Los informes jurídicos de la Agencia Española de Protección de Datos: el DNI
Iniciamos con esta entrada un recorrido donde examinaremos los informes jurídicos de la Agencia Española de Protección de Datos pero desde una perspectiva práctica.
El objetivo es entender si estos informes pueden darnos cierta seguridad jurídica a la hora de interpretar y aplicar la Ley Orgánica de Protección de Datos, porque precisamente para eso publican estos informes jurídicos que emanan directamente del Gabinete Jurídico de la AEPD: interpretar la norma en un supuesto concreto.
Por lo general, la cuestión de hecho examinada en un informe jurídico proviene de consultas realizadas por los propios ciudadanos.
Estos informes tienen un gran valor a nivel doctrinal y profesional ya que han sido redactados por el propio órgano que, en primera instancia, va a juzgar la posible comisión de una infracción en materia de protección de datos. Por lo tanto, si un profesional en la materia tuviera que aplicar la norma a un caso que ya ha sido examinado en uno de los informes, aplicará sin duda la interpretación que allí se vierta.
Sin embargo ¿son los informes jurídicos garantía de seguridad? ¿Podemos estar tránquilos si basamos nuestras pretensiones en la doctrina de un informe jurídico?. A estas y otras preguntas es a las que pretendemos dar respuesta.
El primer caso que vamos a desvelar es el relativo a la entrada de este mismo blog titulado «El número de DNI no es un dato de carácter personal»
En esa entrada examinamos como la Agencia Española de Protección de Datos interpretó que el número de DNI no era un dato personal si no iba asociado a algún nombre y apellido; vaya, que el número de DNI, por sí solo, no es un dato personal.
Esta fundamento fue el utilizado en la resolución E/00561/2004 para terminar en archivar una denuncia presentada por un alumno de la UNED en 2004; la denuncia traia causa de la publicación de las calificaciones de los exámenes de esta Universidad. Este asunto está hoy resuelto: «Publicar las notas de los universitarios dejará de ser ilegal«, pero entonces no.
Así las cosas, el alumno entendió que publicar las notas de los exámenes sin el consentimiento oportuno era una infracción del artículo 11 de la LOPD (cesión de datos sin consentimiento); pero en este caso, como sólo aparecía el DNI y no los nombres de los alumnos, la AEPD no condenó a la Universidad alegando lo que ya hemos dicho: que el DNI no es un dato personal y por tanto está al margen del manto protector de la LOPD.
Esto de por sí ya es curioso, pero es aun más curioso, alarmante diría yo, si cogemos el Informe Jurídico de la Agencia número 469/2004.
En este informe se cuestiona si es conforme a la legislación vigente en materia de protección de datos publicar las notas de los exámenes de la Universidad, y si no lo fuera, si cabría publicar sólo el DNI y no los nombres y apellidos. Así, el informe afirma:
«Con carácter general, puede señalarse que la publicación de los datos a los que se refiere la consulta (tanto relativos al nombre y apellidos de los alumnos, como a su número de Documento Nacional de Identidad o su Número de Expediente Personal), constituye una auténtica cesión de datos de carácter personal, definida por el artículo 3 i) de la Ley Orgánica 15/1999, como “toda revelación de datos realizada a una persona distinta del interesado.
[…]
«En consecuencia la difusión de dichas notas de calificación a través de los tablones de anuncios de la Universidad, constituirá una cesión de datos de carácter personal de los alumnos no autorizada por una norma con rango de ley formal. En ese caso, atendiendo a la regulación de la Ley Orgánica (artículo 11.2. a), sería necesario que cada alumno diera su consentimiento inequívoco para poder realizar la publicación de las calificaciones, dado que estos supuesto no constituyen ninguna de las excepciones legales para poder efectuar las cesiones sin consentimiento.
Por lo demás, no siendo conforme con lo dispuesto por la Ley Orgánica 15/1999 la referida publicación, no es menester analizar la procedencia de la inclusión de determinado tipo de datos (D.N.I, Número de Expediente Personal de los alumnos, o cualquier otro) a los que se refiere el consultante en su escrito, cuando el consentimiento del afectado no ha sido convenientemente recabado.»
Vaya, no deja lugar a dudas de que publicar las notas era ilegal antes de la última reforma de la LOU, y que lo era incluso si incluímos sólo el DNI… pero ¿la resolución E/00561/2004 no decía lo contrario?. Veamos:
La Resolución E/00561/2004, expresa:
«En cuanto a la consideración del número de DNI como un dato de carácter personal, conviene señalar que, a los efectos de la LOPD, se entenderá por datos de carácter personal cualquier información concerniente a personas físicas identificadas o identificables (artículo 3.a). En base a la definición anterior será suficiente con que los datos permitan hacer identificable a la persona concreta para que se trate de datos de carácter personal.»
[…]
«Atendiendo a lo que se acaba de indicar, aunque en principio es criterio de esta Agencia Española de Protección de Datos que el número del DNI, por si solo, no constituye un dato de carácter personal, si lo será en cuanto resulte adscrito al concreto titular del mismo.»
[…]
«En el supuesto concreto que se plantea, no parece probable que los destinatarios del listado dentro del ámbito en que se publica tengan posibilidad de asociar el número del DNI a un determinado alumno, de forma tal, que permita su identificación inequívoca, sin que ello suponga efectuar esfuerzos desproporcionados. De hecho, la denuncia tiene su origen en una persona que no consta como alumno de la UNED.»
El segundo párrafo es demoledor. ¿Es criterio de la AEPD que el número de DNI, por sí solo, no es un dato de carácter personal? Pero en sus propios informes jurídicos afirma lo contrario ¿no?. ¿Entonces en qué quedamos?.
Pero es que además, la fecha de la resolución y del informe jurídico es de la misma época.
El informe jurídico 469/2004 puede descargarse desde aquí. (Este informe ha sido retirado de la web de la Agencia Española de Protección de Datos, seguramente porque ya no tiene sentido con la modificación de la LOU).
La resolución E/00561/2004 puede ser descargada desde aquí.
En el próximo episodio hablaremos de la dirección IP.