Análisis del instrumento normativo de creación, modificación y supresión de ficheros de datos de carácter personal en la Administración local.

Miniatura noticia

Autores: Javier Sempere Samaniego y Alfonso Pacheco Cifuentes

Introducción.

En fechas recientes la Agencia Española de Protección de Datos ha puesto en su web a disposición de las Administraciones públicas una herramienta llamada DISPONE, pensada como ayuda para la generación de la disposición de creación, modificación y/o supresión de ficheros de datos de carácter personal de Titularidad Pública exigida en el artículo 20 de la LOPD.

Curioseando el funcionamiento de dicha herramienta, hemos decidido recorrer su contenido simulando ser un Ayuntamiento interesado en aprovechar la misma para la generación de una disposición de creación de un fichero. Y así, en el apartado relativo a la forma de la disposición a elaborar vemos que la Agencia ha previsto diversas posibilidades, tales como acuerdo; acuerdo del pleno; decreto de Alcaldía; edicto; ordenanza; orden; resolución…

Ello no hace sino responder, entendemos, a la casuística que en la práctica se ha ido encontrando la Agencia en cuanto a la forma que revisten los acuerdos o disposiciones de creación, modificación o supresión de ficheros que han ido notificado a lo largo de estos años distintas Corporaciones locales.

Ahora bien, la pregunta que nosotros nos planteamos es si esa realidad fáctica se ciñe a las exigencias de forma previstas en la LOPD y su RDLOPD para la creación, modificación o supresión de ficheros de datos de carácter personal titularidad de Administraciones Públicas y, más concretamente, de las Corporaciones locales. Intentaremos a lo largo de estas líneas dar respuesta esta cuestión.

La opinión de la doctrina.

El artículo 20 de la LOPD determina que los ficheros de datos de carácter personal de las Administraciones Públicas solo podrán crearse, modificarse o suprimirse por medio de disposición de carácter general publicada en el Boletín o Diario oficial correspondiente.

¿Podría valer, en vez de una disposición de carácter general, un acto administrativo de carácter general? En palabras de Julián Valero Torrijos y José Antonio López Pellicer, en su artículo “Algunas consideraciones sobre el derecho a la protección de datos personales en la actividad administrativa”, publicado en la Revista Vasca de Administración Pública, nº 59, año 2001

…”Debe destacarse la exigencia de que sea una disposición normativa de carácter general la que autorice la creación, modificación o supresión del fichero, de manera que no bastaría únicamente con el recurso de acudir a un mero acto administrativo de carácter general”.

¿Y por qué? Los citados autores no lo dicen, pero lo explica muy bien Manuel Fernández Salmerón, en su obra “La Protección de los datos personales en las Administraciones Públicas”, publicada por la APDCM y Thomson Civitas:

“La definición característica de las disposiciones generales frente a los meros actos administrativos, aún los de formulación general, en nuestro ordenamiento se centra en la cualidad de la abstracción. Esta nota fundamental es la que permite explicar, entre otros, el decisivo principio de inderogabilidad singular de los reglamentos [apuntamos aquí, como bien dice en un momento anterior el mismo autor, que “reglamento” es el término convencional con el que en nuestro ordenamiento se denominan a las disposiciones de carácter general, tengan o no naturaleza propiamente reglamentaria o gubernativa], de modo tal que sólo las disposiciones que presentan una formulación abstracta, esto es, que son susceptibles de ser aplicadas, o de ver verificado su supuesto de hecho, en un número previamente indeterminado de ocasiones sucesivas, pueden decirse disposiciones de carácter general. Pues bien, si atendemos al contenido exigido por el artículo 20.2 LOPDP a las disposiciones de creación o modificación de ficheros, comprobaremos que el mismo dota a la actuación administrativa formal así aprobada y publicada de una formulación abstracta. En definitiva, la disposición contiene una disciplina del fichero de datos personales susceptible de verificarse y aplicarse indefinidamente.”

Aclarado lo anterior, deberemos preguntarnos quién puede aprobar entonces esa disposición de carácter general. Citando nuevamente a Fernández Salmerón,

“Sólo pueden disponer la creación, modificación e incluso supresión de ficheros aquellas autoridades que tengan atribuida por el ordenamiento la potestad de dictar disposiciones de carácter general, esto es y aunque se trate de un término equívoco, que estén dotadas de la que se conoce como potestad normativa.”

¿Y cómo lo determinamos? ¿Cómo sabremos quien puede aprobar en nuestro Ayuntamiento esa disposición de carácter general?

El artículo 53.3 RDLOPD nos marca el camino: “Acuda usted a la legislación específica sobre entidades locales, hombre”

La normativa de elaboración y aprobación de disposiciones de carácter general por parte de los Ayuntamientos.

De esta forma llegamos a la Ley 7/1985, de 2 de abril, reguladora de las Bases del Régimen Local, cuyo artículo 4.1.a) determina que

“En su calidad de Administraciones públicas de carácter territorial, y dentro de la esfera de sus competencias, corresponden en todo caso a los municipios, las provincias y las islas:

a) Las potestades reglamentaria y de auto organización.”

Y, posteriormente, en su artículo 22.1.d) señala que es competencia del Pleno de la Corporación:

d) La aprobación del reglamento orgánico y de las ordenanzas”.

Más claramente expresado, si cabe, en el artículo 123 d), dentro del Título X (Ayuntamientos de gran población), que establece como atribución del Pleno:

“d) La aprobación y modificación de las ordenanzas y reglamentos municipales”.

Y, en la misma línea, el artículo 50 del Real Decreto 2568/1986, de 28 de noviembre, por el que se aprueba el Reglamento de Organización, Funcionamiento y Régimen Jurídico de las Entidades Locales, que determina, entre las competencias del Pleno

“Aprobar el reglamento orgánico, las ordenanzas y demás disposiciones de carácter general que sean de la competencia municipal.”

Por tanto, el órgano competente para aprobar la disposición general de creación, modificación o supresión de ficheros de datos de carácter personal de titularidad municipal es el Pleno de la Corporación y no otro órgano, como bien dice, de nuevo, Fernández Salmerón:

“…Esta importante precisión supone, por ejemplo, que en los Entes locales no puedan crear, modificar o suprimir ficheros los Alcaldes o Presidentes, ni otras autoridad, sino sólo el Pleno de las respectivas corporaciones.”

El siguiente paso es analizar si esa disposición de carácter general tiene que adoptar la forma de Reglamento o de Ordenanza. Los Reglamentos tienen como objetivo regular la organización interna así como la prestación de servicios de la Corporación, mientras que las Ordenanzas se aprueban en el ejercicio de las competencias municipales asumidas y con efectos hacia los ciudadanos (administrados).

En este sentido, podemos citar a José L. Blasco Díaz (“Ordenanza municipal y ley”) que afirma que “es vigente la clasificación que a su vez realizó Marques Carbó, L (“Colección ordenada de reglas que elaboren los Ayuntamientos para su régimen interior, para el régimen jurídico de sus funcionarios o para la eficiente prestación de sus servicios”) con tres ejemplos: Reglamento orgánico, Reglamento del Cuerpo de la Policía municipal o Reglamento sobre la prestación del servicio domiciliario de agua potable. En otras palabras: organización interna, regulación de los empleados públicos y derechos y obligaciones respecto a los ciudadanos.”

Esta cuestión está expresada de manera muy clarividente por el artículo 106 de la Ley 20/2006 Islas Baleares, según el cual:

“1 Las disposiciones generales aprobadas por las entidades locales en el ejercicio de la potestad reglamentaria y en el ámbito de su competencia adoptan la denominación de reglamentos, si tienen por objeto regular la organización, el funcionamiento de la entidad local y la prestación de los servicios públicos, y, de lo contrario, la de ordenanzas.

2 Las ordenanzas y los reglamentos de las entidades locales se integran en el ordenamiento jurídico con sujeción a los principios de jerarquía normativa y de competencia.

3 Lo dispuesto en las ordenanzas y los reglamentos vincula por igual a los ciudadanos y a las ciudadanas y a la entidad local, sin que ésta pueda dispensar individualmente de su observancia.”

Atendiendo a lo expuesto, se nos antoja como más adecuada la forma de ordenanza, tal y como sostienen Fernández Salmerón

…”sólo el Pleno de las respectivas corporaciones, a través de la correspondiente ordenanza, ex artículos 22.1d) y 33.1.b LBRL y demás disposiciones concordantes”.

O, también, Mª Asunción Alonso Durán en sus comentarios al artículo 53 RDLOPD en la obra colectiva “Protección de datos. Comentarios al Reglamento”, Lex Nova:

“…en el caso de las entidades locales, no cabe duda alguna de que la forma y competencia vendrá encuadrada por el ejercicio de la potestad reglamentaria de la entidad –artículo 4.1.a) de la LRBRL− y habrá de efectuarse por ordenanza.”

¿Qué postura tienen las Autoridades de Control sobre este tema?

En cuanto a la Agencia Española de Protección de Datos (AEPD), después de mucho rebuscar, hemos encontrado un informe jurídico, el 260/2008, del que deducimos que se inclina también por la forma de ordenanza.

En cambio, la Agencia de Protección de Datos de la Comunidad Autónoma de Madrid (APDCM) y la Autoritat de Protecció de Dades de Catalunya (APDCAT) se muestran más flexibles, dado que si bien parece que debe tener preponderancia la ordenanza, dan pie a la aprobación por medio de otras disposiciones de carácter general.

Así, en cuanto a lo que respecta a la APDCM, el artículo 4.4 del Decreto 99/2002, de 13 de junio, por el que se Regula el procedimiento de elaboración de disposiciones de carácter general de creación, modificación y supresión de ficheros que contienen datos de carácter personal, así como su inscripción en el Registro de Ficheros de Datos Personales (BO. Comunidad de Madrid 20 junio 2002, núm. 145) establece que:

“Corresponde a cada uno de los Entes que integran la Administración Local del ámbito territorial de la Comunidad de Madrid la competencia para la creación, modificación y supresión de sus ficheros, mediante la aprobación de la correspondiente ordenanza municipal o cualquier otra disposición de carácter general, en los términos previstos en la Ley 7/1985, de 2 de abril, Reguladora de Bases de Régimen Local y, en su caso, en la legislación autonómica.”

Y en cuanto a la APDCAT, en su Recomendación 1/2011 sobre la creación, modificación y supresión de ficheros de datos de carácter personal de titularidad pública nos dice que

“En el ámbito de la Administración Local y los entes públicos vinculados o dependientes de los entes locales, los ficheros se pueden aprobar por Ordenanza o Reglamento del pleno de la corporación.”

Además, en el ámbito de control de ambas Autoridades, nos encontramos dos excepciones:

Así, en el caso del Ayuntamiento de Madrid, el artículo 17.1.l de la Ley 22/2006 de Capitalidad de la Villa de Madrid ha previsto que la creación, modificación y supresión de ficheros de ese Ayuntamiento se realice mediante Acuerdo de la Comisión de Gobierno. Esta opción también la permite la APDCAT respecto al Ayuntamiento de Barcelona, incluyendo además la posibilidad de que el acto en cuestión se realice por la Alcaldía.

Estas excepciones podrían estar justificadas desde un punto de vista organizativo y de gestión, ya que se trata de grandes Ayuntamientos con un gran aparato burocrático similar al que tienen las Comunidades Autónomas. Piénsese, en términos comparativos, que sería como si en el ámbito autonómico los ficheros fuesen creados, modificados o suprimidos por un Decreto de Consejo de Gobierno de la correspondiente Comunidad Autónoma. Añádase las dificultades de introducir en el “Orden del Día” del Pleno de los Ayuntamientos citados la aprobación de una ordenanza de creación, modificación o supresión de ficheros.

Procedimiento para la aprobación de una Ordenanza.

Consideramos también importante el respeto de todos y cada uno de los pasos que conforman el procedimiento descrito en el artículo 49 de la Ley de Bases de Régimen Local para la aprobación de esa Ordenanza

a. Aprobación inicial por el Pleno.

b. Información pública y audiencia a los interesados por el plazo mínimo de treinta días para la presentación de reclamaciones y sugerencias.

c. Resolución de todas las reclamaciones y sugerencias presentadas dentro del plazo y aprobación definitiva por el Pleno.

En el caso de que no se hubiera presentado ninguna reclamación o sugerencia, se entenderá definitivamente adoptado el acuerdo hasta entonces provisional.

Además, según el 196.2 del ROF:

“2. Las ordenanzas y reglamentos, incluidas las normas de los planes urbanísticos, se publican en el Boletín Oficial de la Provincia y no entran en vigor hasta que se haya publicado completamente su texto y haya transcurrido el plazo previsto en el artículo 65.2 de la Ley 7/1985, de RBRL. Idéntica regla es de aplicación a los Presupuestos, en los términos del artículo 112.3 de la misma Ley.”

Conclusiones.

Ponga el lector en relación todo lo expuesto con lo que hemos dicho al principio: la realidad nos indica que muchos actos de creación, modificación o supresión de ficheros se toman por el órgano inadecuado o bajo forma no pertinente.

En la práctica, la AEPD los admite todos y no suele poner “peros”, priorizando o primando la voluntad de esos consistorios en cumplir con sus obligaciones derivadas de la LOPD frente a esas irregularidades.

Pero debemos ser conscientes de que si esas irregularidades se someten al criterio de los órganos de Justicia, muy probablemente la corporación municipal se lleve un disgusto, puesto que si bien no hay muchos hasta la fecha, lo cierto es que los pronunciamientos judiciales que hemos localizado al respecto se muestran bastante rigurosos en cuanto a la forma y al órgano adoptante.

Así, podemos citar las siguientes resoluciones:

-Sentencia de la Sala Tercera del Tribunal Supremo de 5 de diciembre de 2008 que confirma una Sentencia del TSJ de la Comunidad Valenciana que había declarado nula la disposición de carácter general de creación del fichero “Registro de establecimientos y servicios sanitarios de atención farmacéutica” por haberse omitido el informe preceptivo del Consejo Consultivo de esa Comunidad Autónoma.

Sentencia de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 2 de diciembre de 2010, que anula la resolución de la AEPD al considerar que el sancionado no era el órgano responsable para aprobar la disposición de carácter general de creación de un fichero de videovigilancia.

Para ello, y a falta de regulación expresa en la Instrucción 1/2006 de la AEPD, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras, debe partirse del concepto de responsable del fichero o del tratamiento, contenida en el artículo 3.d) de la LOPD y en el 5.1 q) del Real Decreto 1720/2007, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999.

Entiende la AEPD, y con ella el Abogado del Estado en la contestación a la demanda, que es el Ayuntamiento de Málaga tal responsable del fichero, en cuanto persona jurídica titular del espacio donde se encuentran instaladas las tres videocámaras, al ser dicha entidad la que decide sobre la finalidad, contenido y uso del citado tratamiento.

Añade el Abogado del Estado, además, que ello viene avalado porque dicho Ayuntamiento se encargó de la gestión de la solicitud de autorización y de sus renovaciones y corrió con los gastos derivados de la referida instalación.

Considera esta Sala, sin embargo, en contra de dicha argumentación y de acuerdo con las consideraciones de la parte actora en la demanda, que tal responsabilidad incumbe al Cuerpo Nacional de Policía, pues ha quedado probado en las actuaciones, a través de la documental obrante en el expediente administrativo, que en definitiva ha sido dicha Policía Nacional, y no el Ayuntamiento, quien ha decidido sobre la finalidad , el uso y el tratamiento de las imágenes de la vía pública grabadas a través del sistema de videovigilancia instalado en el centro histórico de Málaga.”

Sentencia de la Sala de lo Contencioso-Administrativo del Tribunal Superior de Justicia de Madrid de 10 de diciembre de 2010 sobre cumplimiento de los trámites normativos en la creación de ficheros de videovigilancia de varios Institutos de Educación Secundaria.

“De la transcripción literal del artº 4 de la Ley 8/2001 de 13 de julio y artº 6 del Decreto 99/2002, de 13 de junio, antes expresada, y que recoge la Administración demandada, disponen que “la creación de ficheros de datos de carácter personal deberán indicar, en todo caso, la finalidad del fichero y los usos previstos para el mismo.” Del examen de esta normativa se desprende que la Orden impugnada cumple con todas las exigencias de contenido establecidas en la misma, y así, en lo relativo a la finalidad del fichero y los usos previstos del mismo, la Orden se refiere a “Imágenes del entorno e interior del inmueble por motivos de seguridad”, entendiendo que tal delimitación es suficiente para concretar cuál es la finalidad, motivos de seguridad, y los usos de estos ficheros, la captación de imágenes del entorno e interior de los centros respectivos, siendo en los informes previos sobre necesidad y oportunidad del tratamiento de las imágenes por cámaras o videocámaras, donde se concretan específicamente los usos que en cada centro educativo se van a dar, sin que sea necesario ni exigible que la Orden alcance otro grado de detalles.

Por otro lado, la Orden impugnada también cumple con los requisitos legales de Informes previos preceptivos por parte de la Secretaría General Técnica de laConsejería de Educación y de la Agencia de Protección de Datos de la Comunidad de Madrid, pues tales informes constan en el expediente administrativo sin que la normativa ya invocada en esta materia exija un contenido concreto de los mismos, bastando para su emisión favorable que hayan tenido acceso previo a los informes justificativos emitidos por cada uno de los responsables del fichero en cuestión, y hayan considerado que los mismos cumplen con todos los requisitos de idoneidad, necesidad y proporcionalidad exigidos por la normativa.”

Ahora bien, cabe preguntarse si, en el fondo, resulta práctica la exigencia de que la creación, modificación o supresión de ficheros de datos de carácter personal de los Ayuntamientos exija la forma de ordenanza, sobre todo pensando en los supuestos de ulterior creación de nuevos ficheros (por ejemplo por la asunción de nuevas competencias), modificación o supresión, que, entendemos que necesitarían de un procedimiento más ágil, dinámico y expeditivo que uno que necesita de aprobación inicial, información pública, resolución de alegaciones y aprobación definitiva.

Pensemos por ejemplo, en la habitual y típica remodelación de áreas de una Corporación municipal que suele llevar a cabo el nuevo equipo de Gobierno tras la celebración de elecciones municipales, en las que se crean nuevos departamentos, se fusionan otros o desaparece alguno pasando sus competencias a ser responsabilidad de otro.

Todo eso supone, desde el punto de vista de la protección de datos de carácter personal, una modificación de la estructura de los ficheros responsabilidad del consistorio (sobre todo, entendemos, en lo que hace referencial al concreto órgano administrativo responsable y servicio o unidad ante el que ejercitar los derechos ARCO), por lo que habrá que adecuar la misma y notificar esos cambios al ente de control competente, nacional o autonómico. Y si para ello debe seguirse el procedimiento establecido para la creación de la ordenanza, con aprobación inicial, información pública, resolución de alegaciones y aprobación definitiva…pues no se hará, como así resulta fácilmente comprobable si el lector coteja la estructura de los ficheros declarados por cualquier consistorio con su actual organización.

No obstante, una solución sería que la norma reglamentaria que establezca la nueva estructura municipal puede considerarse como la norma habilitante para realizar la modificación de ficheros. Al menos, así lo ha entendido la APDCM ya que el Decreto 99/2002 respecto a los cambios de estructura de la Administración autonómica en su Disposición Adicional Primera establece:

“Primera.- Cambio de responsable de fichero

Si de conformidad con lo previsto en el artículo 19.3 de la Ley 1/1983, de 13 de diciembre, de Gobierno y Administración de la Comunidad de Madrid, se acuerda, mediante Decreto del Presidente de la Comunidad de Madrid o del Consejo de Gobierno de la Comunidad de Madrid, el cambio de estructura orgánica de las Consejerías, dicho cambio puede implicar una modificación en los responsables de los ficheros declarados al Registro de Ficheros de Datos Personales, o también puede generar la creación o supresión de ficheros con los subsiguientes cambios de responsable, derivados a su vez de la creación de nuevas Consejerías o la supresión de las ya existentes.

Una vez se produzcan los cambios estructurales descritos en el apartado anterior, y únicamente, para aquellos ficheros que dispongan de un idéntico contenido variando solamente en cuanto a su responsable, el Decreto de estructura aprobado, será a su vez la disposición de carácter general prevista en el artículo 3, que habilite para realizar las nuevas inscripciones o supresiones, o las correspondientes modificaciones de responsables en el Registro de Ficheros de Datos Personales de la Agencia de Protección de Datos de la Comunidad de Madrid. Para ello, será necesario que, por los nuevos responsables se proceda a través del impreso oficial de notificación de inscripciones, a la declaración de la creación o supresión de ficheros, o de la modificación de los responsables declarados, debiendo acompañar necesariamente copia del Decreto de modificación de la estructura orgánica. Para poder realizar tales actuaciones, la Agencia podrá solicitar del nuevo responsable del fichero cuanta información considere necesaria.”

Artículo publicado el 17 de mayo de 2012 en Diario La Ley


3 comentarios

  1. Isidro Gómez-Juárez
    11 de abril de 2012 @ 17:18

    Gracias Javier y Alfonso por regalarnos este estudio. Me alegra que un blog tan interesante goce de buena salud. Un abrazo.

    Responder

    • Alfonso Pacheco
      11 de abril de 2012 @ 18:24

      Isidro, muchas gracias por tus felicitaciones. Nos alegra mucho comprobar la buena acogida de nuestra exposición entre los expertos como tú, señal de que no vamos desencaminados.
      Un abrazo,
      Javier y Alfonso

      Responder

  2. Administraciones públicas: “otro tipo de infractores” - Luis Salvador
    28 de mayo de 2012 @ 13:13

    […] obligaciones que se imponen a las Administraciones en este sentido, les recomiendo la lectura de la entrada “a cuatro manos” publicada en Privacidad Práctica por mi socio y amigo Alfonso Pacheco y mi amigo Francisco […]

    Responder

Enviar una respuesta

Protección de datos de carácter personal: con el envío del comentario, el usuario admite haber leído y aceptado la información en materia de protección de datos de carácter personal que se incluye en la información legal existente en esta página, al que se accede a través de pestaña bajo ese título, "Información legal" , situada en la parte superior de la página de inicio de este blog, y donde se informa de los titulares del blog, de las finalidades para las que se utilizarán los datos personales comunicados, así como la dirección para el ejercicio de los derechos reconocidos en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Los datos marcados con asterisco, son de obligado cumplimiento para aceptar la publicación del comentario. Si tales datos no fuesen facilitados, el comentario enviado será eliminado sin proceder a su publicación.

*