El informe jurídico 057/2006 de la Agencia Española de Protección de Datos (AEPD) aborda la procedencia de exigir, en la convocatoria anual de subvenciones destinadas a asociaciones y entidades que atienden a víctimas del terrorismo, una relación nominal de dichas víctimas, incluyendo su condición (directas o familiares) y, en este último caso, el grado de parentesco.
La consulta se basa en la Ley 13/1996 y el Reglamento de ayudas y resarcimientos a las víctimas de delitos de terrorismo, aprobado por Real Decreto 288/2003. Estos textos legales establecen que la Administración General del Estado puede conceder subvenciones a asociaciones que representen y defiendan los intereses de las víctimas del terrorismo. Sin embargo, no especifican cómo debe acreditarse la representatividad de estas entidades.
La Orden INT/1625/2005, que regula la convocatoria de subvenciones para el año 2005, exige la acreditación de la representatividad de las asociaciones mediante una relación nominal de víctimas. La AEPD analiza si esta exigencia es conforme a la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.
La transmisión de datos personales, como los nombres de las víctimas y su relación familiar, constituye una cesión de datos. Según la Ley Orgánica 15/1999, los datos de carácter personal solo pueden ser comunicados a un tercero con el consentimiento del interesado, salvo que exista una norma con rango de Ley que lo permita. Además, los datos de salud, que pueden estar implícitos en la condición de víctima del terrorismo, solo pueden ser tratados por razones de interés general o con el consentimiento expreso del afectado.
La AEPD se remite a informes anteriores donde se analizan casos similares. En uno de ellos, se concluye que la cesión de datos de miembros de una asociación para obtener una subvención pública puede estar amparada por la Ley General de Subvenciones, siempre que se cumpla el principio de proporcionalidad. En otro informe, se indica que los datos de salud solo pueden ser comunicados si existe una norma habilitante o si se ha obtenido el consentimiento del afectado.
Aplicando esta doctrina al caso presente, la AEPD considera que la exigencia de una relación nominal de víctimas no es proporcional ni necesaria para acreditar la representatividad de las entidades solicitantes. Sugiere que sería suficiente una certificación del número de víctimas pertenecientes a la entidad, indicando si son directas o familiares y el grado de parentesco, sin necesidad de incluir nombres específicos.
En conclusión, la AEPD recomienda suprimir el requisito de la relación nominal de víctimas en futuras convocatorias de subvenciones, reemplazándolo por una certificación que respete el principio de proporcionalidad y la protección de datos personales.