CN12-028 DICTAMEN QUE SE EMITE EN RELACION CON LA CONSULTA FORMULADA POR LA DIPUTACIÓN FORAL XXX EN RELACIÓN CON LA CESIÓN DE DATOS PADRONALES DE LOS AYUNTAMIENTOS XXX A ESA INSTITUCIÓN PARA GESTIONAR EL DESCUENTO DEL CANON DE UTILIZACIÓN DE INFRAESTRUCTURAS VIARIAS. ANTECEDENTES PRIMERO. Ha tenido entrada en la Agencia Vasca de Protección de Datos solicitud de informe remitida por la Diputación Foral de XXX, parte de la cual reproducimos a continuación: “La XXX, ha aprobado el Decreto Foral Norma 4/2010, de 15 de junio por el que se fijan las cuantías del canon de utilización de las autopistas XXX en el Territorio Histórico XXX El articulado del Decreto regula los descuentos aplicables a los residentes usuarios de las autopistas referenciadas. Los solicitantes para optar a ser beneficiarios del descuento, deben presentar el certificado de empadronamiento en algún municipio de XXX En aras a la eficacia y eficiencia de la gestión del descuento del canon, y de hacer efectivos los Derechos reconocidos a los ciudadanos en el art. 35 de la Ley 30/92, de 26 de noviembre, reguladora del régimen jurídico de las administraciones Públicas y del procedimiento administrativo común, se ha barajado la oportunidad de solicitar a los municipios, la comunicación de los datos del Padrón de Habitantes, recabando el consentimiento del afectado. El contenido de los datos a ceder comprende única y exclusivamente el de conocer si el solicitante del descuento es residente en alguno de los municipios de XXX. Realizada una somera lectura de los preceptos al respecto, consideramos que la ley de régimen local (art. 16.3 de la Ley 7/1985 de dos de abril, Reguladora de las bases de Régimen Local) ampara y legitima la cesión de los datos del padrón municipal a otras administraciones públicas, cuando los datos del padrón sean necesarios para el ejercicio de las respectivas competencias y exclusivamente para asuntos en los que la residencia sea dato relevante. Cabe reseñar que el tratamiento de los datos lo realizará XXX sociedad mercantil foral constituida en el año 2002, mediante Decreto Foral, cuyo único socio es la DFX. La Sociedad XXX. es la responsable de la gestión y explotación del tramo XXX la encargada de las infraestructuras viarias, y de aplicar el descuento del canon. Añadir a su vez que la información padronal de los municipios XXX, se gestiona a través XXX De conformidad a los antecedentes expuestos la consulta que formula la DFX es la siguiente: SI LA LEGISLACION VIGENTE EN MATERIA DE PROTECCIÓN DE DATOS AMPARA LA COMUNICACIÓN DE DATOS DEL PADRÓN DE HABITANTES, QUE COMPRENDE ÚNICA Y EXCLUSIVAMENTE EL DATO DE LA RESIDENCIA DEL SOLICITANTE DEL DESCUENTO, DE LOS AYUNTAMIENTOS DE XXX A LA DIPUTACIÓN FORAL DE XXX PARA QUE LA SOCIEDAD FORAL XXX, GESTIONE EL DESCUENTO DEL CANON DE UTILIZACIÓN DE INFRAESTRUCTURAS VIARIAS Y EN QUÉ MODO PROCEDE FORMALIZAR DICHA COMUNICACIÓN.” SEGUNDO. El artículo 17.1 n) de la Ley 2/2004 de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos establece que es Función de esta Institución: “n) Atender a las consultas que en materia de protección de datos de carácter personal le formulen las administraciones públicas, instituciones y corporaciones a que se refiere el artículo 2.1 de esta ley, así como otras personas físicas o jurídicas, en relación con los tratamientos de datos de carácter personal incluidos en el ámbito de aplicación de esta Ley.” Corresponde a esta Agencia Vasca de Protección de Datos, en virtud de la normativa más arriba citada, la emisión del informe en respuesta a la consulta formulada. CONSIDERACIONES I Se somete al criterio de la Agencia Vasca de Protección de Datos la adecuación a la normativa en materia de protección de datos de la comunicación de datos de los Padrones de habitantes de los Ayuntamientos de XXX a la Diputación Foral de este Territorio Histórico a fin de que por la Sociedad Foral XXX se pueda gestionar el descuento del canon de utilización de infraestructuras viarias. La cesión de datos es un tratamiento definido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), concretamente en el artículo 3 i) como “toda revelación de datos realizada a una persona distinta del interesado.” 2 El régimen general de la cesión de datos se regula en el artículo 11 de la LOPD, estableciéndose en el punto 1 como criterio general la necesidad de consentimiento. “Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.” En este punto, procede recordar que, según el escrito de consulta, “se ha barajado la oportunidad de solicitar a los municipios XXX, la comunicación de los datos del Padrón de Habitantes, recabando el consentimiento del afectado.” Siendo ello así, nada hay que objetar desde la Agencia Vasca de Protección de Datos, puesto que de este modo se cumpliría el requisito que el artículo 11.1 de la LOPD establece para la comunicación de datos. Por tanto, la comunicación del dato de residencia de los solicitantes del descuento del canon realizada por los Ayuntamientos XXX a la Diputación Foral de XXX con el consentimiento previo de los afectados, se ajustaría a la normativa en materia de protección de datos. II No obstante lo anterior, la invocación que se realiza posteriormente en el escrito de consulta, al artículo 16.3 de la Ley de Bases del Régimen Local, parece contradecir la idea inicial de contar con el consentimiento del interesado, puesto que en dicho precepto se regula la cesión inconsentida de datos padronales. En la Ley Orgánica de Protección de Datos, las excepciones a la necesidad del consentimiento se recogen en el punto 2 del artículo 11, siendo conveniente destacar a nuestros efectos, la recogida en el apartado a): “a) Cuando la cesión está autorizada en una ley.” En relación con el Padrón Municipal de Habitantes, la Ley que habilita la cesión es la invocada por el consultante, esto es, la Ley de Bases del Régimen Local, cuyo artículo 16.3 señala lo siguiente: “Los datos del Padrón Municipal se cederán a otras Administraciones públicas que lo soliciten sin consentimiento previo al afectado solamente cuando les sean necesarios para el ejercicio de sus respectivas competencias, y exclusivamente para asuntos en los que la residencia o el domicilio sean datos relevantes. También pueden servir para elaborar estadísticas oficiales sometidas al secreto estadístico, en los términos previstos en la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública y en las leyes de estadística de las comunidades autónomas con competencia en la materia”. Como podemos observar, son dos los requisitos establecidos por el artículo 16.3 para la cesión de datos del Padrón sin consentimiento; por un lado, cedente y cesionario deben ser Administraciones Públicas y la solicitud viene motivada por el ejercicio de una competencia propia, siendo el domicilio dato relevante para ello. Teniendo en cuenta estos requisitos, no cabría en ningún caso una cesión directa de los datos del Padrón, desde los Ayuntamientos a XXX pues en este caso el 3 cesionario aunque se trate de una sociedad foral, cuyo único socio es la Diputación Foral de XXX, tiene naturaleza mercantil. Es más, incluso en el supuesto de que la cesión tuviera como destinataria a la Diputación Foral de XXX, a nuestro juicio no estaríamos ante un supuesto de aplicación del art. 16.3 de la LBRL, ya que en este caso el dato del empadronamiento en cualquier municipio del Territorio Histórico de XXX opera como un requisito necesario para que un ciudadano pueda acceder a una ayuda foral (descuento del canon); correspondiendo la acreditación de este requisito al propio solicitante de la ayuda, tal y como dispone expresamente el Decreto Foral-Norma 4/2010 que, en su artículo 2.2 preceptúa: “Para tener derecho a la aplicación de los descuentos previstos en el presente Decreto Foral-Norma el usuario de la autopista XXX deberá cumplir las condiciones que seguidamente se exponen, cuya acreditación deberá realizarse en el momento de su solicitud ante alguna de las entidades bancarias o cajas de ahorro colaboradoras de XXX: 1. Poseer cuenta corriente en dichas entidades. 2. Presentar el certificado de empadronamiento en algún municipio de XXX 3. Presentar certificado o documento acreditativo de estar al corriente en el cumplimiento de sus obligaciones tributarias con la Hacienda Foral de XXX 4. Utilizar el dispositivo telemático de identificación y pago (TAG), establecido por XXX” Por lo tanto, de acuerdo con lo señalado, esta Agencia considera que el artículo 16.3 de la Ley de Bases del Régimen Local no puede constituirse como norma habilitante para el acceso por la Diputación a los datos del Padrón de los solicitantes del descuento del canon sin su consentimiento, toda vez que dicho precepto está relacionado con la necesidad de la Administración de comunicarse con los ciudadanos, pero no con el derecho de éstos a no aportar documentos, derecho que analizaremos en el siguiente apartado de este dictamen. III Cuestión diferente a la anterior es que el propio ciudadano, en lugar de acreditar por sí mismo el cumplimiento de ese requisito, aportando el correspondiente volante de empadronamiento, decida ejercer su derecho a no aportar documentos, reconocido en el artículo 35 f) de la Ley 30/1992 de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común. El artículo 35 f) de la Ley 30/1992 declara el derecho “A no presentar documentos no exigidos por las normas aplicables al procedimiento de que se trate, o que ya se encuentren en poder de la Administración actuante.” En relación con este derecho, la Agencia Vasca de Protección de Datos en reiteradas ocasiones se ha pronunciado recordando que se trata de un derecho a no 4 presentar, no de una obligación, sin que pueda eliminarse la opción de que sea el propio ciudadano quien acredite el requisito. En relación con esta cuestión, podemos añadir que La Ley 11/2007 de acceso electrónico de los ciudadanos a los Servicios Públicos, recoge en el artículo 6.2 b) una previsión similar a la incluida en el art. 35 f) de la Ley 30/92 cuando reconoce el derecho de los ciudadanos: “A no aportar los datos y documentos que obren en poder de las Administraciones Públicas, las cuales utilizarán medios electrónicos para recabar dicha información siempre que, en el caso de datos de carácter personal, se cuente con el consentimiento de los interesados en los términos establecidos por la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, o una norma con rango de Ley así lo determine, salvo que existan restricciones conforme a la normativa de aplicación a los datos y documentos recabados. El citado consentimiento podrá emitirse y recabarse por medios electrónicos.” Como podemos observar, la Ley 11/2007 va más lejos que la Ley 30/1992, puesto que el derecho a no aportar documentos ya no se limita a la Administración actuante, sino que se amplía también a otras Administraciones, cuando esos documentos se encuentren en soporte electrónico. Este derecho a no aportar datos y documentos, ha sido desarrollado en el ámbito de la Administración Pública de la Comunidad Autónoma de Euskadi mediante el recientemente aprobado Decreto 21/2012 de 22 de febrero, de Administración Electrónica, que en su artículo 6 preceptúa: “1.- La Administración facilitará a las personas interesadas en los procedimientos administrativos el ejercicio del derecho a no aportar los datos y documentos que obren en poder de las Administraciones Públicas, reconocido en el artículo 6.2.b) de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. El ejercicio del derecho podrá efectuarse por medios electrónicos. 2.- Las personas interesadas serán informadas expresamente de que el ejercicio del derecho implica su consentimiento, en los términos del artículo 6.2.b) de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, para que el órgano ante el que se ejercita el derecho pueda recabar los datos o documentos, respecto de los que se ejercita el derecho, de los órganos en los que se encuentren. 3.- El derecho se ejercitará de forma específica e individualizada para cada procedimiento concreto, sin que el ejercicio del derecho ante un órgano implique un consentimiento general para todos los procedimientos que aquél tramite en relación con la persona interesada. 4.- En cualquier momento, las personas interesadas podrán aportar los datos o documentos, así como revocar su consentimiento para el acceso a los datos de carácter personal. 5.- Si el órgano administrativo que tramita el procedimiento posee los datos o documentos o tiene acceso electrónico a los mismos, los incorporará al 5 procedimiento. En los ficheros del órgano cedente quedará constancia del acceso a los datos o documentos efectuado por el órgano cesionario. 6.- Si el órgano administrativo que tramita el procedimiento no posee los datos o documentos, los pedirá al órgano que los tenga, siempre que los sistemas de información de ambos órganos sean interoperables, esto es, tengan capacidad de compartir datos y documentos. 7.- Si el órgano administrativo que tramita el procedimiento no puede obtener los datos o documentos, lo comunicará a la persona interesada, con indicación del motivo, para que los aporte en el plazo y con los efectos previstos en la norma reguladora del procedimiento correspondiente. 8.- Para facilitar el ejercicio del derecho a no aportar datos y documentos, la Administración promoverá la celebración de convenios con las restantes Administraciones Públicas, según lo establecido en el artículo 9 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. En estos convenios se establecerán los procedimientos que permitan a los órganos cedentes comprobar el ejercicio del derecho respecto de los datos o documentos cuyo acceso hubiera sido solicitado. En la sede electrónica se publicarán los convenios, los datos y los documentos que se intercambian.” La regulación contenida en esta norma reglamentaria es muy similar a la que en el ámbito estatal realizó el Real Decreto 1671/2009, de 6 de noviembre, que exige la necesidad de consentimiento del afectado para recabar los datos o documentos de los órganos en los que se encuentren. En este sentido, interesa destacar que el denominado “Sistema de Verificación de Datos de Residencia” creado en al ámbito estatal mediante Real Decreto 523/2006, de 28 de abril, permite la consulta de los datos de residencia del interesado, pero siempre sometiéndolo al consentimiento previo del mismo, y salvaguardando la facultad de éste de aportar por sí mismo el documento. La necesidad de cumplimiento de este requisito se reitera en la Orden PRE/4008/2006, de 27 de diciembre, por la que se establece la configuración características, requisitos y procedimientos de acceso a dicho sistema de verificación”. De todo lo expuesto, puede colegirse que la necesidad de consentimiento constituye un requisito común para la verificación de datos de residencia, si bien el Decreto Vasco parece avanzar aún más en el respeto a la privacidad en el ejercicio del derecho de los ciudadanos a no aportar documentos o datos obrantes en otras Administraciones Públicas, al exigir que el consentimiento otorgado sea específico e individualizado para cada procedimiento concreto. IV Finalmente, se somete a consulta la cuestión del modo en que procede formalizar la comunicación de datos del Padrón entre las Administraciones implicadas. 6 A este respecto, una vez sentada la necesidad de contar con el consentimiento previo del interesado para dicho tratamiento, conviene señalar que la Ley 11/2007 en su artículo 9 al regular las transmisiones de datos entre Administraciones preceptúa lo siguiente: “1. Para un eficaz ejercicio del derecho reconocido en el apartado 6.2.b, cada Administración deberá facilitar el acceso de las restantes Administraciones Públicas a los datos relativos a los interesados que obren en su poder y se encuentren en soporte electrónico, especificando las condiciones, protocolos y criterios funcionales o técnicos necesarios para acceder a dichos datos con las máximas garantías de seguridad, integridad y disponibilidad, de conformidad con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su normativa de desarrollo. 2. La disponibilidad de tales datos estará limitada estrictamente a aquellos que son requeridos a los ciudadanos por las restantes Administraciones para la tramitación y resolución de los procedimientos y actuaciones de su competencia de acuerdo con la normativa reguladora de los mismos. El acceso a los datos de carácter personal estará, además, condicionado al cumplimiento de las condiciones establecidas en el artículo 6.2.b de la presente Ley.” Este mandato general contenido en la Ley 11/2007, se desarrolla en el Decreto Vasco 21/2012, de 21 de febrero anteriormente citado, optando en el artículo 6.8 por la figura del Convenio como el instrumento adecuado para formalizar estos tratamientos de datos, al señalar que: “Para facilitar el ejercicio del derecho a no aportar datos y documentos, la Administración promoverá la celebración de convenios con las restantes Administraciones Públicas, según lo establecido en el artículo 9 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. En estos convenios se establecerán los procedimientos que permitan a los órganos cedentes comprobar el ejercicio del derecho respecto de los datos o documentos cuyo acceso hubiera sido solicitado. En la sede electrónica se publicarán los convenios, los datos y los documentos que se intercambian.” La norma reglamentaria vasca añade un nuevo requisito, a nuestro juicio fundamental para garantizar el derecho a la autodeterminación informativa, que consiste en la obligatoriedad de que estos Convenios incluyan procedimientos que permitan a los Ayuntamientos que ceden datos del Padrón, comprobar que el cesionario, cuenta con el consentimiento de los interesados para la cesión de sus datos. En todo caso, es conveniente recordar que el principio de calidad de datos proclamado en el artículo 4 de la LOPD no permitiría en este caso, la transmisión o el acceso a otros datos del Padrón distintos al de la residencia de los solicitantes de las ayudas. Por último, y dado que en la solicitud de consulta se señala que la gestión del descuento del canon la realizará la Sociedad Foral XXX., es preciso recordar que si esta entidad trata los datos de los solicitantes de la ayuda, por cuenta de la Diputación Foral de XXX, tendrá la condición de encargado de tratamiento, estando sometida por ello al estricto cumplimiento de los requisitos que para el encargo exige 7 el artículo 12 de la LOPD y los artículos 20 a 22 de su reglamento de desarrollo aprobado mediante Real Decreto 1720/2007 de 21 de diciembre. Por las consideraciones anteriores, por el Director de la Agencia Vasca de Protección de Datos se expresa la siguiente CONCLUSIÓN La comunicación por los Ayuntamientos a la Diputación Foral de XXX, del dato de residencia de los solicitantes del descuento del canon de utilización de infraestructuras viarias, deberá contar con el consentimiento previo de los solicitantes de la ayuda. Esa comunicación deberá realizarse a través de un instrumento que permita verificar a los cedentes la existencia de dicho consentimiento, y que establezca las máximas garantías de seguridad e integridad con pleno respeto a los principios de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. En Vitoria-Gasteiz, a 14 de enero de 2013 8