El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta planteada por la Oficina de Prevención y Lucha contra la Corrupción en las Islas Baleares (OAIB) sobre la conformidad de la comunicación de datos personales a la Sindicatura de Cuentas de las Islas Baleares (SCIB) con el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).
La consulta se centra en la solicitud de información por parte de la SCIB sobre procedimientos de provisión de puestos de trabajo llevados a cabo por la OAIB, incluyendo documentos como currículums, actas de comisiones de valoración y certificados de conocimientos de idioma catalán. La OAIB argumenta que la SCIB carece de competencias para requerir estos datos, ya que su función se limita a la fiscalización externa de la actividad económica, financiera y contable.
El informe de la AEPD analiza varios principios clave del RGPD, como la licitud, la minimización de datos y la limitación de la finalidad. Se concluye que la SCIB, como autoridad pública, tiene competencias para solicitar información necesaria para cumplir con su misión de fiscalización, siempre que dicha información tenga trascendencia económico-financiera y contable. La SCIB debe justificar la necesidad y proporcionalidad de la solicitud, y los datos deben ser tratados de manera que se garantice la seguridad y confidencialidad de los mismos.
El informe también aborda la cuestión de la seudonimización y anonimización de los datos, destacando que estas técnicas pueden ser aplicadas siempre que no comprometan la eficacia de la fiscalización. Además, se analiza la compatibilidad del tratamiento ulterior de los datos, concluyendo que la comunicación de datos a autoridades de supervisión y control no resulta incompatible con la finalidad inicial del tratamiento.
Finalmente, el informe trata el tema de las categorías especiales de datos, señalando que, en caso de existir, deben considerarse aportados voluntariamente por los interesados, y que la SCIB debe tener una base jurídica para su tratamiento. Se subraya la importancia de la transparencia y la previsibilidad en el tratamiento de datos personales, así como el deber de secreto y confidencialidad que recae sobre las autoridades involucradas.
En resumen, el informe de la AEPD concluye que la comunicación de datos personales por parte de la OAIB a la SCIB puede ser conforme al RGPD y la LOPDGDD, siempre que se cumplan los principios de licitud, minimización de datos y limitación de la finalidad, y que se justifique la necesidad y proporcionalidad de la solicitud. La SCIB debe garantizar la seguridad y confidencialidad de los datos, y la OAIB debe actualizar su Registro de Actividades de Tratamiento para reflejar adecuadamente estos tratamientos.