física que haya cometido una infracción administrativa y su correspondiente sanción en los Boletines o Diarios Oficiales en Internet, en sitios web institucionales o en otros canales electrónicos o telemáticos, no se lleve a cabo a menos que una norma con rango de Ley o norma comunitaria de aplicación directa contemple dicha publicación, o el sancionado manifieste con carácter previo su consentimiento a que la misma se realice.
32.3. Cuando la norma con rango de Ley formal que autorice la publicación de los datos del infractor sancionado así lo explicite, se recomienda que para proceder a dicha publicación la infracción y sanción correspondientes hayan ganado firmeza en vía administrativa o jurisdiccional, en los términos descritos por la propia norma legal habilitante.
32.4. Asimismo, se recomienda que, en atención al principio de calidad de datos, recogido en el artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre, por parte del órgano competente se proceda únicamente a la publicación de los datos que resulten estrictamente adecuados, pertinentes y no excesivos en relación con la finalidad perseguida por la norma que habilite dicha publicación, procediéndose a la cancelación o bloqueo de dichos datos cuando su publicación deje de ser necesaria para la finalidad perseguida por la misma.
32.5. En todo caso, se recomienda que no se proceda a la publicación en Boletines o Diarios Oficiales, en sitios web institucionales, o en otros canales electrónicos o telemáticos de este tipo de datos personales cuando la misma pretenda realizarse como consecuencia de:
a) El mero dictado por parte de una Administración Pública u órgano administrativo de una Resolución administrativa que autorice dicha publicación y que no se fundamente en la existencia de una habilitación legal concreta.
b) La mera remisión normativa de la Ley a previsiones reglamentarias de inferior rango.
Artículo 33
Publicación de resoluciones administrativas
33.1. De conformidad con el principio de publicidad y objetividad en su actuación, las Administraciones Públicas pueden proceder a la publicación de resoluciones administrativas y otros actos administrativos que contienen datos de carácter personal, derivados de los procedimientos que tramitan en Boletines y Diarios Oficiales a través de Internet, en sitios web institucionales o en otros canales electrónicos o telemáticos administrativos.
33.2. La Agencia de Protección de Datos de la Comunidad de Madrid recomienda que la publicación de resoluciones administrativas no afectadas por alguna de las excepciones a las que se refiere la presente Recomendación se realice de forma disociada, de manera que no se publiquen para su acceso no identificado a través de Internet los datos de carácter personal de los ciudadanos.
33.3. En todo caso, se recomienda que la publicación de resoluciones administrativas no contenga los datos referentes al domicilio de las personas físicas ni el domicilio de los profesionales afectados por las mismas.
33.4. Asimismo, salvo habilitación legal expresa que lo autorice, se recomienda que la publicación se realice una vez que haya transcurrido el plazo para interponer los correspondientes recursos administrativos, y, en caso de haberse interpuesto, se hayan resuelto los mismos, siendo la resolución dictada definitiva en vía administrativa.
33.5. En todo lo demás, se recomienda que la Administración Pública u órgano administrativo competente ajuste su actuación a lo dispuesto en el artículo 31 de esta Recomendación.
