En términos generales, sí se puede considerar lícita la cesión de datos personales a los concejales, sin que ello suponga una “patente de corso” como analizaremos en los siguientes apartados.
La base jurídica que ampararía dicho tratamiento de datos personales sería la del artículo 6.1.c) GDPR, esto es la necesidad del cumplimiento de una obligación legal (art. 77 de la Ley 7/1985 Reguladora de las Bases del Régimen Local, en adelante LRBRL) por parte del Alcalde (en representación de la Corporación Local) de facilitar la información (incluida la personal) que resulte necesaria para la función de control atribuida a los concejales.
Por tanto, la LRBRL, en su art. 77 establece el régimen de los concejales para obtener la información necesaria para ejercer sus funciones de control:
“Los miembros de las Corporaciones locales tienen derecho a obtener del Alcalde o Presidente o de la Comisión de Gobierno cuantos antecedentes, datos o informaciones obren en poder de los servicios de la Corporación y resulten precisos para el desarrollo de su función. La solicitud de ejercicio del derecho recogido en el párrafo anterior habrá de ser resuelta motivadamente en los cinco días naturales siguientes a aquél en que se hubiese presentado.”
No. El derecho de acceso a la información es una clara manifestación de la labor de control que deben llevar a cabo los miembros corporativos respecto a la actuación del equipo de gobierno, que es, a su vez, una manifestación del derecho constitucional contemplado por el art. 23 de la Constitución (CE) relativo al derecho a la participación en asuntos públicos. Por tanto, se debe concretar la petición de la información solicitada, y no deben ser atendidas solicitudes genéricas que puedan resultar abusivas.
Como decíamos en el apartado anterior este derecho no supone una “patente de corso”, y los concejales conforme al principio de minimización de datos del art. 5.1.c) GDPR, solo deben acceder a los datos personales que resulten adecuados, pertinentes y limitados a lo necesario en el ámbito de sus competencias para su función de control.
Además de conformidad con el principio de limitación de la finalidad, del art. 5.1.b) del GDPR, los datos deben tratarse para el control de la actividad del Ayuntamiento, ya que otro uso sería incompatible con dicho fin, no pudiendo tampoco dar publicidad a esos datos ni cederlos ni comunicarlos a terceros.
En estos casos debemos tener en cuenta que la finalidad que persigue este tratamiento de datos personales (control de la actividad de ayuntamiento), no debería implicar el tratamiento de categorías especiales o penales. Por lo que, en cumplimiento del principio de minimización de datos, solo se deberían ceder los datos estrictamente necesarios para tal fin.
En un hipotético caso de un fin que justificara el tratamiento de categorías especiales de datos, habría que basarse en alguna de las excepciones contempladas en los artículos 9 GDPR y 9 LOPDGDD), por ejemplo:
9.2.e) el tratamiento se refiera a datos personales que el interesado haya hecho manifiestamente públicos.
9.2.g) el tratamiento sea necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, y debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.
En el caso de tratamientos de datos personales de naturaleza penal, sólo podrán llevarse a cabo bajo la supervisión de las autoridades públicas o cuando lo autorice el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para los derechos y libertades de los interesados, en base a los artículos 10 GDPR y 10 LOPDGDD, esto es, cuando se encuentre amparado en una Ley o conforme con lo establecido en la regulación del Sistema de registros administrativos de apoyo a la Administración de Justicia. Fuera de estos supuestos solo serán posibles cuando se lleven a cabo por abogados y procuradores y tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones.
No, ya que sería de aplicación la limitación derivada del artículo 95 de la Ley General Tributaria, que regula que esos datos sólo podrán ser utilizados para la efectiva aplicación de los tributos o recursos cuya gestión tenga encomendada la Administración tributaria y para la imposición de las sanciones que procedan, sin que puedan ser cedidos o comunicados a terceros.
Sí, en base al cumplimiento legal de facilitar el control del ente de la Administración Local que realizan los concejales de la oposición. No obstante, conviene precisar lo siguiente:
La cesión debe referirse, atendiendo al principio de minimización de datos del GDPR, a los datos que sean más recientes. Para ceder datos de ejercicios o procesos selectivos anteriores, debería justificarse adecuadamente en qué medida coadyuvan al control de la acción del Gobierno Municipal.
Se deben adoptar, conforme al art. 32 GDPR, medidas técnicas y organizativas en base a la naturaleza, el alcance, el contexto, los fines y los riesgos que suponga el tratamiento para los interesados, pero en este caso muy especialmente, y atendiendo al principio de minimización de datos, sistemas de cifrado, seudonimización o anonimización de datos personales y de conformidad con el art. 5.1.f) GDPR fórmulas que garanticen igualmente la confidencialidad de la información (incluida la personal).
Sí. Conforme al art. 13 GDPR, al interesado se le debe facilitar toda la información relativa al tratamiento de sus datos personales, y concretamente el apartado e) se refiere a la información sobre los destinatarios o las categorías de destinatarios de los datos personales, en su caso.
En el caso que nos trae de cesión de datos a los concejales de la oposición, y al objeto de tratar de cubrir otras situaciones, podríamos incluir en la información sobre los destinarios de datos la categoría “Otros órganos de la administración pública", por ejemplo, sin que evidentemente esta sea una fórmula o denominación única.