El informe jurídico de la Agencia Española de Protección de Datos (AEPD) amplía y concluye dos informes previos (expedientes 108/2018 y 155/2018) para facilitar la comprensión y aplicación de las normativas de protección de datos, especialmente en casos de cesión de datos entre Administraciones Públicas. El informe se centra en la interpretación del Reglamento General de Protección de Datos (RGPD) y su aplicación en el contexto español.
El informe aborda varias cuestiones clave:
1. **Consentimiento y Bases Jurídicas del Tratamiento de Datos**:
– El RGPD no admite el consentimiento tácito. El consentimiento debe ser explícito, informado e inequívoco.
– En relaciones con la Administración, el consentimiento no es una base jurídica válida debido al desequilibrio de poder entre el interesado y la autoridad pública.
– Las bases jurídicas válidas para el tratamiento de datos por parte de la Administración son el cumplimiento de una obligación legal (art. 6.1.c) RGPD) o el cumplimiento de una misión de interés público o ejercicio de poderes públicos (art. 6.1.e) RGPD).
2. **Cesión de Datos entre Administraciones Públicas**:
– La cesión de datos entre Administraciones Públicas sin consentimiento del afectado solo es posible si existe una previsión legal expresa y se respeta el principio de proporcionalidad.
– El Tribunal Constitucional ha establecido que la cesión de datos para fines distintos de los originales solo es válida si está prevista en una norma con rango de ley.
– El RGPD permite la cesión de datos para fines distintos si existe una norma que lo justifique y sea proporcional a los objetivos perseguidos.
3. **Plataformas de Intermediación de Datos**:
– Estas plataformas son herramientas clave para la relación interadministrativa y deben adaptarse a las nuevas bases jurídicas del RGPD.
– Facilitan la gestión eficiente de recursos públicos y la descarga al ciudadano en materia de aportación y verificación de datos.
4. **Principio de Minimización de Datos**:
– Los tratamientos de datos deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se tratan.
– La Administración debe actuar siempre vinculada a la ley y al derecho, y sus tratamientos de datos deben estar justificados por el interés público.
5. **Colaboración Interadministrativa**:
– El deber de colaboración entre Administraciones Públicas está sujeto al respeto de los derechos fundamentales, incluyendo el derecho a la protección de datos.
– No cabe un acceso masivo e indiscriminado a datos personales; la cesión debe ser específica y ajustada a los datos precisos para cada caso.
En resumen, el informe subraya la importancia de adaptar las prácticas administrativas a las exigencias del RGPD, asegurando que cualquier tratamiento o cesión de datos personales esté debidamente justificado y respete los derechos fundamentales de los ciudadanos. La Administración debe actuar siempre dentro del marco legal y con el objetivo de proteger los datos personales de manera adecuada y proporcional.