El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la adecuación del programa ATOPO de la Diputación de Pontevedra al Reglamento General de Protección de Datos (RGPD) y a la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD). El programa ATOPO busca facilitar el acceso universal a fondos documentales y obras, incluyendo información personal, lo que plantea cuestiones sobre la protección de datos.
El informe destaca que el tratamiento de datos personales debe cumplir con los requisitos del RGPD y la LOPDGDD. La base jurídica para el tratamiento de datos en el programa ATOPO se encuentra en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, conforme al artículo 6.1.e) del RGPD. La Directiva 2003/98/CE y la Ley 37/2007 sobre reutilización de información del sector público no legitiman por sí mismas la difusión de datos personales, ya que estas normativas deben ser conciliadas con las garantías del RGPD y la LOPDGDD.
El acceso a la información puede ser tanto universal como individualizado, dependiendo de la naturaleza de los datos y las normativas aplicables. La Ley 19/2013 de transparencia, acceso a la información pública y buen gobierno (LTAIBG) establece límites y plazos para la publicación de datos personales, que deben ser ponderados en cada caso concreto. La AEPD subraya que las dificultades prácticas no pueden ser oponibles a lo dispuesto en dichas leyes.
En cuanto al tratamiento de datos de fallecidos, el RGPD y la LOPDGDD no se aplican, salvo en lo que respecta a los derechos de acceso, rectificación y supresión que pueden ejercer ciertos familiares o herederos. La publicación de imágenes y datos de menores de edad requiere un consentimiento específico y una evaluación de impacto sobre la protección de datos.
El informe concluye que la reutilización de información pública que contenga datos personales debe estar condicionada por las limitaciones y garantías establecidas en la LTAIBG y otras normativas aplicables. Se recomienda la realización de una evaluación de impacto sobre la protección de datos y la anonimización de los datos personales para minimizar riesgos. Además, se sugiere el uso de licencias específicas que establezcan compromisos jurídicos para evitar la reidentificación de las personas afectadas.
En resumen, el informe subraya la necesidad de cumplir con las normativas de protección de datos en la implementación del programa ATOPO, asegurando que el acceso a la información se realice de manera segura y respetuosa con los derechos de las personas.