Juanita Pedraza Córdoba

Interoperabilidad e intercambio de datos entre administraciones públicas

 24/02/2023
 Compartir: 

La interoperabilidad es un principio basal de la administración electrónica y, por ende, del mercado único digital. En este trabajo se analiza el alcance del principio y los presupuestos jurídicos sobre los que está cimentada su efectividad, en el marco de una acción concreta de tratamiento de datos (personales o no personales): el intercambio de información entre administraciones públicas.

Juanita Pedraza Córdoba es Profesora Visitante de Derecho Administrativo en la Universidad Carlos III de Madrid (1)

El artículo se publicó en el número 62 de la Revista General de Derecho Administrativo (Iustel, enero 2023)

ABSTRACT: interoperability is a basic principle of electronic administration and, therefore, of the digital single market. This paper analyzes the scope of the principle and the legal assumptions on which its effectiveness is based, within the framework of a specific data processing action (personal or non-personal): the exchange of information between public administrations.

I. INTRODUCCIÓN

En los últimos años, la Unión Europea ha centrado su atención en la creación y el fortalecimiento de un mercado único digital “[] en el que personas y empresas pueden acceder fácilmente a las actividades y ejercerlas en línea en condiciones de competencia, con un alto nivel de protección de los datos personales y de los consumidores, con independencia de su nacionalidad o lugar de residencia.(2). Las administraciones públicas (en lo sucesivo, AAPP) juegan un importante papel en el mercado digital, desempeñando sus funciones tradicionales de supervisión, garantía y prestación de servicios, así como asumiendo los nuevos roles que la ordenación, en capas(3), de este mercado, ha ido alumbrando: así, se les reconoce un papel protagónico en las capas de datos (generación de información(4)) y de conectividad (suministro de redes y de servicios de intercambio de datos(5)) y una intervención, si se quiere, residual en la capas de software y de aplicaciones.

En ese contexto, la interoperabilidad es un elemento esencial para hacer posible la consolidación del mercado digital único, al permitir que los órganos administrativos intercambien electrónicamente, entre sí y con los ciudadanos, información con sentido y formas comprensibles para todas las partes. Tempranamente, la Comisión(6) reconoció la importancia de este concepto poliédrico(7) y alertó sobre los costes económicos y sociales de su no implantación, o implantación defectuosa, en la administración electrónica(8).

En España, La LRJSP (9) y el RENI(10), cuyo contenido ha sido analizado por la doctrina especializada(11), definen las facetas de la interoperabilidad en los siguientes términos:

Interoperabilidad organizativa: las AAPP establecerán y publicarán las condiciones de acceso y uso de los datos y servicios que pongan a disposición del resto de Administraciones especificando las finalidades, modos de consumo y requisitos técnicos (protocolos y seguridad) (RENI; art. 8.1).

Interoperabilidad semántica: las AAPP establecerán y mantendrán actualizada la relación de modelos de datos de intercambio que tengan el carácter de comunes(12) (RENI; art. 10.1).

Interoperabilidad técnica, garantizada a través de la utilización, por regla general, de estándares abiertos (RENI; art. 11)(13).

Tal y como lo destaca Cerrillo i Martínez(14) más allá de su dimensión técnica, la interoperabilidad debe entenderse como la habilidad de las organizaciones para interactuar con objetivos consensuados y comunes para obtener beneficios mutuos. El desarrollo de esta habilidad es un imperativo para todas las AAPP, no solo porque el RENI resulta de aplicación en todos los niveles de la organización política y territorial del Estado, sino porque, tratándose de la gestión de datos personales, la observancia del principio de responsabilidad proactiva obliga a las administraciones a adoptar las medidas técnicas y organizativas que resulten necesarias para dar cumplimiento a las exigencias legales, previniendo lo no deseable y fomentando las soluciones que permitan la realización de los objetivos públicos(15).

Desde el punto de vista jurídico, la interoperabilidad es un objetivo compartido por los países firmantes de la Declaración Ministerial de Malmö (2009)(16) y un principio consagrado en las Declaraciones de Taillin (2017) y de Berlin (2020). Las Declaraciones Ministeriales se han concretado en sendos instrumentos de planificación, dentro de los cuales puede destacarse la Estrategia de Mercado Único Digital (2015) que dio lugar al Plan de Acción sobre Administración Electrónica de la UE 2016-2020(17) en el que se consagran los siguientes principios:

Versión digital por defecto: las AAPP deben prestar sus servicios en forma digital (incluida la información legible por máquina) como opción preferente, más no exclusiva, y garantizar la implantación de la ventanilla única.

Principio de once-only (OOP) <<solo una vez>>: las AAPP deben garantizar que los ciudadanos y las empresas facilitan, solo una vez, la misma información a una administración pública.

Inclusión y accesibilidad: las AAPP deben diseñar los servicios públicos digitales de tal modo que sean incluyentes por defecto y tomen en consideración las necesidades particulares, v.g., de las personas mayores y las personas con discapacidad.

Apertura y transparencia: las AAPP deben compartir información y datos entre sí, permitir que los ciudadanos y las empresas puedan tener acceso y controlen sus propios datos, así como permitir a los usuarios hacer un seguimiento de los procedimientos administrativos que les afecten.

Escala transfronteriza e interoperabilidad por defecto: los servicios públicos deben diseñarse de tal modo que puedan funcionar sin discontinuidades en todo el mercado único.

Fiabilidad y seguridad: todas las iniciativas deben ir más allá del mero cumplimiento del marco jurídico sobre la protección de datos personales, intimidad y seguridad informática, integrando estos elementos en la fase de diseño.

En el Marco Europeo de Interoperabilidad(18), se reiteran la mayoría de estos principios y se añaden: el de reutilización de soluciones informáticas, datos e información (principio fundamental 4); neutralidad tecnológica y portabilidad de los datos (5); primacía del usuario (ventanilla única, acceso multicanal, minimización de datos, OOP y retroalimentación para mejorar la calidad) (6); multilingüismo (9); simplificación administrativa (versión digital por defecto, digital primero y la política <<ninguna puerta equivocada>>) (10); conservación de la información (11) y evaluación de la efectividad y la eficiencia (12).

En la actualidad, la estrategia europea para la consolidación del mercado único digital se define en la Brújula Digital 2030(19), en torno a 4 puntos cardinales: el desarrollo de competencias digitales, infraestructuras, negocios y gobierno. En lo que atiende al cuarto punto, las acciones de la Unión Europea se dirigen hacia la reducción de las barreras para el acceso a los servicios públicos digitales y a la efectividad de la garantía de plena accesibilidad a los servicios transfronterizos, lo que refuerza la importancia de la interoperabilidad.

En síntesis, la implantación de la administración electrónica en España se rige por las normas de derecho nacional, articuladas con un conjunto de principios del derecho administrativo europeo que se encuentran íntimamente relacionados entre sí de forma tal que la versión digital por defecto y el principio “digital primero”, enmarcados en la noción de tránsito del documento al dato e inspirados por la primacía del usuario, hacen posible la interoperabilidad por defecto, que contribuye a la accesibilidad, la transparencia, la apertura y permite la realización de los principios de servicios transfronterizos, ventanilla única, OOP, entre otros. Estos últimos principios se traducen en prestaciones o facilidades concretas al servicio de los ciudadanos, a las que se accede gracias al intercambio de datos entre administraciones.

II. CARACTERIZACIÓN JURÍDICA DEL INTERCAMBIO DE DATOS ENTRE ADMINISTRACIONES

El flujo de información, que será objeto de este estudio, es aquel que tiene lugar entre las AAPP, si bien, tal y como se ha dejado indicado, la interoperabilidad abarca un ámbito material más extenso, que incluye también los flujos bidireccionales entre el ciudadano y las administraciones. El intercambio o compartición de información puede materializarse de distintas formas (extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de puesta a disposición, cotejo o interconexión) y es, en todo caso, un tratamiento de datos(20), reglado por la LRJSP (21), la LPAC (22) y el SDGR(23), que fijan, al amparo de la normativa comunitaria en materia de administración electrónica(24), un régimen común a las interacciones, con independencia de la naturaleza del dato. En todo caso, el intercambio de información entre administraciones, no sólo se genera en el ejercicio de las relaciones con efectos ad intra, sino que especialmente, como se expondrá a lo largo del trabajo, puede suscitarse en el marco de las relaciones con los administrados, lo que deriva en la necesidad de abordar el estudio de este flujo de información desde una doble perspectiva: las condiciones del intercambio y los derechos de los interesados vinculados a tales condiciones.

El régimen común al tratamiento del dato incluye la observancia de los siguientes principios: licitud, transparencia, limitación de la finalidad, minimización, seguridad y calidad del dato, conservación de la información y primacía del usuario.

En el tratamiento de estos datos intervienen dos administraciones que se relacionan entre sí, con arreglo al marco jurídico de la administración electrónica (tal y como se define a los efectos de este trabajo) y entre ellas y el titular del dato, según sea un dato personal, en su condición de responsables del tratamiento, con base en el RGPD y la LOPDGDD (25) y si es un dato no personal, como proveedoras de servicios de tratamientos de datos (RPDNP; art. 3.4).

Como responsables del tratamiento de datos personales, las AAPP deben velar por el cumplimiento de los principios del RGPD [licitud y lealtad (arts. 5.1.a) y 6), transparencia (arts. 12, 13 y 14), limitación de la finalidad (art. 5.1.b), minimización de datos (art. 5.1.c), limitación del plazo de conservación (art. 5.1.e), exactitud (5.1.d)), integridad y confidencialidad (art. 5.1.f)), responsabilidad proactiva (art. 5.2)] y garantizar el ejercicio de los derechos de acceso (art. 15), rectificación art. 16), olvido (art. 17), portabilidad (art. 20) por parte de los titulares del dato. Como proveedoras de servicios de tratamiento de datos están obligadas a garantizar la transparencia en las relaciones con usuarios profesionales, así como el ejercicio del derecho a la portabilidad de los datos, de acuerdo con los códigos de conducta elaborados a instancias de la Comisión (RDNP; art. 6).

III. PRESUPUESTOS JURÍDICOS DEL PRINCIPIO DE INTEROPERABILIDAD POR DEFECTO

Las AAPP son las responsables y encargadas de múltiples tratamientos de datos personales y no personales, no solo en el desarrollo de su actividad externa, sino también en la ejecución de sus funciones ad intra (v.g. gestión de recursos humanos). El régimen común a este tratamiento, aparece consagrado en la LRJSP y en la LRJPAC, en los términos que se sintetizan a continuación:

La LRJSP consagra, con carácter básico, la colaboración interadministrativa como uno de los principios que rigen las relaciones entre las AAPP (LRJSP; art. 140.1.c) para definirla como el deber de actuar, junto con el resto de AAPP, para el logro de sus fines.

El principio de colaboración(26) se concreta en el artículo 141.1 LRJSP, en el que se prescribe en la letra c) el deber de facilitar a las otras Administraciones la información que precisen sobre la actividad que desarrollen en el ejercicio de sus propias competencias o que sea necesaria para que los ciudadanos puedan acceder de forma integral a la información relativa a una materia.

El deber de colaboración que se impone entre las AAPP de los diferentes niveles de poder en la organización territorial del Estado, constituye el fundamento jurídico general para el intercambio de información entre las AAPP. Tal y como lo prescriben las normas precitadas, las administraciones solo pueden negarse a colaborar con otras en el logro de sus fines si se dan unas específicas causas tasadas, dentro de las que se encuentra la falta de medios para proveerla. El recurso a esta justificación es bastante limitado, si se tienen en cuenta el conjunto de medios que se han puesto a disposición de las administraciones autonómicas y entes locales para la consecución de este objetivo, a los que se accede mediante la suscripción de convenios (LRJSP; art. 44 y Re-Ad(27); art. 25)(28).

1. Derecho/deber de relacionarse electrónicamente con la administración

En la exposición de motivos de la LPAC, se consagra la habitualidad de la tramitación electrónica en las relaciones con los administrados, como instrumento que, no solo sirve mejor a los principios de eficacia y eficiencia, sino que también refuerza las garantías de los administrados. Esta habitualidad (manifestación del principio de versión digital por defecto), se concreta en la redacción del art. 13 LPAC que consagra los derechos de las personas en sus relaciones con la Administración Pública: comunicación a través de un Punto de Acceso General Electrónico de la Administración (letra a), asistencia en el uso de medios electrónicos (letra b) y obtención y uso de los medios de identificación y firma electrónica contemplados en la norma.

Así mismo, el art. 14 LPAC consagra el derecho de las personas físicas a optar por los medios electrónicos para relacionarse con la Administración (derecho a elegir entre los sistemas presenciales o telemáticos) y el deber de algunos sujetos de hacerlo, exclusivamente, a través de los mismos(29), acompañado del derecho a ser asistido en su ejercicio, si no se posee la cualificación técnica o económica para emplearlos(30).

Este derecho de elección del medio se extiende, en virtud del art. 12.2 LPAC y art. 4 Re-Ad, a la selección del canal para posibilitar el acceso de las personas interesadas a los servicios electrónicos: presencial asistido, portales de internet y sedes electrónicas, redes sociales, telefónico, correo electrónico.

En el campo de las relaciones inter e intra administrativas, el uso de los medios electrónicos en las interacciones se encuentra recogido, con carácter básico, en los principios generales consagrados en el art 3.2 de la LRJSP. En desarrollo de esta previsión, el art. 56 Re-Ad, confirma el carácter obligatorio del medio electrónico para las relaciones inter (que incluyan a los organismos públicos y entidades vinculados o dependientes) e intra administrativas, para precisar que la obligación se extiende hasta las entidades de derecho privado vinculadas o dependientes de las AAPP cuando actúen en el ejercicio de potestades administrativas.

2. El derecho a suministrar la información sólo una vez

El art. 53.1.d LPAC consagra el derecho de los interesados a “(..) no presentar datos y documentos no exigidos por las normas aplicables al procedimiento de que se trate, que ya se encuentren en poder de las Administraciones Públicas o que hayan sido elaborados por éstas ()”.

Las variaciones en la redacción del artículo 53, en contraste con el art. 35.f) LRJPAC(31), pueden conducir a varias interpretaciones:

1. La norma consagra tres supuestos de hecho diferentes, de los cuales solo el segundo (se encuentren en poder de las AAPP) y el tercero (hayan sido elaborados por éstas) son verdaderas manifestaciones del OOP.

2. La norma es, en su totalidad, una manifestación de OOP, de tal suerte que se ha fijado una condición común a los dos supuestos mencionados con antelación, consistente en que no se trate de información requerida por la norma del procedimiento, es decir, que sí la documentación (información o dato) viene exigida por la normativa, no puede ejercitarse el derecho. En otras palabras, el derecho a no presentar la documentación se limitaría a la información no requerida específicamente por la norma del procedimiento, en la que confluyeran, alternativamente, la condición de que estuviera en poder de la Administración o ésta la hubiera elaborado.

A juicio de quien redacta este trabajo, la segunda de las posibles interpretaciones no puede sostenerse válidamente por varias razones: (i) revisados los antecedentes de la tramitación legislativa en las Cortes, esta redacción aparece en el texto original de la iniciativa presentada en 18/05/2015, sin que se acompañe de una justificación sobre un eventual cambio en el supuesto de hecho de la norma; ii) pese a la escasa jurisprudencia en la que se da aplicación a la vigente LPAC, los jueces parecen considerar que existe identidad de contenidos entre esta previsión y la contenida en el LRJPAC(32), (iii) una restricción al ejercicio del derecho, como la sugerida, va en contravía del espíritu garantista y simplificador que se declara en la exposición de motivos de la norma; (iv) la dicción del art. 28 LPAC confirma que el primer supuesto no es un condicionante de los siguientes.

Así las cosas, puede afirmarse que el texto vigente recoge el derecho, en los siguientes términos: (i) Elementos subjetivos: puede ejercitarse por cualquier interesado (persona física, jurídica, con o sin personalidad, pero con capacidad de obrar ante la AP), ante cualquier administración. El carácter básico del art. 44 LRJSP ratifica que se trata de un derecho ejercitable ante cualquiera de las administraciones territoriales y sus entes dependientes o vinculados. b) Objetivos: respecto de los datos y documentos que estén en poder de las AAPP o hayan sido elaborada por éstas.

La manera como ha quedado consagrado el derecho es el resultado de combinar las previsiones de la LAE(33), LOPD(34) y la LRJPAC en un único texto, rescatando de la LRJPAC la alusión a un supuesto de hecho que no puede tenerse como expresión del principio OOP sino de minimización de datos, manteniendo el ámbito subjetivo de aplicación de la LAE (que amplió la cobertura desde la administración actuante a todas las AAPP) y diferenciando, tal y como lo hacía la LOPD, entre los datos en poder de las APPP y los que han sido elaborados por éstas. Sin embargo, la alusión que constaba en el art. 21.2 LOPD sobre los datos que una administración obtuviera o elaborara con destino a otra, guardaba relación con la excepción a la obtención del consentimiento del interesado en el caso de cesiones de datos entre AAPP, cuestión que, en principio, no es determinante para delimitar el ámbito objetivo del ejercicio del derecho.

La adición que hace el legislador de 2015 al texto no resulta muy afortunada, toda vez que, si se trata de datos o documentos elaborados por una administración, éstos se hallarán en su poder, de tal suerte que, el segundo supuesto regulado por la norma, abarca también el tercero. Tampoco se entiende qué sentido tiene identificar la autoría de la información, como elemento de referencia para el ejercicio del derecho, cuando este criterio no guarda relación con el mismo, tal y como se explica a continuación:

En el art. 28 LPAC, bajo el título de documentos aportados por el interesado, el legislador distingue entre varias situaciones:

En el numeral 1 impone la obligación de aportar la información que le exija la Administración, de acuerdo con la normativa del procedimiento, dejando a salvo la posibilidad de que suministre cuanta información estime conveniente para el ejercicio de sus derechos.

El numeral 2 refiere al OOP respecto de los documentos en poder de la administración actuante (el ámbito del ejercicio del poder abarca a aquellos que pueda consultar o recabar, es decir, a los datos que consten en sus propios archivos, o en los de otras administraciones, accesibles a través de sus redes corporativas, plataformas de intermediación o sistemas equivalentes).

El párrafo 3 del numeral 2 intenta precisar la utilidad del criterio de la autoría en la delimitación del derecho derivado del OOP. Cuando la norma refiere a informes preceptivos ya elaborados, ha de entenderse que se trata de actos que forman parte de otras actuaciones administrativas, cuyo contenido guarda relación con el objeto de la tramitación posterior. El contenido de estos informes puede ser conocido por el interesado, en virtud del derecho de acceso al expediente de la actuación previa (LPAC; art. 53.1.a) y el legislador ha considerado oportuno destacar expresamente la posibilidad de que aporte esta información, si la administración autora de la misma no lo suministra en el mismo plazo que, según lo dispuesto en el art. 80.1 LPAC, tiene para su rendición, si estima conveniente hacerlo.

Si la intención del legislador es permitir que el interesado contribuya a la agilización del procedimiento, cuando la AP autora del informe no es diligente en su remisión, ésta es una acción colaboradora que puede deducirse del art. 18.1 LPAC, pero que no deja de ser incongruente con el principio de impulso oficioso de las actuaciones y con la atribución de la responsabilidad de la tramitación a los órganos administrativos (LPAC; art. 71.3), así como, con el efecto disuasorio del art. 80.3 LPAC que incide sobre la posibilidad de que se vea comprometida la responsabilidad del empleado público en el caso de se dilate la rendición de los informes. En todo caso, instar al interesado a que supla las falencias de los órganos administrativos no constituye, bajo ninguna circunstancia, una manifestación del OOP.

Finalmente, aún si en gracia de discusión se aceptara la legitimidad de la medida de agilización, no se comprende la justificación para que el plazo de rendición y aportación del art. 80 LPAC coincida con el de la simple aportación: si la intención era agilizar, lo razonable es que el plazo para aportar informes preceptivos ya rendidos sea muy inferior al previsto para su elaboración y envío.

En suma, el ámbito objetivo del derecho a no aportar la información que obra en poder de las AAPP, se delimita con referencia a la posibilidad de la administración actuante de tener acceso al dato y no a la autoría del mismo. La circunstancia de que dicha administración no pueda hacer efectivo el derecho, como resultado de un comportamiento imputable a otra administración, se trata de un resultado no deseable dentro del funcionamiento del sistema, del que pueden derivarse consecuencias negativas para el órgano que se niega a facilitar la información: si el órgano renuente está integrado en la AGE, puede dar lugar a una queja del interesado, en ejercicio del derecho consagrado en los arts. 14 y ss. del Real Decreto 951/2005, de 29 de julio, por el que se establece el marco general para la mejora de la calidad en la Administración General del Estado, sea cual fuere el dato que se niega a aportar. Si, por el contrario, se trata de un órgano integrado en una administración de otro nivel organizativo, puede ver comprometida su responsabilidad disciplinaria, en aplicación de lo dispuesto en el art. 54.4 del Estatuto Básico del Empleado Público(35), o específicamente, tratándose de la rendición de informes preceptivos, en observancia de lo prescrito por el art. 80.3 LPAC.

3. Desmaterialización de los medios para relacionarse con la Administración

La transformación de la administración española hacia una administración electrónica es un objetivo impulsado desde las instancias europeas y concretado en varios planes nacionales, dentro de los cuales, los más recientes son: el Plan de Transformación Digital de la AGE (2016-2020) y el Plan de Digitalización de las AAPP (2021-2025). En el eje estratégico 1 se incluye como medida 6 la gestión e intercambio transparente de información entre las AAPP que integran la AGE, cuyos efectos expansivos a lo largo del territorio se confía a la eficacia de los convenios de colaboración suscritos entre ésta, las Comunidades Autónomas y los entes locales.

La plena interoperabilidad entre las Administraciones parte de la observancia del RENI y RENS(36), así como de la normativa técnica asociada, acompañada de la implantación, entre otros, de los siguientes medios: (1) portal de internet y punto de acceso electrónico (LRJSP; art. 39) que debe garantizar el acceso a las notificaciones (LPAC; art. 44.4), el ejercicio de los derechos conferidos en el art. 53.1.a LPAC y especialmente del derecho de información recogido en el art. 105.b) CE, 53.1.f LPAC, la Ley 19/2003, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno y desarrollado en el Real Decreto 208/1996, así como el derecho de acceso al expediente electrónico (LPAC; art. 53.a. párr..2) ; (2) sede electrónica (LRJPS; art. 38) (Re-Ad; arts. 9-11) mediante la cual se materializan las relaciones entre la administración y los ciudadanos y que puede incluir un área personalizada a través de la cual el ciudadano puede acceder a su información (Re-Ad: art. 7.3.párr.2); (3) digitalización de la información, resultado que se alcanza a través de la aportación de documentos electrónicos por los interesados, o por su digitalización en el registro electrónico general (LPAC; art. 16); identificación electrónica (LPAC; arts. 92.2 y 10.4) (Re-Ad; arts. 15, 26-28) y representación (LPAC, arts. Y 6) (Re-Ad; arts. 33-36); (4) notificaciones electrónicas (LPAC; art. 41) (Re-Ad; arts. 43 y 44).

4. El gobierno del dato y la política de protección de datos personales

La AEPD en su Guía de Gestión del Riesgo y Evaluación de Impacto (2021) se refiere a este concepto para indicar “El gobierno o gobernanza de datos es el proceso por el que se implementan políticas y procedimientos para garantizar una gestión efectiva y eficiente de la información en la entidad. (), las políticas de protección de datos definen un modo de actuar de la organización ante los tratamientos de datos personales a lo largo de todo su ciclo de vida.” (AEPD, 2021:54)

El Reglamento de gobernanza del dato(37) no ofrece una definición sobre este concepto, pero su contenido es consistente con la caracterización aportada por la doctrina(38): (1) el dato es un activo organizacional estratégico; (2) su gobierno es de carácter transversal; (3) está integrado por las estructuras (parte orgánica) y los procesos (parte formalizada) que permiten la gestión de los datos; (4) determina qué decisiones deben tomarse sobre los datos (alcance y fines del tratamiento), cómo se toman estas decisiones (medios) y quién en la organización ostenta la competencia resolutiva; (5) desarrolla estándares y procedimientos para la gestión de los datos y (6) contiene mecanismos de supervisión del cumplimiento.

A la vista de lo anterior, tratándose de una administración pública, el gobierno del dato comporta la adopción de una medida organizativa, por parte de los órganos que tienen atribuida la potestad de autoorganización, que incluya: (1) la determinación de los fines y medios de los tratamientos; (2) la asignación de competencias; (3) procedimientos para la gestión del dato; (4) señalamiento de los órganos y cauces para la verificación de su cumplimiento. La política de protección se extrae (o inspira, según se vea) de la medida organizativa de gobierno, siendo ésta la piedra angular de un sistema que garantice la interoperabilidad y respete los derechos de los administrados(39).

La medida organizativa(40) estará encaminada al establecimiento de un orden en la actuación de la Administración, a los efectos de conseguir determinados fines, con un mínimo adecuado de trabajo y costes(41). En este caso, toda la estructura administrativa, distribución funcional y procedimentalización articuladas en la norma del gobierno del dato están encaminadas, de manera inmediata, a identificar y proteger el valor del dato para, de forma mediata, ponerlo al servicio de la realización de los cometidos confiados a cada administración, respetando los derechos de los ciudadanos, así como las competencias atribuidas a otras administraciones.

A nivel estatal, un esfuerzo organizativo concreto puede situarse en la creación de la Oficina del Dato(42) prevista en el Plan España Digital 2025 (publicado el 23 de julio de 2020), como parte de la línea de acción 9 sobre la economía del dato que la incardina en el ámbito de la reutilización(43). La Orden ETD/803/2020, de 31 de julio, resulta algo más ambiciosa en cuanto al objeto de este Servicio al asignarle, en el art. 2, entre otras competencias, las relativas al diseño de las políticas de gobernanza y estándares en la gestión y análisis de datos que deben regir en la Administración General del Estado, así como el diseño de las estrategias y marcos de referencia en materia de gestión de datos. En desarrollo de tales competencias es de esperarse que la Oficina genere la piedra basal de la política de gestión de datos que se emplee, de forma obligatoria, en la Administración General del Estado y que puede servir de referencia para el resto de administraciones territoriales.

La acción organizativa desarrollada en el resto de administraciones como resultado de las directrices de la Oficina del dato, puede mantenerse en el plano de la ordenación, estando determinada la amplitud de su margen de operación por el grado de detalle y la entidad jurídica de las decisiones adoptadas por la Oficina, pero quizás resulte más importante su actividad en el plano de la ejecución, toda vez que, la Oficina del dato busca, identifica, analiza y revaloriza los datos de la Administración para mejorar los servicios públicos y tomar mejores decisiones, actuando de forma coordinada con el Delegado de Protección de Datos(44).

La adopción de una decisión organizativa como la descrita, resulta obligatoria para las administraciones de todos los niveles territoriales, como resultado de la aplicación del art. 24.2 RGPD que exige a los responsables contar con una política de datos, como medida organizativa que sirva de marco para las restantes que se adopten en cumplimiento del principio de responsabilidad proactiva, siempre que resulte proporcionado. Con carácter general, si bien un juicio como el exigido por la norma debe realizarse caso por caso, la naturaleza, contexto, finalidad y alcance de las actividades de tratamiento de datos personales realizadas por las administraciones amerita un esfuerzo de esta naturaleza y, a mayor abundamiento, teniendo en cuenta el carácter instrumental de la potestad de organización, resulta difícil, por no decir imposible, eludir una decisión de esta entidad y fin si se quiere dar cumplimiento a las obligaciones de digitalización, interoperabilidad y reutilización, por citar solo algunas, que pesan sobre todas las AAPP.

De otra parte, el carácter de Estado autonómico, descentralizado y garante de la autonomía local (CE; arts. 137 y 140) no favorece, necesariamente, la adopción y ejecución de políticas del gobierno del dato consistentes. Una gobernanza eficaz y eficiente del dato exige una acción coordinada entre todas las administraciones, propósito que puede alcanzarse a través de diferentes vías: (1) Técnicas: la adhesión a la PID (plataforma de intermediación de datos)(45) garantiza el atributo de homogeneidad, pero el carácter voluntario de la misma, tratándose de las administraciones autonómicas y locales (LPAC; D.A.segunda), modera su eficacia en el sentido propuesto. (2) Organizativas: la Comisión Sectorial de Administración Electrónica(46), que forma parte de la Conferencia Sectorial de la Administración Pública, es el órgano técnico de cooperación entre las distintas AAPP que funge como garante de la interoperabilidad(47), a través de instrumentos de planificación, guías de orientación, etc.(48). Así mismo, en lo que atiende a la ejecución de las políticas del dato, resulta procedente destacar el lugar que ocupan las diputaciones provinciales, responsables de la prestación de los servicios de administración electrónica en los municipios con poblaciones inferiores a 20.000 habitantes (LRBRL; art. 36.1.g) (49). (3) Financieras: ayudas para acometer procesos de digitalización están previstas en el Plan de Digitalización 2021-2025 (medida 17) y en el componente 11 del Plan de Recuperación, Transformación y Resiliencia (medidas C11R5, C11.11 y C11.13) financiando medidas integradas, no solo por componentes tecnológicos, sino también organizativos (Campos Acuña, 2021)(50).

5. La información sobre la existencia y disponibilidad del dato: el inventario de procedimientos y el registro de actividades

Guardando coherencia con la política del gobierno del dato, las AAPP deben implantar y publicar el registro de actividades de tratamiento(51) (RGPD; art. 30) (LOPDGDD; art. 31) (LTAIBG; 6bis)(52). Para su elaboración, las administraciones han de llevar a cabo un análisis completo del conjunto de actividades de tratamiento que realizan, tengan o no efectos externos, precisando la naturaleza de los datos tratados, su finalidad y posibles destinatarios.

Otro elemento informador son las relaciones o inventarios de procedimientos que deben publicarse, con fines divulgativos, en los portales de las AAPP (LPAC; art. 21.4), contener la información clasificada de los procedimientos y servicios prestados, así como estar debidamente conectados, de forma electrónica, con el Sistema de Información Administrativa(53).

Los dos registros están relacionados entre sí: dentro del conjunto de procedimientos que integran el inventario, algunos pueden consistir o estar integrados por acciones de tratamiento de datos personales. Este vínculo permite optimizar el esfuerzo organizativo ejecutivo que demanda precisar el estado de la disponibilidad de los datos.

Finalmente, en la confección de estos registros, las administraciones deben garantizar los principios FAIR(54) (Findable, Accessible, Interoperability y Reusable) (ubicables, accesibles, interoperables y reutilizables), no solo porque están orientados a garantizar la reutilización de la información, que es un tratamiento concreto que goza de un régimen particular(55), sino especialmente porque la ubicabilidad, accesibilidad, interoperabilidad y reutilización son atributos indispensables para que las AAPP desarrollen su actividad administrativa en el marco de los principios nacionales y europeos del Derecho Administrativo.

6. La garantía de calidad de los datos

El RGPD reconoce al titular del dato personal el derecho sustantivo a que éstos se hallen actualizados (RGPD; art. 5.1.d y LOPDGDD; art. 4), dependiendo de la finalidad del tratamiento, estén completos (RGPD; art. 14) y se conserven íntegros y confidenciales, (RGPD; art.5.1.f y LOPDD; art. 5) y el instrumental a la rectificación (RGPD; art. 16 y LOPDD; art. 14). Correlativamente impone al responsable el deber de atender, sin dilación, las solicitudes de rectificación, y de notificarle, tanto de cualquier rectificación que se haga de los datos (RGPD; art. 19), como de toda brecha de seguridad que comprometa su integridad y confidencialidad (RGPD; art 34).

Con carácter general, el principio de fiabilidad, consagrado en el derecho administrativo europeo, extiende la cobertura de la calidad del dato a aquellos que no tengan el carácter de personales, de forma tal que las AAPP deben garantizar, para todos los datos, las siguientes dimensiones de la calidad: precisión, consistencia, disponibilidad, conformidad, credibilidad, procesabilidad, relevancia y oportunidad(56).

En lo que atiende a las administraciones públicas, la calidad del dato es una noción vinculada a los presupuestos o requisitos objetivos para la válida actuación de la Administración en ejercicio de una competencia. Trátese de una potestad reglada o discrecional, la validez de su ejercicio se encuentra condicionada a que el supuesto exista en la realidad y sea subsumible en el abstracto y normativo(57), consecuencia natural de la observancia del principio de legalidad que rige la actividad administrativa (CE; art. 9.3)(58). Cuando una decisión administrativa se fundamenta en el tratamiento de datos en poder de la Administración, los atributos de completitud, actualización, credibilidad y precisión son los que permiten verificar la adecuación del hecho al presupuesto normativo y, por ende, condicionan la validez de la decisión, garantizando la interdicción de la arbitrariedad.

7. Legitimación del tratamiento de datos personales (59)

En la Opinión 15/2011 del extinto grupo de trabajo del art. 29 (WP 187), así como en las Directrices 5/2020 del Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés), se reconoce la existencia de varias fuentes de legitimación para los tratamientos de datos personales, dentro de las cuales no hay, en sentido estricto, alguna relación jerárquica o de prevalencia: el consentimiento no constituye la fuente por antonomasia para legitimar un tratamiento (el resto de habilitaciones no son excepciones al consentimiento), ni tiene carácter preferente; cada una de las fuentes, existencia de un interés legítimo (en el que se tratan de forma independiente: el interés vital del interesado o el de otra persona) o de una situación jurídica emanada de una norma imperativa (cumplimiento de una obligación legal, misión de interés público o ejercicio de función pública) o de un acuerdo (existencia de un contrato), ocupa un lugar propio dentro del sistema y posee su régimen jurídico particular.

A diferencia del consentimiento, los fundamentos restantes requieren una <<prueba de necesidad>> que limita estrictamente el contexto en el que pueden aducirse, al tiempo que el recurso al interés legítimo demanda una prueba adicional de sopesamiento (WP 217; ap. II.2). El responsable del tratamiento, antes de su ejecución, ha de determinar cuál es la fuente de legitimación idónea (en función a la naturaleza, finalidad, alcance y contexto del tratamiento) con el fin de hacerla pública al titular del dato, en cumplimiento del deber de información. En una misma actividad de tratamiento pueden coexistir varias fuentes de legitimación y éstas pueden cambiar durante el ciclo vida del tratamiento del dato (Directrices EDPB; aps. 117 y118).

En el caso de los tratamientos ejecutados por las administraciones públicas, tanto el WP187 (III.A.1. Artículo 2, letra h), como las Directrices EDPB (aps. 16-20) reconocen la existencia de una situación de desequilibrio entre los interesados y las administraciones que desaconseja el recurso al consentimiento como medio de legitimación; así mismo, el cons. 47 y el párrafo final del art. 6.1 RGPD limitan la virtualidad del interés legítimo como fuente, lo que no implica que, dadas ciertas circunstancias que se tratan en los párrafos subsiguientes, las AAPP también puedan echar mano de esta fuente de legitimación.

Así las cosas, en principio, la legitimación del intercambio de datos entre administraciones se basa en la existencia de una obligación legal, cumplimiento de una misión de interés público o ejercicio de poder público.

7.1. Cumplimiento de obligación legal, misión de interés público o ejercicio de poder público

Las fuentes de legitimación del tratamiento precitadas (art. 6.1 RGPD letras c) y e), están sujetas a un régimen común, que se describe en los numerales 2 y 3 del art. 6, así como en el cons. 45 RGPD, y a regímenes particulares derivados de la función específica que cumplen dentro del sistema de protección de datos personales. El régimen común consiste en que, tanto el tratamiento, como su finalidad, deben tener una base en el Derecho de la Unión o de los Estados miembros: la base normativa cumplirá un objetivo de interés público, será proporcional al fin legítimo perseguido (RGPD; art. 6.3) y tendrá rango y fuerza de ley, según lo dispone el art. 8.1 de la LOPDGDD. La norma puede habilitar uno o varios tratamientos y es recomendable que en ella se especifiquen las bases de la licitud (sujetos, objeto, finalidad, etc.).

En cuanto a los regímenes particulares se tiene que:

1) Obligación legal

En el WP 217 (III.2.3) se establece que la obligación debe estar prevista en una norma que tenga carácter vinculante y, poseer en sí misma, tal condición: si el sujeto obligado puede decidir si cumple o no, o cómo hacerlo, no se está en presencia de esta fuente de legitimación. La norma debe fijar la naturaleza y el objeto del tratamiento (admitiéndose la colaboración del reglamento) y éste debe ser necesario, proporcionado y estar limitado al cumplimiento del objetivo de interés público que subyace tras la obligación(60).

Hay dos efectos jurídicos importantes que se derivan del recurso a esta fuente de legitimación: (1) El interesado no podrá ejercitar el derecho de oposición (RGPD; cons. 69, art. 21) (LOPDPGDD; art. 18) y (2) El cumplimiento de la obligación legal de comunicar datos a las autoridades públicas para la realización de su misión, exonera al responsable del tratamiento del deber de informar a su titular sobre estos destinatarios, si se cumplen los siguientes requisitos (cons. 31 y art. 4.9 RGPD: la solicitud de cesión ha de concretarse por escrito, de forma motivada, no puede referirse a la totalidad de un fichero, ni dar lugar a la interconexión de varios ficheros y ha de desarrollarse en el marco de una investigación específica en interés general. En todo caso, la excepción al deber de información, debe interpretarse de forma restrictiva, de tal suerte que, sólo en aquellas investigaciones que posean el carácter de reservadas está justificada la prescindencia de la comunicación. En todos los demás casos, el cedente debe informar al titular de los datos, tanto de la identidad del destinatario, como del tratamiento (objeto, finalidad) en sí mismo.

2) Cumplimiento de una misión de interés público o el ejercicio de un poder público

La misión de interés público o la atribución del poder que se ejercite, requiere la existencia de una norma de rango legal de atribución (LOPDGDD; art. 8.2), tanto a una administración pública, como a un sujeto privado (RGPD; cons.40) y el tratamiento debe ser necesario para cumplir dicha misión (RGPD; art. 6.3). En todo caso, la sola existencia de la misión no conduce a la legitimidad del tratamiento: tal conclusión solo se alcanza si al responsable del tratamiento se le ha conferido la misión (ECLI:EU:C:2017:725, ap. 109)(61) y el tratamiento ha superado el juicio de proporcionalidad (ap. 112).

7.2. Interés legítimo

El recurso al interés legítimo como causa legitimadora de un tratamiento desarrollado por una administración pública, ha de tener en cuenta que el desarrollo de una competencia no implica, per se, la existencia de un interés legítimo que justifique un tratamiento de datos personales (RPGD; cons.47) [WP217 (II.2.5)]. Para justificar el tratamiento, el interés debe existir y ser actual en el tiempo en que éste se realice: no basta con que posea un carácter hipotético, si bien no es necesario acreditar la concreción de un perjuicio (ECLI:EU:C:2019:1064, ap.44)(62).

El tratamiento de datos personales debe ser necesario para la satisfacción de ese interés legítimo y, sobre tal interés no pueden prevalecer los derechos y libertades fundamentales del interesado en la protección de los datos (ECLI:EU:C:2017:336, ap. 28)(63) (ECLI:EU:C:2019:1064, ap.40)(64), tal y como lo revela la prueba de sopesamiento.

IV. EL PROCEDIMIENTO PARA EL INTERCAMBIO DE DATOS

Una vez verificados los presupuestos jurídicos sobre los que se apoya el intercambio de datos entre administraciones, procede revisar el procedimiento, que también parte de varias premisas vinculadas a la disponibilidad (del dato de calidad, del medio, etc.) y a las resultas del juicio de compatibilidad.

En cuanto a la disponibilidad de la información, el artículo 44.2 de la LRJSP consagra, en los mismos términos que el extinto art. 20 LAE, el deber de la AP a la que pertenezcan los órganos que vayan a intercambiar los datos, de elaborar la relación de emisores y receptores autorizados y la naturaleza de los datos a intercambiar, obligación cuyo alcance queda deferido a los términos del convenio, si el intercambio se produce entre órganos pertenecientes a diferentes administraciones. El intercambio es, como ya se ha dejado indicado previamente, un tratamiento de datos y, si versa sobre datos personales, el deber de identificar a las entidades que intervienen en el mismo se ve reforzado por la imperatividad del registro. Así mismo, el art. 28.3 de la LPAC introduce una vía complementaria o alternativa para garantizar la disponibilidad del dato: obtener la información de la ubicación del propio interesado.

Comprender a cabalidad el alcance de la disposición precitada, requiere analizar varios escenarios:

1) En un procedimiento a instancia de parte, como el que parece regular el art. 28.3 LPAC, la administración actuante recibe una solicitud que carece de la totalidad de la información necesaria para darle trámite, bien porque el interesado ha ejercitado su derecho OOP, o porque ha omitido involuntariamente información esencial para la tramitación. Al margen del OOP y, con arreglo a lo dispuesto en el art. 68.1 LPAC, la AP debe solicitar la subsanación de la instancia, otorgándole al interesado un plazo para la aportación de la información, sin embargo, tal requerimiento no tendría sentido, si la administración actuante puede tener acceso a la misma, toda vez que el art. 155 LRJSP y el mismo art. 28 LPAC le imponen la obligación de no requerir del interesado los datos que está en capacidad de recabar. La cuestión entonces radica en articular la aplicación de estos dos preceptos, a partir de una interpretación útil de los mismos, tarea no desprovista de dificultad si se tiene en cuenta que el art. 28 LPAC parece condicionar el ejercicio del derecho OOP a la realización de un acto positivo (señalar qué administración y en qué tiempo recabó el dato), aun cuando la consagración del derecho, ex art. 155 LRJSP no exige tal comportamiento.

No puede admitirse como válida una interpretación que conduzca a considerar el OOP como un derecho condicionado: una Administración orientada hacia el ciudadano está obligada a facilitar la tramitación de cualquier instancia que éste le presente y este resultado, en una administración digitalizada (versión digital por defecto), puede alcanzarse con mayor facilidad si se tiene en cuenta que, tal y como está pergeñado el sistema, la administración actuante, en principio, sabe cómo conseguir el dato y cuenta con los medios para hacerlo. De ser así, el requerimiento de subsanación cuestiona la efectividad del derecho OOP, como confirma la dicción del art. 28 LPAC cuando señala que, solo excepcionalmente, podrá requerirse la documentación al interesado.

En este contexto, la previsión del art. 28.3 LPAC resulta, cuanto menos, extraña, al parecer condicionar el ejercicio del OOP al señalamiento de la ubicación y tiempo del dato, toda vez que, así entendido, el OOP no libera plenamente de cargas al ciudadano, sino que, por contra, le impone una obligación, carente de justificación dentro de un sistema presidido por la idea de disponibilidad del dato garantizada mediante el acceso a una solución centralizada y transparente. De nuevo, el deber de colaboración del art. 18 LPAC no puede exonerar a las AP del cumplimiento de sus propios deberes, inspirados por los principios del servicio efectivo a los ciudadanos (LRJSP; art. 3.1.a), racionalización y agilidad de los procedimientos administrativos (LRJSP; art. 3.1.d), responsabilidad por la gestión pública (LRJSP; art. 3.1.f), eficacia en el cumplimiento de los objetivos fijados (LRJSP; art. 3.1.h) y eficiencia en la asignación y utilización de los recursos públicos (LRJSP; art. 3.1.j) y que comportan, entre otros extremos, el hecho de que la responsabilidad de la tramitación recaiga en la AP y no en el ciudadano (LPAC; 20).

En un intento por encontrar un sentido útil a la previsión en comento y, en línea con lo señalado con antelación, puede indicarse que la posibilidad de informar a la AP actuante de la ubicación del dato puede entenderse como una manifestación de la colaboración del ciudadano con la AP (al igual que la aportación de un informe preceptivo que no se allega rápidamente al trámite) en la realización de los objetivos del procedimiento. En ese sentido, y volviendo a recrear la hipótesis, cuando una instancia está incompleta y los datos que se echan de menos tienen carácter personal, la AP actuante verificará si se encuentran en su poder, en cuyo caso los incluirá en el expediente informando de ello al interesado o, en caso contrario, verificará en el sistema centralizado u otras fuentes alternativas, si puede acceder a los mismos.

A este punto (la AP conoce la ubicación del dato) hay dos alternativas, si bien, tal y como se expondrá en los párrafos subsiguientes, la AEPD parece creer que solo hay una: (1) la administración actuante, en cumplimiento de una obligación legal, en ejercicio de su misión de interés general o en desarrollo de una función pública, solicitará directamente, a través del PID, el acceso a los datos, dado que la cedente ha realizado, con carácter previo, un juicio de la compatibilidad entre la finalidad del tratamiento original y el ulterior, al reconocerla como entidad destinataria en el registro; si no aparece como destinataria, solicitará a la cedente que valore la compatibilidad, con base en la misma causa legitimadora del tratamiento y solo si no puede obtener el acceso, requerirá al interesado para que subsane la petición o (2) informará de ello al interesado para que preste su consentimiento explícito al tratamiento, ofreciéndole como alternativa la subsanación. Si el dato es personal y la AP no puede acceder al mismo, por no tener constancia de su ubicación, también lo indicará al interesado para que éste decida entre informar sobre este extremo o subsanar la solicitud. Según se entienda que la base legitimadora del tratamiento puede ser una u otra, también puede requerir la prestación del consentimiento para la cesión.

En respuesta a las consultas planteadas sobre la interpretación dada por la Disposición final duodécima de la LOPDGDD al art. 28.2 LPAC que elimina la exigencia del consentimiento para el intercambio de datos entre AAPP y atendiendo a las voces críticas que, desde la doctrina autorizada, se alzaron contra el exceso garantista del sistema(65) entiende la AEPD que en las relaciones con las AAPP existe tal situación de desequilibrio que no puede aducirse un consentimiento libre e informado como fundamento del tratamiento. Eliminada esta posibilidad, resulta evidente que una acción de esta naturaleza debe encontrar su apoyatura, bien en la existencia de una obligación legal, o en desarrollo de una misión de interés público, ejercicio de una función pública o, residualmente como se ha dejado constancia en los párrafos precedentes, en la existencia de un interés legítimo. Esto implica que las AAPP pueden recabar y tratar datos sin contar con el consentimiento expreso de su titular, salvo en los casos que una norma lo exija (como sucede tratándose de los datos tributarios), siempre que informe de tal circunstancia al interesado y ponga a su disposición los medios para hacer efectivo el derecho a la oposición, pero sin que resulte necesaria u obligatoria la inclusión de una casilla o mecanismo que permita al interesado ejercerlo ad nutum de forma absoluta y sin justificación motivada.

A juicio de quien elabora esta reflexión, no existen razones que avalen la exclusión de plano el consentimiento como causa de legitimación y, en determinadas circunstancias, puede resultar más eficiente, en términos de tiempo y ahorro de costes administrativos, obtenerlo que realizar un juicio de compatibilidad, tal y como se expondrá en los párrafos subsiguientes.

Finalmente, si el dato no es personal y la AP conoce su ubicación, procederá a allegarlo al expediente, comunicándolo al interesado. En caso de que la AP actuante no pueda acceder al mismo, por desconocimiento de su ubicación, se lo hará saber al interesado para que éste decida, entre subsanar la instancia o informar sobre su paradero.

Otra manera de abordar este asunto, que atiende en mayor medida la finalidad del OOP y, en general, los principios del art. 103 CE, podría ser el ofrecer y obtener, desde la propia instancia normalizada, toda la información necesaria para la agilización del trámite, informando al ciudadano: (1) de la documentación que no es necesario que aporte porque se conoce su ubicación y se tiene reconocida la calidad de destinatario de la misma, poniendo de manifiesto la posibilidad de ejercer el derecho de oposición, en los términos que más adelante se precisarán (en este caso, la legitimación, tal y como lo propone la AEPD, no es el consentimiento, sino el cumplimiento de una obligación legal o el ejercicio de una misión de interés general o función pública); (2) si se conoce la ubicación del dato, pero no se ostenta la condición de destinataria, de la posibilidad de que preste su consentimiento informado, en subsidio de la legitimación general, si se trata de un dato personal – si bien lo razonable sería pedirlo por defecto porque, en caso de que sea personal, atiende al principio de legitimación (licitud) y si no lo es cumple con el deber general de información que emana del control sobre el dato- advirtiendo que, en caso de no prestarlo, se ejercitará dicha legitimación y (3) de la posibilidad de indicar la ubicación del dato, si el interesado la conoce, otorgando el consentimiento para la cesión, nuevamente, en subsidio de la legitimación general. Al señalarlo como cuestión previa a la propia actuación, se garantiza la efectividad del derecho OOP, la salvaguardia del derecho a la protección de los datos personales, la eficiencia, eficacia, celeridad y economía de las actuaciones administrativas.

En una situación como la expuesta cabe plantearse qué sucede si, en el segundo caso, el interesado no presta su consentimiento: no puede inferirse, simplemente, que se opone a la cesión, porque el ejercicio de este derecho está sujeto a la exigencia de hacer explícitos los motivos de la oposición y acreditar la justificación, sin que pueda hablarse de una oposición ad nutum, de forma absoluta o injustificada. La ausencia de consentimiento tampoco libera a la AP actuante de su deber de intentar obtener la documentación, quedando a resultas del juicio de compatibilidad.

2) En un procedimiento de oficio, la Administración actuante, si cuenta con la información dentro de su archivo, podrá incorporarla directamente al expediente (Re-Ad; art. 61.2.a) informando de ello al interesado, salvo que esta fase de la actuación tenga el carácter de reservada. Si el dato, tuviera carácter personal y no constara en su archivo, pero pudiera acceder a él a través de medios electrónicos, solicitará a la administración cedente el acceso, según las resultas del juicio de compatibilidad entre finalidades, dando a conocer tal circunstancia al interesado, excepto, de nuevo, si la actuación es reservada. En el caso de que la administración cedente no considerara compatible la finalidad, el dato será requerido al interesado, si bien en este tipo de trámite también resultaría admisible contar con el consentimiento, para solventar el juicio de compatibilidad. Si el dato no es personal, la administración cedente solo puede negarse a su transmisión, argumentando los motivos generales que constituyen excepciones al deber de cooperación entre AAPP (LRJSP; art. 141.2).

Tampoco se han suscitado cambios importantes en cuanto a la disponibilidad de los medios de acceso e intercambio, ya que los términos del art. 44 de la LRSJP y del art. 20 LAE son sustancialmente idénticos: el medio preferente para el intercambio de datos será la plataforma de la AGE; con arreglo al numeral 1 del mismo artículo, los documentos electrónicos transmitidos en entornos cerrados de comunicaciones entre AAPP serán considerados válidos a efectos de autenticación e identificación de los emisores y receptores, al tiempo que, con base en lo dispuesto en el art. 61.1. Re-Ad, las transmisiones de datos mediante el PID u otras plataformas de intermediación, tienen la consideración de certificados administrativos.

La modificación más destacable en este punto la introduce la disposición adicional segunda de la LPAC, que genera un incentivo adicional a los entes locales o autonómicos para su adhesión a la PID: la negativa debe justificarse ante el Ministerio de Hacienda y Administraciones Públicas, en términos de eficiencia, conforme al artículo 7 de la Ley Orgánica 2/2012, de 27 de abril, de Estabilidad Presupuestaria y Sostenibilidad Financiera. Lo anterior no es óbice para destacar que el hecho de que pueda justificarse la no adhesión al PID no implica que estas AAPP estén exoneradas del deber de cumplir con los requisitos del ENI y ENS, así como con sus normas técnicas de desarrollo, de modo que se garantice su compatibilidad informática e interconexión. En observancia de dichas obligaciones, las AAPP que empleen medios alternativos a la PID, deben garantizar que los derechos de los interesados en el procedimiento estén garantizados de forma equivalente a como se respetan en dicho entorno tecnológico.

Finalmente, con arreglo a lo dispuesto en el art. 66.3 Re-Ad toda transmisión de datos se efectuará a solicitud del órgano o entidad tramitadora en la que se identificarán los datos requeridos y sus titulares, así como la finalidad para la que se requieren. Además, si en la petición de datos interviene un empleado público se incluirá la identificación de éste en la petición.

En cuanto a la legitimación de los tratamientos de datos personales, la nueva redacción del art. 155.2 LRJSP cambia el centro de gravedad de la prohibición, desde la identidad entre las competencias (criterio empleado en la normativa de protección de datos vigente hasta el 2018 - LOPD; art. 21) hacia la compatibilidad entre las finalidades de los tratamientos, para proscribir cualquier tratamiento ulterior de datos con un fin incompatible al que animó la recogida inicial de los datos personales. Tal prohibición se exceptúa, ex lege, al declarar compatible con cualquier fin inicial, de acuerdo con lo previsto en el artículo 5.1.b) del Reglamento (UE) 2016/679, los fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos.

El numeral siguiente (LRJSP; art. 155.3) se ocupa de regular el intercambio de datos entre AAPP cuando las normas no prohíban el tratamiento de datos personales con una finalidad ulterior, distinta a la original, empleando nuevamente el criterio de la LOPD de identidad (no de compatibilidad), si bien en este caso es sobre la finalidad y no sobre la competencia. Al hacerlo, parece habilitar cualquier tratamiento ulterior que tenga la misma finalidad, realizando, a priori, un juicio de compatibilidad. En este caso, la legitimación derivaría del cumplimiento de una misión de interés público, sin que hubiera estado de más que, sobre tal previsión, se hubiera realizado una evaluación del impacto sobre la privacidad que valorara la necesidad y proporcionalidad de tal medida.

De otra parte, si la finalidad del tratamiento ulterior fuera diferente y este evento (el tratamiento ulterior) no estuviera prohibido por alguna ley especial, el legislador ha previsto el siguiente procedimiento (LRJSP; art. 155.3):

La Administración cesionaria que pretenda el tratamiento ulterior con finalidad compatible, lo comunicará a la cedente (identificando al titular, el dato y la finalidad –Re-Ad; art. 66.3) para que ésta pueda comprobar la compatibilidad. En este caso, la ley otorga, sin ningún tipo de criterio organizativo, una competencia para emitir un juicio que puede incidir sobre el ejercicio del OPP: si la entidad cedente estima que no es compatible, el derecho del interesado a no aportar la documentación ante la AP actuante se hace nugatorio. La cuestión en este punto es si el juicio de compatibilidad es necesario cuando el titular del dato ha consentido, en los términos del RGPD, el tratamiento: ha quedado dicho en otros apartados del estudio que la desigualdad entre las posiciones jurídicas del ciudadano y la AP desaconseja el recurso al consentimiento como fuente de legitimación del tratamiento, pero también se ha indicado que no lo prohíbe. En el supuesto que se analiza, éste puede ser un evento claro de legitimación vía consentimiento, que conduce a que si el titular ha consentido, la AP cedente no pueda realizar el juicio de compatibilidad, por varias razones: (1) Un juicio negativo de compatibilidad es una excepción o, cuanto menos, una modulación, del deber general de colaboración consagrado en el art. 142, letras a) y c) de la LRJSP y (2) el análisis de procesamientos ulteriores, conforme el art. 6.4 RGPD se realiza si no media el consentimiento del titular del dato, o existe una obligación legal que soporte el tratamiento ulterior, contrario sensu, no se halla justificado si la primera de estas fuentes de legitimación estuviera presente.

Cuando el intercambio de datos se sucede en un marco diferente al ejercicio del derecho OOP, especialmente en el caso de los procedimientos iniciados de oficio, se genera la necesidad de realizar un juicio de compatibilidad, ya no sobre las competencias, sino en torno a los fines del tratamiento original y el ulterior:

El art. 6.4 y el considerando 50 del RGPD determinan el alcance del juicio de compatibilidad, si bien en un contexto distinto de legitimación, toda vez que estos criterios valorativos se usan siempre y cuando el tratamiento con finalidad ulterior no tenga como base el consentimiento o una norma del Derecho interno o de la Unión, en la que, con base en lo dispuesto en el art. 23.1 RGPD se considere legítimo el intercambio. Hecha esta salvedad, lo cierto es que, en ausencia de otros criterios valorativos que permitan acotar la aparente discrecionalidad de esta decisión, los recogidos en el RGPD resultan congruentes con la finalidad del juicio, que no es otra que proteger la privacidad del dato personal: en este caso, la entidad cedente puede justificar la incompatibilidad aduciendo que la naturaleza sensible de los datos demanda contar con el consentimiento de su titular; la finalidad del tratamiento difiere de tal forma de la original que exceda las expectativas razonables del interesado sobre su uso posterior; el contexto de la actuación ulterior es radicalmente distinto al de la original, teniendo en cuenta, verbigracia, el tipo de relación existente entre el titular del dato y la administración cedente y el alcance del tratamiento ulterior, en especial, si la entrega del dato se realizó en el marco de una actuación de la que puede derivarse una consecuencia favorable al interesado y la finalidad ulterior se realiza en una tramitación que puede conducir a un efecto jurídico desfavorable.

La AP cedente, en el plazo de diez días contados a partir del recibo de la solicitud de la administración actuante, deberá notificar su decisión a la cesionaria:

Solamente en el caso de ser estimatoria y una vez sea comunicada, la administración cesionaria podrá emplear los datos para la nueva finalidad pretendida. La licitud o legitimación del tratamiento en este caso, no solo deviene de la existencia de una misión de interés general, sino de los resultados del juicio de compatibilidad realizado por la entidad cedente. Si la decisión es desestimatoria, ésto es, la cedente se opone de forma motivada al tratamiento ulterior, se generan las siguientes consecuencias:

Si el interesado ha ejercitado el derecho OOP en desarrollo de dicha actuación, la actuante (AP cesionaria en la transmisión), deberá comunicárselo al interesado, toda vez que, según lo previsto en el art. 61.4 Re-Ad, el cesionario es el responsable ante el titular del dato del cumplimiento de las previsiones del REPD.

En teoría, la AP cesionaria o el interesado pueden recurrir a los mecanismos de resolución de conflictos de atribuciones previstos en el régimen general(66) con miras a la adopción de una decisión definitiva sobre la compatibilidad. Sin embargo, la adición temporal que supone el desarrollo de esta actuación al trámite ordinario conducente a la efectividad del derecho OOP, va en contravía de los principios de celeridad y eficiencia que subyacen tras el derecho. Resulta más razonable considerar que, en caso de negativa de la cedente, el interesado aporte la documentación, sin perjuicio de que, si se trata de una organización de la AGE, pueda presentar una queja sobre este particular.

V. LOS DERECHOS DE LOS INTERESADOS EN ACTUACIONES EN LAS QUE MEDIEN INTERCAMBIOS DE DATOS

Una vez resuelto el tema de la compatibilidad, el órgano cesionario informará al titular del dato de la existencia del tratamiento y su finalidad, con el fin de que éste pueda ejercer los derechos reconocidos en el RGPD y, en particular, el de oposición (siempre que el tratamiento verse sobre datos personales y no esté legitimada por una obligación legal). El art. 28 de la LPAC establece que, “no cabrá la oposición cuando la aportación del documento se exigiera en el marco del ejercicio de potestades sancionadoras o de inspección”, en congruencia con lo previsto en los arts. 21.1 y 23.1.f) RGPD.

No hay que perder de vista en este asunto que la licitud es solo uno de los principios que inspiran el sistema de protección de datos personales. Siempre que las AAPP acceden a los datos personales de las personas físicas, en cumplimiento de una obligación legal o una misión de interés general, deben informar de este hecho a los titulares del dato. El principio de transparencia es la piedra angular del ejercicio de los derechos de acceso, rectificación, cancelación, oposición, portabilidad, etc. del titular. Si éste desconoce la existencia del tratamiento, resulta materialmente imposible que ejercite sus derechos ante el responsable (en el escenario de una transmisión de datos, ante el cesionario). En consecuencia, el hecho de que el art. 28 LPAC exceptúe del derecho de oposición a los intercambios entre AAPP para el ejercicio de funciones de inspección o el desarrollo de las competencias sancionadoras, no es óbice para que el titular del dato conozca la existencia del tratamiento y pueda solicitar, verbigracia, la actualización de los datos, la limitación de la finalidad o la supresión.

Así las cosas, la omisión del deber de información está sujeta a las exigencias generales previstas para cualquier limitación al ejercicio de los derechos reconocidos a los titulares del dato: (1) reserva legal; (2) superar el test de proporcionalidad; (3) claridad y precisión. Con sustento en estas exigencias, el art. 14.5 RGPD define el alcance y contenido de las excepciones. A juicio de quien redacta este estudio, el derecho del titular a estar informado no puede limitarse o condicionarse como resultado del ejercicio de cualquier competencia administrativa: solo aquellas fases y actuaciones que tengan el carácter de reservadas, que en el ordenamiento español constituye una situación excepcionalísima, pueden quedar exentas de la obligación de la administración actuante de informar al titular del dato sobre la circunstancia de estar en posesión del mismo y su finalidad(67).

También ha de tenerse en cuenta que, si la base del tratamiento es el consentimiento y éste es revocado, o el ulterior no se realiza con arreglo a las exigencias del REPD, el titular puede exigir la cancelación del dato; en ese caso, la autoridad pública responsable debe notificar esta decisión a todos los responsables con quienes ha compartido el dato, a menos de que sea imposible o demande un esfuerzo desproporcionado (RGPD; art. 19). La comunicación de los efectos del ejercicio de los derechos del titular del dato al conjunto de APPP que pueden haber intervenido en un tratamiento es una cuestión, relativamente simple, desde el punto de vista jurídico y compleja, desde una perspectiva técnica: si los tratamientos se suceden en el marco del PID, la diseminación del conocimiento a todo lo largo de la cadena de intervinientes no debería resultar excesivamente problemática y, en esa medida, la excepción al deber de transmisión de esta información relevante basada en el esfuerzo desproporcionado carecería de fundamento.

Si participan varias plataformas de intercambio, salvo que todas sean interoperables, sí que puede presentarse un problema técnico cuya resolución demande un esfuerzo significativo: la cuestión en este caso es si, mediando una solución técnica, las AAPP pueden aducir que se trata de un esfuerzo desproporcionado, el garantizar el ejercicio de los derechos de los ciudadanos o salvaguardar la legalidad de sus actuaciones. A primera vista, no se advierten motivos que avalen un posicionamiento de esta naturaleza: los juicios de proporcionalidad entre medios y objetivos, realizados al amparo del RGPD, en el marco de relaciones jurídicas privadas no son equiparables a los realizables en el ámbito de las relaciones jurídico-públicas presididas, en el caso de las AAPP, por el principio de servicialidad al interés general, de tal suerte que la misma medida de salvaguardia de los derechos puede constituir un coste evitable para una empresa privada o para un particular, mientras que resulte insoslayable para la AAPP en observancia del principio de legalidad y de los mandatos constitucionales.

Finalmente, el SDGR reconoce el derecho a la previsualización como una facultad integrada dentro del derecho a la autodeterminación informativa y constituye una manifestación de los principios de transparencia e información que trascienden del ámbito de la protección de los datos personales para extenderse a todos los datos gestionados por AAPP en desarrollo de las actuaciones cubiertas por el Reglamento. Es un derecho de gran entidad que permite no solo que el titular del dato ejerza control sobre la ubicación y uso del dato, sino también sobre su calidad. El art. 66.5 de la LPAC consagra expresamente este derecho, al regular el uso de los modelos normalizados. La normativa española parece circunscribir el derecho a la previsualización a la fase de inicio de la actuación, siempre que medie un modelo normalizado, sin embargo, no hay razones que justifiquen la exclusión de este derecho, en todos los trámites que componen la actuación, si la AP responsable obtiene datos de otras administraciones, con miras a fundar su decisión, en desarrollo del derecho de acceso y participación que se reconoce a todos los interesados, con arreglo a lo previsto en el art. 53 LPAC.

VI. CONSIDERACIONES FINALES

En la historia reciente del Derecho Administrativo español, pueden identificarse varios trabajos, de gran calidad, sobre los efectos que se generan como resultado de la utilización de técnicas, tales como, la inteligencia artificial, el Big Data, blockchain en el desarrollo de las actividades administrativas. Esta reflexión ha de situarse en un punto previo a estas consideraciones y, sin embargo, no carece de actualidad, toda vez que la interoperabilidad, la calidad de los datos, el intercambio de datos entre AAPP, generan las condiciones para que el recurso a dichas técnicas conduzca a la obtención de los resultados sociales benéficos que, desde las instancias comunitarias, se les adscriben y ponderan.

Resulta bastante improbable que pueda optimizarse el uso de estos adelantos tecnológicos, si no hay una verdadera consolidación de los avances y resultados de las fases previas de adaptación del funcionamiento y organización de las AAPP a las exigencias y condiciones de la sociedad de la información. Sólo si las administraciones hacen el tránsito desde los documentos físicos, a los digitales y de éstos al dato, para reconocerlo y tratarlo como un activo esencial, que debe inventariarse, salvaguardarse, en lo que atiende a su calidad y seguridad, tratarse, para añadirle valor y emplearse, interna y externamente, con miras a la ejecución de las competencias y misiones que tienen encomendadas las AAPP, puede definirse un plan real de utilización eficiente, eficaz y programada de estas nuevas tecnologías que, centrado en el ciudadano, prevea acciones y medios que mejoren la eficiencia y eficacia de las actuaciones administrativas.

Así mismo, un conjunto significativo de los riesgos asociados al recurso a estas tecnologías (v.g. los sesgos discriminatorios, errores recurrentes, etc.), pueden mitigarse, desde la causa, con un buen gobierno del dato que, tal y como se ha indicado previamente, demanda un esfuerzo organizativo que no deberían dilatar, ni mucho menos eludir, las administraciones integradas en todos los niveles de la organización político-territorial del Estado. La Administración General cuenta con los medios y recursos para implementar una política de datos que garantice la efectividad, entre otros, de la interoperabilidad por defecto que, a su vez, posibilita la observancia del principio OOP y los ha puesto a disposición de otras administraciones, en aras de que los ciudadanos disfruten de los mismos y derechos garantías en sus relaciones con todas las administraciones públicas.

Todas las administraciones están sujetas a obligaciones normativas encaminadas a garantizar la interoperabilidad por defecto y cuentan con incentivos económicos y asesoramiento para alcanzar este resultado. La suerte final de este proceso que, se reitera, es requisito indispensable para que los ciudadanos y los empleados públicos puedan beneficiarse del uso de técnicas, verbigracia, de inteligencia artificial, dependerá, en gran medida, de la eficacia de las acciones de coordinación de la Comisión Sectorial de la Administración Electrónica, de la voluntad de los gobiernos autonómicos y locales, así como de la presión que sea capaz de ejercer la sociedad civil sobre los mismos orientada a que la introducción de las tecnologías esté presidida por la idea de mejorar la calidad, eficiencia y eficacia de los servicios, así como de las funciones que se prestan o desarrollen en beneficio de los ciudadanos.

VII. BIBLIOGRAFÍA CITADA

Abraham, R., Schneider, J., & Vom Brocke, J. (2019). Data governance: A conceptual framework, structured review, and research agenda. International Journal of Information Management, 49, 424-438.

Barrera, Jorge (2019). La plataforma de intermediación de datos (PID) Consultor de los ayuntamientos y de los juzgados: Revista técnica especializada en administración local y justicia municipal, ISSN 0210-2161, Nº. Extra 4 (Ejemplar dedicado a: El laberinto de los beneficios fiscales), págs. 87-104

Campos Acuña, Concepción (2021). La triada normativa de la administración electrónica: el Reglamento de Actuación y Funcionamiento por Medios Electrónicos. Consultor de los ayuntamientos y de los juzgados: Revista técnica especializada en administración local y justicia municipal Especial III, julio.

Cerrillo-Martinez, A., & Casadesús-de-Mingo, A. (2021). Data governance for public transparency. El profesional de la información, 30(4).

Cerrillo i Martínez, Agustí (2016). La cooperación y las relaciones administrativas por medios electrónicos. En A las puertas de la administración digital: Una guía detallada para la aplicación de las Leyes 39/2015 y 40/2015 / coord. por Agustí Cerrillo i Martínez; Mario Alguacil Sanz (aut.), Sandra González Aguilera (aut.), M. Ascensión Moro Cordero (aut.), ISBN 978-84-7351-561-0, págs. 282-298.

Costa Hernandis, Raúl (2018). Registro de actividades del tratamiento (Art.30). El nuevo marco regulatorio derivado del Reglamento Europeo de Protección de Datos: adaptado al Proyecto de Ley orgánica de Protección de Datos de 10 de noviembre de 2017 / coord. por José López Calvo, José Amérigo Alonso, ISBN 978-84-9090-282-0, págs. 443-450

Eusamio Mazagatos, Jose A (2020). La Plataforma de Intermediación de Datos. Consultor de los ayuntamientos y de los juzgados: Revista técnica especializada en administración local y justicia municipal, ISSN 0210-2161, Nº. 10.

Fondevila Antolín, J. (2021). La obligación de utilización de medios electrónicos en los procesos selectivos: ciudadanos o súbditos. Pertsonak eta Antolakunde Publikoak Kudeatzeko Euskal Aldizkaria= Revista Vasca de Gestión de Personas y Organizaciones Públicas, (20), 88-111

Gamero Casado, Eduardo (2009). Interoperabilidad y Administración electrónica: conéctense, por favor. Revista de Administración Pública, (179), 291-332.

Gamero Casado, Eduardo (2017). Administración electrónica e interoperabilidad. En La reforma de la Administración electrónica: Una oportunidad para la innovación desde el Derecho (pp. 499-517). Instituto Nacional de Administración Pública (INAP).

Gil Durán, María P (2016). El derecho de control de los datos personales en la plataforma de intermediación de la nueva e-administración. Revista de privacidad y derecho digital, ISSN 2444-5762, Nº. 5, págs. 109-146.

Hodson, S. (2017). FAIR Data: principles, implementation, implications.

Igualada Menor, Angel (2021). El registro de actividades de tratamiento en el Reglamento General de Protección de Datos (Comentario al artículo 30 RGPD y al artículo 31 y a la Disposición final undécima Uno LOPDGDD) En Comentario al Reglamento General de Protección de Datos y a la Ley Orgánica de Protección de Datos personales y Garantía de los Derechos Digitales / Antonio Troncoso Reigada (dir.), Juan José González Rivas (pr.), Vol. 1, ISBN 978-84-9197-925-8, págs. 1903-1921.

Magro Pedroviejo, Roberto (2020). La Oficina del Dato. Consultor de los ayuntamientos y de los juzgados: Revista técnica especializada en administración local y justicia municipal, ISSN 0210-2161, Nº. Extra 3, (Ejemplar dedicado a: Datos abiertos: hacia una gobernanza real de las administraciones públicas.), págs. 99-110

Mancilla i Muntada, Francesc (2016). Artículo 143. Cooperación entre administraciones públicas En Régimen jurídico del sector público y procedimiento administrativo común / Miguel Ángel Recuerda Girela (dir.), ISBN 978-84-9135-522-9, págs. 1738-1752

Manteca Valdelande, Victor (2009). El convenio de colaboración entre administraciones públicas como instrumento de eficacia y eficiencia. Actualidad administrativa, ISSN 1130-9946, Nº 3, 2009, pág. 5

Manzano Peláez, Ester. (2020) El modelo de gobierno de los datos: avanzando en su despliegue en la Generalitat de Cataluña. Consultor de los ayuntamientos y de los juzgados: Revista técnica especializada en administración local y justicia municipal, ISSN 0210-2161, Nº. Extra 3, 2020 (Ejemplar dedicado a: Datos abiertos: hacia una gobernanza real de las administraciones públicas.), págs. 50-59

Martín Ibáñez, Eva (2020). Riesgos jurídicos del uso de datos intermediados: el caso de la plataforma de intermediación de datos. Revista de privacidad y derecho digital, ISSN 2444-5762, Vol. 5, Núm. 20 (Octubre-diciembre 2020), págs. 139-176

Martínez Gutiérrez, Rubén (2017). Relaciones interadministrativas por medios electrónicos. Interoperabilidad. En Tratado de Procedimiento Administrativo Común y Régimen Jurídico Básico del Sector Público. Gamero Casado, E (dir), Fernández Ramos, S y Valero Torrijos, J (coords.) Tirant Lo Blanch, ISBN 9788491434481

Martínez Gutiérrez, Rubén (2010). Régimen jurídico del intercambio electrónico de datos, documentos y certificaciones entre Administraciones. Revista de administración pública, ISSN 0034-7639, Nº 183, págs. 359-391

Parejo Alfonso, Luciano (2022). Lecciones de Derecho Administrativo. 12ª ed. Valencia: Tirant lo Blanch, ISBN 9788411470810, 1584 p.

Parejo Alfonso, Luciano (2009). Organización y poder de organización, Iustel, 2009, 267p

Pedraza Córdoba, Juanita (2018). La redistribución de responsabilidades de dirección y control sociales y el principio de responsabilidad proactiva en el ámbito de la protección de datos personales. En Estudios de Derecho Público en homenaje a Luciano Parejo Alfonso (pp. 771-794). 9788491902362 Tirant lo Blanch.

Pino Smilg, Manuel (2016). Disposición adicional novena. Comisión sectorial de administración electrónica. Régimen jurídico del sector público y procedimiento administrativo común / Miguel Ángel Recuerda Girela (dir.), ISBN 978-84-9135-522-9, págs. 1861-1864.

: Rodríguez Ayuso, Juan Francisco (2020). Protección de datos personales en el contexto de la Covid-19: legitimación en el tratamiento de datos de salud por las Administraciones Públicas Revista catalana de dret públic, ISSN-e 1885-8252, ISSN 1885-5709, Nº. Extra 3, 2020 (Ejemplar dedicado a: Especial sobre el dret en temps d’emergència sanitària), págs. 137-152

Treder, M. (2020). Data Governance. In The Chief Data Officer Management Handbook (pp. 79-91). Apress, Berkeley, CA

Treder, M. (2019). Implementing the Data Office. In Becoming a data-driven Organisation (pp. 115-128). Springer Vieweg, Berlin, Heidelberg.

Troncoso Reigada, Antonio (dir.), González Rivas, Juan José (pr.) (2021). Comentario al Reglamento General de Protección de Datos y a la Ley Orgánica de Protección de Datos personales y Garantía de los Derechos Digitales Aranzadi, ISBN 978-84-1346-416-9.

Villaescusa Soriano, Antonio (2021). La interoperabilidad como elemento clave: colaboración entre las administraciones públicas para la actuación administrativa por medios electrónicos y reutilización de aplicaciones. Consultor de los ayuntamientos y de los juzgados: Revista técnica especializada en administración local y justicia municipal, ISSN 0210-2161, Nº. Extra 3, 2021 (Ejemplar dedicado a: Actuación y funcionamiento por medios electrónicos: el largo camino hacia la transformación digital).

NOTAS:

(1). Este artículo se realiza en desarrollo del Proyecto de Investigación PID 2020-116855RB-I00 LA ACTUACIÓN ADMINISTRATIVA AUTOMATIZADA: CONDICIONES, LÍMITES Y GARANTÍAS JURÍDICAS (AUDEMAK2020)

(2). COM (2015) 192 final, de 6 de mayo, Estrategia para el Mercado Único Digital de Europa.

(3). Commission Staff Working Document on the free flow of data and emerging issues of the European data economy Accompanying the document Communication Building a European data economy. SWD/2017/02 final

(4). Directiva (UE) 2019/1024 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativa a los datos abiertos y la reutilización de la información del sector público.

(5). En el Reglamento 2022/868 (Gobierno del dato) se regula la figura del proveedor de servicio de intercambio de datos y en la COM (2022) 68 final, (Ley de Datos) se consagra la condición de prestador de servicios de tratamiento de datos.

(6). En 1999, la Comisión puso en marcha una iniciativa específica para la interoperabilidad: 1719/1999/CE: Decisión del Parlamento Europeo y del Consejo, de 12 de julio de 1999.

(7). Cerrillo i Martínez, Agustí (2016). La cooperación y las relaciones administrativas por medios electrónicos. En A las puertas de la administración digital: Una guía detallada para la aplicación de las Leyes 39/2015 y 40/2015 / coord. por Agustí Cerrillo i Martínez; Mario Alguacil Sanz (aut.), Sandra González Aguilera (aut.), M. Ascensión Moro Cordero (aut.), ISBN 978-84-7351-561-0, págs. 282-298

(8). COM (2003) 567 final, 26 de septiembre.

(9). Arts. 3.2, 38, 45, 156, disposición adicional novena.

(10). Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.

(11). Por todos, Casado, E. G. (2009). Interoperabilidad y Administración electrónica: conéctense, por favor. Revista de Administración Pública, (179), 291-332. Casado, E. G. (2017). Administración electrónica e interoperabilidad. In La reforma de la Administración electrónica: Una oportunidad para la innovación desde el Derecho (pp. 499-517). Instituto Nacional de Administración Pública (INAP).

(12). La NT de documento electrónico, NT de digitalización de documentos, NT del expediente electrónico, NT de relación de modelo de datos, desarrollan el RENI para la realización de la interoperabilidad semántica

(13). NT de catálogo de estándares.

(14). Ibid nota 7, p. 285

(15). Pedraza Córdoba, Juanita (2018). La redistribución de responsabilidades de dirección y control sociales y el principio de responsabilidad proactiva en el ámbito de la protección de datos personales. En Estudios de Derecho Público en homenaje a Luciano Parejo Alfonso (pp. 771-794). 9788491902362 Tirant lo Blanch.

(16). ENLACE (consulta de 10/11/2022)

(17). COM (2016) 179 final, de 19 de abril, Plan de Acción sobre Administración Electrónica de la UE 2016-2020

(18). COM (2017) 134 final., 23 de marzo.

(19). COM (2021) 118 final, 9 de marzo.

(20). En los términos del art. 3.2) del Reglamento (UE) 2018/1807 del Parlamento Europeo y del Consejo, de 14 de noviembre de 2018, relativo a un marco para la libre circulación de datos no personales en la Unión Europea (Reglamento de datos no personales-RDNP) y del art. 4.2. del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos-RGDP).

(21). Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

(22). Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

(23). Reglamento (UE) 2018/1724 del Parlamento Europeo y del Consejo, de 2 de octubre de 2018, relativo a la creación de una pasarela digital única de acceso a información, procedimientos y servicios de asistencia y resolución de problemas y por el que se modifica el Reglamento (UE) n.° 1024/2012.

(24). A los efectos de este trabajo, este marco está integrado por el Plan de acción sobre la Administración Electrónica y las normas que regulan la interoperabilidad a nivel europeo dentro de las cuales destacan la Estrategia Europa de interoperabilidad COM 2010/ 744, los programas ISA (para los periodos 2010-2015 y 2016-2020), así como el Marco europeo de interoperabilidad.

(25). Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

(26). Mancilla i Muntada, Francesc (2016). Artículo 143. Cooperación entre administraciones públicas En Régimen jurídico del sector público y procedimiento administrativo común / Miguel Ángel Recuerda Girela (dir.), ISBN 978-84-9135-522-9, págs. 1738-1752. Manteca Valdelande, Victor (2009). El convenio de colaboración entre administraciones públicas como instrumento de eficacia y eficiencia. Actualidad administrativa, ISSN 1130-9946, Nº 3, pág. 5. Villaescusa Soriano, Antonio (2021). La interoperabilidad como elemento clave: colaboración entre las administraciones públicas para la actuación administrativa por medios electrónicos y reutilización de aplicaciones. Consultor de los ayuntamientos y de los juzgados: Revista técnica especializada en administración local y justicia municipal, ISSN 0210-2161, Nº. Extra 3, 2021 (Ejemplar dedicado a: Actuación y funcionamiento por medios electrónicos: el largo camino hacia la transformación digital)

(27). Real Decreto 203/2021, de 30 de marzo, por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos

(28). ENLACE.

(29). Fondevila Antolín, J. (2021). La obligación de utilización de medios electrónicos en los procesos selectivos: ciudadanos o súbditos. Pertsonak eta Antolakunde Publikoak Kudeatzeko Euskal Aldizkaria= Revista Vasca de Gestión de Personas y Organizaciones Públicas, (20), 88-111

(30). STS 635/2021, de 6 de mayo de 2021 ECLI:ES:TS:2021:1587 (FJ.7)

(31). Artículo 35. Derechos de los ciudadanos. Los ciudadanos, en sus relaciones con las Administraciones Públicas, tienen los siguientes derechos: f) A no presentar documentos no exigidos por las normas aplicables al procedimiento de que se trate, o que ya se encuentren en poder de la Administración actuante. Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.

(32). STS 983/2018, 12 de junio de 2018. ECLI:ES:TS:2018:2515

(33). Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos

(34). Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

(35). Real Decreto Legislativo 5/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto Básico del Empleado Público.

(36). Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.

(37). Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo de 30 de mayo de 2022 relativo a la gobernanza europea de datos y por el que se modifica el Reglamento (UE) 2018/1724 (Reglamento de Gobernanza de Datos).

(38). Abraham, R., Schneider, J., & Vom Brocke, J. (2019). Data governance: A conceptual framework, structured review, and research agenda. International Journal of Information Management, 49, 424-438.

(39). Manzano Peláez, Ester. (2020) El modelo de gobierno de los datos: avanzando en su despliegue en la Generalitat de Cataluña. Consultor de los ayuntamientos y de los juzgados: Revista técnica especializada en administración local y justicia municipal, ISSN 0210-2161, Nº. Extra 3, 2020 (Ejemplar dedicado a: Datos abiertos: hacia una gobernanza real de las administraciones públicas.), págs. 50-59

(40). Para una visión general sobre las razones organizativas que acompañan la creación de oficinas del dato en las entidades, puede consultarse: Treder, M. (2020). Data Governance. In The Chief Data Officer Management Handbook (pp. 79-91). Apress, Berkeley, CA. Treder, M. (2019). Implementing the Data Office. In Becoming a data-driven Organisation (pp. 115-128). Springer Vieweg, Berlin, Heidelberg.

(41). Parejo Alfonso, Luciano (2009). Organización y poder de organización, Iustel, 2009, p.23

(42). Cerrillo-Martinez, A., & Casadesús-de-Mingo, A. (2021). Data governance for public transparency. El profesional de la información, 30(4).

(43). art. 3ter.3 de la Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público

(44). Magro Pedroviejo, Roberto. (2020) La Oficina del Dato. Consultor de los ayuntamientos y de los juzgados: Revista técnica especializada en administración local y justicia municipal, ISSN 0210-2161, Nº. Extra 3, (Ejemplar dedicado a: Datos abiertos: hacia una gobernanza real de las administraciones públicas.), pág.2

(45). Barrera, Jorge (2019). La plataforma de intermediación de datos (PID) Consultor de los ayuntamientos y de los juzgados: Revista técnica especializada en administración local y justicia municipal, ISSN 0210-2161, Nº. Extra 4 (Ejemplar dedicado a: El laberinto de los beneficios fiscales), págs. 87-104. Eusamio Mazagatos, Jose A (2020). La Plataforma de Intermediación de Datos. Consultor de los ayuntamientos y de los juzgados: Revista técnica especializada en administración local y justicia municipal, ISSN 0210-2161, Nº. 10. Gil Durán, María P (2016). El derecho de control de los datos personales en la plataforma de intermediación de la nueva e-administración. Revista de privacidad y derecho digital, ISSN 2444-5762, Nº. 5, págs. 109-146. Martín Ibáñez, Eva (2020). Riesgos jurídicos del uso de datos intermediados: el caso de la plataforma de intermediación de datos. Revista de privacidad y derecho digital, ISSN 2444-5762, Vol. 5, Núm. 20 (Octubre-diciembre 2020), págs. 139-176.

(46). Pino Smilg, Manuel (2016). Disposición adicional novena. Comisión sectorial de administración electrónica. Régimen jurídico del sector público y procedimiento administrativo común / Miguel Ángel Recuerda Girela (dir.), ISBN 978-84-9135-522-9, págs. 1861-1864.

(47). Disposición adicional novena.1 de la LRJSP y art. 12 de la Resolución de 16 de noviembre de 2018, de la Secretaría de Estado de Función Pública, por la que se publica el Acuerdo de la Conferencia Sectorial de Administración Pública, por la que se aprueba el Reglamento de Organización y Funcionamiento

(48). El art. 16 de la Resolución de 16 de noviembre de 2018 distingue entre acuerdos y recomendaciones, para diferenciar, respecto a los primeros, aquellos que tienen carácter obligatorio (en general, cuando la AGE ejerza coordinación), los que vinculan en virtud de acuerdo y los que tienen la naturaleza de planes conjuntos (con sus mecanismos de control propios). El incumplimiento de los acuerdos alcanzados en la Comisión pueden originar un conflicto entre AAPP, regulado por el art. 44 LJCA:

(49). Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local.

(50). Campos Acuña, Concepción (2021). El RAFME: una aproximación general La triada normativa de la administración electrónica: el Reglamento de Actuación y Funcionamiento por Medios Electrónicos. Actuación y funcionamiento por medios electrónicos: el largo camino hacia la transformación digital. Consultor de los ayuntamientos y de los juzgados: Revista técnica especializada en administración local y justicia municipal Especial III, julio.

(51). Costa Hernandis, Raúl (2018). Registro de actividades del tratamiento (Art.30). El nuevo marco regulatorio derivado del Reglamento Europeo de Protección de Datos: adaptado al Proyecto de Ley orgánica de Protección de Datos de 10 de noviembre de 2017 / coord. por José López Calvo, José Amérigo Alonso, ISBN 978-84-9090-282-0, págs. 443-450. Igualada Menor, Angel (2021). El registro de actividades de tratamiento en el Reglamento General de Protección de Datos (Comentario al artículo 30 RGPD y al artículo 31 y a la Disposición final undécima Uno LOPDGDD) En Comentario al Reglamento General de Protección de Datos y a la Ley Orgánica de Protección de Datos personales y Garantía de los Derechos Digitales / Antonio Troncoso Reigada (dir.), Juan José González Rivas (pr.), Vol. 1, ISBN 978-84-9197-925-8, págs. 1903-1921.

(52). Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno.

(53). La norma técnica de interoperabilidad e inventario y codificación de objetos administrativos, regula su contenido y condiciones de llevanza (disposición adicional primera del RENI en la versión actualizada tras las modificaciones introducidas por el Re-Ad).

(54). Hodson, S. (2017). FAIR Data: principles, implementation, implications.

(55). Directiva (UE) 2019/1024 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativa a los datos abiertos y la reutilización de la información del sector público, Reglamento 2022/868 (Gobierno del dato) y en la Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público.

(56). ENLACE.

(57). Parejo Alfonso, Luciano (2022). Lecciones de Derecho Administrativo. 12ª ed. Valencia: Tirant lo Blanch 2022 ISBN 9788411470810, p. 531.

(58). STS de 24 marzo 1997 ECLI:ES:TS:1997:2193 (FJ.3)

(59). Para una revisión general del tema de la legitimación puede verse: Rodríguez Ayuso, Juan Francisco (2020). Protección de datos personales en el contexto de la Covid-19: legitimación en el tratamiento de datos de salud por las Administraciones Públicas Revista catalana de dret públic, ISSN-e 1885-8252, ISSN 1885-5709, Nº. Extra 3, 2020 (Ejemplar dedicado a: Especial sobre el dret en temps d’emergència sanitària), págs. 137-152. Troncoso Reigada, Antonio (dir.), González Rivas, Juan José (pr.) (2021). Comentario al Reglamento General de Protección de Datos y a la Ley Orgánica de Protección de Datos personales y Garantía de los Derechos Digitales Aranzadi, ISBN 978-84-1346-416-9.

(60). Agencia Española de Protección de Datos. Informe N/REF: 022147/2019, de 20 de febrero de 2020, disponible en ENLACE (consulta 08/11/2022)

(61). STJUE de 27 de septiembre de 2017, asunto C‑73/16. ECLI:EU:C:2017:725

(62). STJUE de 11 de diciembre de 2019, asunto C-708/18,TK, ECLI:EU:C:2019:1064

(63). STJUE de 4 de mayo de 2017, asunto C‑13/16, ECLI: EU:C:2017:336

(64). Ibid nota 40.

(65). Martínez Gutiérrez, Rubén (2010). Régimen jurídico del intercambio electrónico de datos, documentos y certificaciones entre Administraciones. Revista de administración pública, ISSN 0034-7639, Nº 183, págs. 359-391

(66). Disposición adicional undécima.1 LRJSP, Ley del Gobierno; art. 2.1.l): art. 50.1 de la LBRL; art. 50, disposición adicional única de la Ley 11/2011, de 20 de mayo y la disposición adicional novena de la Ley 6/1997, de 14 de abril, de organización y funcionamiento de la Administración General del Estado.

(67). Agencia Española de Protección de Datos Personales. Informes N/REF 201/2016. N/REF: 022147/2019.

Comentarios

Noticia aún sin comentar.

Escribir un comentario

Para poder opinar es necesario el registro. Si ya es usuario registrado, escriba su email y contraseña:

 

Si desea registrase en la Administración al Día y poder escribir un comentario, puede hacerlo a través el siguiente enlace: Registrarme en La Administración al Día.

  • El INAP no es responsable de los comentarios escritos por los usuarios.
  • No está permitido verter comentarios contrarios a las leyes españolas o injuriantes.
  • Reservado el derecho a eliminar los comentarios que consideremos fuera de tema.

Últimos estudios

Conexión al Diario

Ágora

Ágora, Biblioteca online de recursos de la Administración Pública

Publicaciones

Lo más leído:

 

Atención al usuario: publicacionesinap.es

© INAP-2024

Icono de conformidad con el Nivel Doble-A, de las Directrices de Accesibilidad para el Contenido Web 1.0 del W3C-WAI: abre una nueva ventana