És possible el tractament de les dades personals contingudes en les comunicacions rebudes a través del Sistema d’Informació Intern (SII) per a altres finalitats diferents de la prevista per la Llei 2/2023?
L’Agència Espanyola de Protecció de Dades (AEPD) analitza aquesta qüestió en el seu Dictamen 77/2023, arran d’una consulta en la qual es plantejava la viabilitat d’utilitzar per a altres finalitats la informació rebuda a través del Sistema d’Informació Intern (SII), després de comprovar que la mateixa no quedava dins de l’àmbit material de la Llei 2/2023, de 20 de febrer, reguladora de la protecció de les persones que informin sobre infraccions normatives i de lluita contra la corrupció.
En tractar-se de comunicacions que poden contenir dades personals, el tractament de les mateixes entra dins de l’àmbit d’aplicació del Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016 (RGPD) i la Llei orgànica 3/2018, de 5 de desembre de Protecció de Dades Personals i garantia de drets digitals.
De manera prèvia, s’ha de diferenciar quina és la base de legitimació per al tractament que es vol realitzar en funció de si se és o no subjecte obligat per la Llei 2/2023:
- Entitats obligades: la base de legitimació per al tractament de les dades personals és el compliment d’una obligació legal aplicable al Responsable, art. 6.1.c) del RGPD, en tant que aquesta ve prevista en l’article 30.2 de la pròpia Llei 2/2023.
- Per contra, per a les entitats no subjectes per la Llei 2/2023, el tractament de les dades personals continguts en les comunicacions es presumirà emparat en l’interès legítim.
L’AEPD parteix del fet que existeix una base jurídica i una finalitat prevista expressament per la Llei 2/2023, i a més una nova finalitat la base jurídica de la qual s’ha de determinar. A aquest efecte, l’AEPD destaca el següent:
- Les comunicacions rebudes pel SII que no quedin compreses dins de l’àmbit d’aplicació subjectiu o objectiu de la Llei 2/2023, ostenten les mateixes garanties previstes per aquesta normativa, i per tant s’exigeixen les mateixes obligacions al Responsable del tractament.
- El principi de limitació de la finalitat es manifesta també en la Llei 2/2023 a través d’un numerus clausus quant a les persones que poden accedir al contingut de la comunicació, i això continua aplicant a aquelles comunicacions que no entrin en l’àmbit d’aplicació de la Llei.
- La Llei 2/2023 estableix què fer amb les comunicacions que queden fora del seu àmbit d’aplicació, que igual que el que preveu el principi de limitació de la finalitat en matèria de protecció de dades personals, es procedirà la seva eliminació puix que escapen a l’àmbit subjectiu o material.
- La Llei 2/2023 estableix una limitació temporal, indicant que les comunicacions a les quals no s’hagi donat curs, s’hauran de suprimir, tret que la finalitat de la conservació sigui deixar evidència del funcionament del sistema.
Per tant, les comunicacions que no passin el tràmit d’admissibilitat per no quedar compreses dins de l’àmbit subjectiu o objectiu no queden excloses de la finalitat del tractament previst en l’art. 1 de la Llei 2/2023, per la qual cosa la base jurídica per a tractar les dades personals en elles contingudes, continua sent la mateixa, això és el compliment d’una obligació legal.
Nova Finalitat.
En cas que es vulgui tractar les dades personals continguts en les comunicacions rebudes a través del SSI, tal com indica l’AEPD es “ha d’acomodar aquest nou tractament al principi de finalitat i trobar una altra base jurídica de legitimació”.
Així mateix, l’AEPD incideix en què si es vol utilitzar com a base jurídica de legitimació per al nou tractament, una altra obligació legal, com la plantejada en la consulta origen d’aquest Dictamen, aquesta ha de complir amb els requisits necessaris que justifiquin la ingerència en el dret a la protecció de dades personals, sent que la base jurídica que s’al·legui ha de preveure tal ingerència, justificar l’obligació legal o l’interès públic d’un tractament diferent al previst per la Llei 2/2023, així com l’establiment de garanties o límits necessaris per al tractament que es proposi.
Respecte d’una possible base de legitimació a l’empara de l’interès legítim del Responsable, l’AEPD ressalta que correspon al Responsable del tractament la realització d’un judici de ponderació o prova de sospesament entre els seus interessos i els drets de l’interessat.
A aquest efecte, d’acord amb el Considerant 47 del RGPD s’ha de tenir “en compte les expectatives raonables dels interessats basats en la seva relació amb el responsable (…)”, sent aquesta nota de previsibilitat en aquest tractament ulterior que es vol dur a terme, l’element determinant en la compatibilitat de finalitat i en la prova de sospesament.
Així mateix, seguint amb el que indica el Considerant 47 del RGPD, “els interessos i els drets fonamentals de l’interessat poden, en particular prevaler sobre els interessos del responsable del tractament quan es procedeixi al tractament de dades personals en circumstàncies en les quals l’interessat no espera raonablement que es realitzi tal tractament”.
Per consegüent, l’AEPD considera que “difícilment un hipotètic informant que acudeix al Sistema Intern d’Informació, revestit per la llei de notes de confidencialitat i anonimat, pot esperar raonablement que la informació que aporta pugui usar-se per a una altra finalitat com la que pretén la consultant”.
Compatibilitat de finalitats.
Per a poder analitzar l’ulterior tractament s’ha de partir del principi de limitació de la finalitat, ja que en atenció als principis previstos pel RGPD les dades personals han de ser recollits amb finalitats determinats, explícits i legítims, i no seran tractats ulteriorment de manera incompatible amb aquests fins.
La finalitat del tractament de les dades personals contingudes en les comunicacions, independentment que aquestes hagin estat o no admeses, ve prevista per la Llei 2/2023, a més del procediment a seguir, el deure de confidencialitat i el termini, de conservació. Això s’aplica a totes les comunicacions que es rebin a través del SII, fins i tot quan quedin fora de l’àmbit material d’aquesta.
Tenint en compte els paràmetres previstos pel Dictamen 3/2013 del Grup de Treball de l’Article 29, actualment Comitè Europeu de Protecció de Dades, sobre la “Limitació de la Finalitat”, el responsable del SII que vulgui fer un ús diferent al de la finalitat indicada per la Llei 2/2023, ha de realitzar una avaluació de compatibilitat amb aquesta nova finalitat, tenint en compte factors com els següents:
- La relació entre els fins per als quals es van recollir les dades personals i els fins del seu tractament ulterior.
- El context en el qual es van recollir les dades personals i les expectatives raonables dels interessats quant al seu ús ulterior.
- La naturalesa de les dades personals i l’impacte del tractament ulterior en els interessats.
- Les garanties adoptades pel responsable del tractament per a garantir un tractament equitatiu i prevenir qualsevol repercussió indeguda en els interessats.
Resulta per tant imprescindible analitzar la viabilitat d’un tractament ulterior, valorant la necessitat d’aquest, així com la determinació de l’adequada base jurídica que legitimi el tractament en qüestió.
Així mateix, és essencial realitzar una avaluació de compatibilitat de fins, en cas que es vulgui utilitzar les dades personals prèviament recollides, per a una finalitat ulterior diferent per tant de la inicial.
Finalment, en cas que l’avaluació realitzada manifesti una falta de compatibilitat entre finalitats, en atenció a la responsabilitat proactiva que correspon al Responsable del tractament, s’hauran de valorar altres vies i mecanismes que compensin el canvi de finalitat i que per tant garanteixin la protecció de l’interessat en l’àmbit de la protecció de les seves dades personals i del que es preveu per la Llei 2/2023.
Melanie Díaz
Departament de Compliance de Molins Defensa Penal.