Consultas más relevantes atendidas a través del Canal del DPD
Última modificación:
El artículo 39.1.e) del RGPD establece como funciones de los DPD el ser punto de contacto sobre tratamientos de datos con la autoridad de control y a este efecto conforme a los requisitos que se exponen en la norma 4 de la Instrucción 1/2021 por la que se establecen directrices respecto de la función consultiva, la AEPD puede ser consultada por los DPD bajo ciertos requisitos coherentes con el principio de responsabilidad proactiva.
Desde la puesta en marcha del Canal del DPD, las consultas que se vienen atendiendo se responden en base a los criterios previamente establecidos por el Gabinete Jurídico de la AEPD.
Se incluye a continuación una selección de consultas relevantes que han sido planteadas por los DPD de las Administraciones Públicas:
Intercambio de información entre AAPP
Con carácter general, la base jurídica del tratamiento en las relaciones con la Administración, en aquellos supuestos en que existe una relación en la que no puede razonablemente predicarse que exista una situación de equilibrio entre el responsable del tratamiento (la Administración), y el interesado (el administrado) no sería el consentimiento (art. 6.1.a) RGPD), sino, según los casos, el cumplimiento de una obligación legal (art. 6.1.c) RGPD: aplicable a la Administración cedente) o el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos (art. 6.1.e) RGPD: aplicable a la Administración que solicita los datos, o cesionaria).
Al amparo de la potestad de verificación recogida en la disposición adicional octava de LOPDGDD el tratamiento se llevaría a cabo en el ejercicio de poderes públicos, conforme al artículo 6.1 e) del RGPD.
En cuanto al sentido de la expresión “obligación legal” contenida en el artículo 6.1.c) RGPD, en la regulación española de protección de datos, hay que interpretarla como “obligación establecida en una norma con rango de ley” (artículo 8.1 LOPDGDD).
Es decir, la operación de tratamiento que consiste en la cesión de los datos personales puede basarse en bases jurídicas diferentes, según se trate del cedente o cesionario. Por ejemplo, la verificación de datos personales puede ampararse en la potestad que le concede a las Administraciones Públicas la Ley (art. 6.1.e RGPD), y la cesión del dato o el acceso al mismo para efectuar la verificación en el cumplimiento de una obligación legal (art. 6.1.c RGPD).
En cuanto a la aplicación del art. 6.1.e) RGPD, como base jurídica del tratamiento de datos personales, lo será siempre y cuando derive de una competencia atribuida por una norma con rango de ley (artículo 8.2 LOPDGDD), y sólo se considerará lícito un tratamiento de datos personales sobre la base de dicho precepto si el mismo es necesario para el cumplimiento de una misión realizada en interés público, o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Por ello, si un determinado tratamiento no es “necesario” para el cumplimiento de la misión realizada en interés público, o en el ejercicio de los poderes públicos conferidos por el ordenamiento, dicho tratamiento no sólo carecería de la base jurídica suficiente para legitimar el tratamiento, sino que, además, contravendría el principio de minimización de datos contenido en el artículo 5.1.c) RGPD, aplicable igualmente a los tratamientos de datos llevados a cabo por la Administración pública.
Tratamiento de datos en las “Plataformas de Intermediación de Datos” entre las Administraciones Públicas
Las Plataformas de Intermediación de datos entre las Administraciones Públicas, que son el instrumento que en la práctica utiliza la Administración para hacer efectivo el derecho del ciudadano a no aportar documentación que haya sido elaborada por cualquier Administración (art. 28.2 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas).
Dicha consulta interadministrativa es, en términos amplios, un mecanismo de relación interadministrativa, que busca la “eficiencia en la gestión de los recursos públicos, compartiendo el uso de recursos comunes” (art. 140.1.f) de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público).
Desde un punto de vista más específico, se considera por la ley 40/2015 un mecanismo de “relación electrónica entre Administraciones Públicas” (art. 155), y sujeta estas obligaciones de “transmisión de datos entre Administraciones Públicas” a lo dispuesto en la normativa de protección de datos. Ello supone que la utilización, procedimientos y sistemas de estas herramientas habrán de adaptarse, tras el RGPD, a las nuevas bases jurídicas del tratamiento por los poderes públicos, en las que el consentimiento no juega ya de la misma manera que lo hacía en el régimen de la LOPD, para que continúen siendo, como hasta el momento, una herramienta eficaz que permita la descarga al ciudadano en materia de aportación, documentación y verificación de datos en los procedimientos administrativos.
¿Se puede ejercer el derecho de oposición cuando la Administración que trata los datos lo hacer en ejercicio de sus competencias?
El derecho de oposición se regula en el art. 21 RGPD, y del mismo resulta que requiere que el interesado alegue los motivos derivados de su situación personal en que basa dicha oposición al tratamiento. La base jurídica del tratamiento basada en el interés público (art. 6.1 e) RGPD) admite el derecho de oposición con expresión de la causa, y los motivos que habrán de ser ponderados por el responsable del tratamiento.
En consecuencia, el ejercicio del derecho de oposición ha de ir acompañado de la expresión de su causa para que el responsable realice una ponderación de los motivos alegados, no siendo válida por tanto una oposición en términos absolutos, ya que en tal caso ésta podría ser entendida como análoga a la revocación del consentimiento que, no constituye la base jurídica legitimadora del tratamiento.
Cuando se recaban datos de los ciudadanos vinculados a un trámite concreto a través de los diferentes formularios disponibles en las sedes electrónicas de las Administraciones Públicas, la administración actuante, en aplicación del principio de transparencia, deberá informar al ciudadano sobre los datos que van a ser consultados o verificados para la resolución del trámite en cuestión así como la posibilidad de ejercer sus derechos en materia de protección de datos, entre ellos el de oposición, a que se lleve a cabo la consulta a través de las plataformas de intermediación, facilitando los mecanismos para que motive su decisión así como para que aporte la documentación requerida que ya obrase en poder de la Administración actuante o que hubiera sido elaborada por otra y a cuya consulta se opone, no siendo válida una oposición de forma absoluta y sin justificación motivada, pues en ese supuesto no podría estimarse la solicitud.
De igual manera, y de acuerdo con la Disposición adicional octava de la LOPDGDD, la administración actuante queda facultada, en el ejercicio de sus competencias, a realizar las verificaciones que resulten necesarias para comprobar la exactitud de los datos aportados por el ciudadano en las solicitudes formuladas.
Se excepciona el ejercicio del derecho de oposición cuando la consulta o solicitud de datos por parte de la Administración en el marco del ejercicio de potestades sancionadoras o de inspección, en cuyo caso el ciudadano no podrá impedir, a través de su oposición, que la Administración actuante consulte o recabe la documentación que precise.
Sólo en los casos en que, como consecuencia del tipo de trámite, pueda ser necesaria la consulta, la cesión o comunicación de datos de naturaleza tributaria o de algún otro tipo cuya legislación específica regule la necesidad de un consentimiento expreso por parte del interesado, será necesario incluir una cláusula en la que el interesado autorice su consulta por parte de la administración actuante a la administración cedente de los datos responsable de estos.
En procedimientos de concurrencia competitiva. ¿un aspirante que alega su condición de víctima de violencia de género se puede oponer a que sus datos aparezcan publicados?
Como recomendaciones adecuadas para el tratamiento de datos que supone la publicación de información personal en procesos selectivos, pueden considerarse las siguientes:
- La publicación deberá realizarse de manera que no suponga un acceso indiscriminado a la información. Se recomienda que se realice en la intranet del Organismo (con acceso restringido a los interesados en el procedimiento en cuestión).
- Cuando la normativa específica prevea la publicación en su página web en abierto, se aconseja facilitar la no indexación por los motores de búsqueda añadiendo los documentos al protocolo robots.txt
- La transparencia afecta exclusivamente a los admitidos o excluidos, deviniendo la exposición de datos desproporcionada cuando dichos datos resultan visibles para todo el mundo, pues no es necesario para la finalidad de publicidad y transparencia que estos lo conozcan
- El acceso por cualquier persona a los datos resulta invasivo, y es contrario al principio de minimización en el tratamiento de estos.
- Cuando hayan transcurridos los plazos de posibles impugnaciones, deberían retirarse los documentos publicados, sin perjuicio de la conservación por la Unidad de la correspondiente documentación acreditativa.
- No se debe publicar información que ponga de manifiesto una situación personal, familiar o social (capacidad económica, situación de riesgo de exclusión, o cualquier otra circunstancia similar), salvo que sea estrictamente necesaria para garantizar la transparencia de la actividad relacionada con el funcionamiento y control de la actuación pública o venga expresamente dispuesto en norma de rango legal, en cuyo se hará utilizando códigos o identificadores.
- Cuando la publicación se refiera a una pluralidad de afectados se deberá observar el principio de minimización de datos en el sentido previsto en la Orientación para la aplicación provisional de la Disposición Adicional Séptima de la Ley Orgánica 3/2018
En todo caso, la aplicación de las previsiones de la Disposición Adicional Séptima de la LOPDGDD corresponde a la Administración responsable del acto administrativo cuya publicación se pretende.
Por último, se señala que, hasta la fecha, no han sido definidos procedimientos de publicación y notificación de actos administrativos a fin de prevenir riesgos para víctimas de violencia de género.
En este punto podemos recordar que hay casos especiales en los que las subvenciones y ayudas públicas no deberán publicarse:
- No serán publicadas las subvenciones concedidas cuando la publicación de los datos del beneficiario pueda ser contraria al respeto y salvaguarda del honor y a la intimidad personal o familiar de las personas físicas en virtud de lo establecido en la Ley Orgánica 1/1982, de 5 de mayo, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen. (art. 20.8.b Ley de Subvenciones).
- No se publicarán las subvenciones cuando el propio objeto de la convocatoria proporcione información o datos especialmente protegidos de los beneficiarios o relativos a las categorías especiales de datos relacionados en los artículos 9 y 10 del RGPD (art. 7.5.a Real Decreto 130/2019, de 8 de marzo, por el que se regula la Base Nacional de Subvenciones y la publicidad de las subvenciones y demás ayudas públicas).
- No se publicarán las subvenciones o ayudas públicas concedidas a personas físicas cuando la persona se encuentre en una situación de protección especial que pueda verse agravada con la cesión o publicación de sus datos personales, en particular, cuando sea víctima de violencia de género o de otras formas de violencia contra la mujer (art. 7.5.b Real Decreto 130/2019)
Se puede consultar el informe del Gabinete Jurídico de esta AEPD, sobre la publicación de los datos personales de aspirantes que participan por el turno de discapacidad en procesos selectivos, disponible en el siguiente enlace:
¿Es lícito tramitar una denuncia de carácter administrativo basándonos en la captación de imágenes de cámaras instaladas para la con fines de control, regulación, vigilancia y disciplina del tráfico?
El artículo 7 de la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana, dispone que “Todas las autoridades y funcionarios públicos, en el ámbito de sus respectivas competencias y de acuerdo con su normativa específica, deberán colaborar con las autoridades y órganos a que se refiere el artículo 5, y prestarles el auxilio que sea posible y adecuado para la consecución de los fines relacionados en el artículo 3. Cuando, por razón de su cargo, tengan conocimiento de hechos que perturben gravemente la seguridad ciudadana o de los que racionalmente pueda inferirse que pueden producir una perturbación grave, estarán obligados a ponerlo inmediatamente en conocimiento de la autoridad competente”
Por su parte, la Ley de Enjuiciamiento Criminal aprobada por Real Decreto de 14 de septiembre de 1882, establece en su artículo 259 relativo a la obligación de denunciar que “El que presenciare la perpetración de cualquier delito público está obligado a ponerlo inmediatamente en conocimiento del Juez de instrucción, de paz, comarcal o municipal, o funcionario fiscal más próximo al sitio en que se hallare...”
A su vez el artículo 262 de la misma Ley relativo a la obligación de denunciar hechos conocidos por razón del cargo, profesión u oficio, señala que, “Los que por razón de sus cargos, profesiones u oficios tuvieren noticia de algún delito público, estarán obligados a denunciarlo inmediatamente al Ministerio Fiscal, al Tribunal competente, al Juez de instrucción y, en su defecto, al municipal o al funcionario de policía más próximo al sitio, si se tratare de un delito flagrante”
En consecuencia, aunque la finalidad de las cámaras de vigilancia sea la relativa al control del tráfico, constituye una conducta obligada la denuncia de la comisión de cualquier delito visionado o grabado por dichas cámaras, por lo que dicha actuación, así como la utilización de las grabaciones como medio de prueba vendría legitimada en lo previsto tanto en la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana como en la Ley de Enjuiciamiento Criminal.
En los sistemas de firma electrónica los empleados públicos, ¿El DNI debe figurar entre los datos que permitan identificar al empleado público actuante?
Tratándose del uso de sistemas de firma electrónica por parte de los empleados públicos, no siendo el DNI/NIE/NIF un dato que deba legalmente figurar en los actos administrativos, el mismo no debería figurar ni en los certificados electrónicos ni en la firma electrónica, garantizándose en todo caso que no se tiene conocimiento del mismo a través de los sistemas de código seguro de verificación, pudiendo optarse, entre otros posibles sistemas de identificación adicionales, por otros números de identificación, por el reflejo del cargo/departamento en que se encuadra el empleado público o, incluso, por la ampliación de los supuestos de uso de seudónimo, atendiendo a la actividad pública desarrollada, posibilidad que ahora abre la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza en el apartado 1 de su artículo 6.
De este modo se estaría dando cumplimiento al principio de minimización de datos, estableciéndose las garantías adecuadas por el legislador conforme al citado artículo 87 del RGPD, debiendo modificarse en este sentido la normativa nacional reguladora del uso de la firma electrónica en el ámbito de los certificados emitidos para el personal al servicio de la Administración General del Estado y de sus organismos públicos vinculados o dependientes. En este contexto, sería igualmente deseable la adopción de un perfil de certificado con seudónimo común que, cumpliendo los requisitos exigidos para los certificados cualificados, establezca como identificador un número de identificación profesional construido en base a una misma regla de codificación aplicable a toda la Administración General del Estado y sus organismos públicos dependientes.
Sobre esta cuestión se puede consultar el siguiente informe:
Cuando el denunciado solicita datos del denunciante en un procedimiento administrativo
Si a finalidad perseguida es la de ejercitar reclamaciones judiciales por responsabilidad contractual, extracontractual, derivada de hechos ilícitos ..., para lo que resultaría preciso conocer la identidad de la persona en cuestión a los efectos de dirigir contra él las acciones legales pertinentes; ya que en la tensión entre ambos derechos, si el derecho fundamental al acceso a la justicia y a la tutela judicial efectiva (ver artículo 24 de la Constitución) ha de prevalecer sobre el derecho a la protección de datos en el presente caso concreto, habida cuenta además de que la legislación establece como una carga procesal el acudir a la justicia para reclamar y ejercitar los derechos de los particulares, y dicha carga no podría cumplirse sin el conocimiento de frente a quién habrá de dirigirse la acción procesal.
Un departamento de Informática de una Administración Pública que presta servicios TIC a otros departamentos, ¿sería encargado o responsable del tratamiento?
Respecto a las unidades TIC que realizan actividades de tratamiento de datos personales y no tiene dependencia orgánica de del responsable, el artículo 33.5 de la LOPDGDD, recoge una previsión ya comúnmente aceptada y reiteradamente sostenida en diversos dictámenes de la Agencia Española de Protección de Datos, cual es que en el ámbito del sector público la designación de encargado del tratamiento podrá derivar de una norma que determine las competencias de un determinado órgano u organismo que preste sus servicios en un ámbito concreto; en estos casos, la propia norma reguladora del órgano u organismo podrá servir para atribuir la condición de encargado del tratamiento e incorporar los contenidos que resulten necesarios para delimitar su ámbito de actuación, siempre que cumpla con los requisitos previstos en el artículo 28.3 del RGPD.
En cuanto al contenido mínimo que señala el Reglamento y en base a la interpretación que viene manteniendo esta Agencia, puede interpretarse lo siguiente:
- Si se instrumentaliza a través de un Convenio, supone la concertación del acuerdo por escrito, estableciendo expresamente el tratamiento según las instrucciones del responsable, para las finalidades previstas, prohibiendo cualquier comunicación de los datos y previendo la destrucción de los datos una vez resuelto el convenio.
- Si se trata de un caso particular, en el que la prestación de servicios de tratamiento de datos – en este caso, prestar soporte informático – deriva del propio ordenamiento jurídico, porque la propia normativa atribuye a las Unidades TIC estas funciones y competencias, que no inciden en el poder decisorio sobre la finalidad, contenido y uso de los datos, sino que fundamentalmente versan sobre la implantación y utilización de los sistemas de información para que sean utilizados por los órganos y organismos correspondientes. En este supuesto, la atribución de funciones y competencias a la Unidad TIC en virtud de (por ejemplo), un Real Decreto supone ya la existencia de un contrato de encargo de tratamiento, sin que por tanto sea necesaria la celebración de contratos específicos para cada órgano u organismo en los términos del art. 28.3 del RGPD. Y decimos esto porque en virtud de la atribución competencial que se pueden cumplir ya todos los requisitos establecidos en dicho artículo 28.3, teniendo en cuenta las normas generales del derecho administrativo.
Alcance de la información a publicar de los convenios que suscriba la Administración en cumplimiento de las previsiones de la normativa de transparencia
El artículo 8.1 b) de la Ley 19/2013 de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, impone a los sujetos incluidos en el ámbito de aplicación de su Título I, dentro de las obligaciones relacionadas con el principio de publicidad activa, la obligación de hacer pública, como mínimo, “la relación de los convenios suscritos, con mención de las partes firmantes, su objeto, plazo de duración, modificaciones realizadas, obligados a la realización de las prestaciones y, en su caso, las obligaciones económicas convenidas”. Añade el precepto que “igualmente, se publicarán las encomiendas de gestión que se firmen, con indicación de su objeto, presupuesto, duración, obligaciones económicas y las subcontrataciones que se realicen con mención de los adjudicatarios, procedimiento seguido para la adjudicación e importe de la misma”.
En relación con estas obligaciones de información, ha de tenerse en cuenta que el artículo 5.3 de la Ley 19/2013 clarifica que “serán de aplicación, en su caso, los límites al derecho de acceso a la información pública previstos en el artículo 14 y, especialmente, el derivado de la protección de datos de carácter personal, regulado en el artículo 15. A este respecto, cuando la información contuviera datos especialmente protegidos, la publicidad sólo se llevará a cabo previa disociación de los mismos”.
Estos preceptos establecen como criterio mínimo de publicidad es la identificación de los firmantes de los Convenios y adjudicatarios de las encomiendas de gestión, toda vez que la identificación clara e inequívoca de tales personas coadyuvará a un adecuado conocimiento de la actividad de los órganos que celebren el convenio o encomienden la gestión de una determinada competencia, así como el adjudicatario de la misma para, en este caso, garantizar el cumplimiento en el procedimiento de adjudicación de los principios que deben regir la actividad de las Administraciones Públicas.
La difusión de los datos personales que pueda contener la información relativa a los procedimientos de contratación pública objeto de publicación en el perfil del contratante de acuerdo con los preceptos de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público (LCSP), deberá adecuarse, en cualquier caso, al principio de minimización de datos.
En el contexto de la contratación pública, lo que se hace imprescindible en términos de transparencia es la publicación de la identidad de las personas que han resultado ser adjudicatarias, incluido el resto de licitadores, de un contrato público, dado que de lo contrario no sería posible hacer un control eficaz del proceso de adjudicación del contrato y, por tanto, de la gestión de los recursos públicos (artículo 63.3 del LCPS). Y esto, hay que decir, con independencia de que se trate de personas jurídicas o personas físicas (caso de los empresarios individuales y profesionales liberales).
Resultando necesaria la publicación de esta información para alcanzar la finalidad de transparencia pretendida por la LCSP, se entiende que resultaría suficiente publicar el nombre y apellidos, sin añadir ninguna otra información identificativa.
La propia LCSP al prever la publicación de la resolución de adjudicación del contrato en el perfil del contratante, exige únicamente la difusión del nombre del adjudicatario (artículo 151.2.c)). Es decir, la publicación del número de DNI, NIF o documento identificativo equivalente de las personas afectadas, a efectos de transparencia, resultaría innecesaria y, por tanto, contraria al principio de minimización.
Se puede consultar las conclusiones alcanzadas en el criterio interpretativo conjunto CI/004/2015 del CONSEJO DE TRANSPARENCIA Y BUEN GOBIERNO y la AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS, a las obligaciones de publicidad activa impuestas por la LCSP que se encuentra disponible en el siguiente enlace:
Consideraciones para tener en cuenta en aplicación de la normativa de protección de datos, en la elaboración y aprobación de un Protocolo contra el acoso en el entorno de las Administraciones Públicas
Los datos personales relativos a las víctimas de acoso en el trabajo y a las mujeres supervivientes a la violencia de género, y en particular su identidad, tienen, con carácter general, la consideración de categorías especiales de datos personales y, en todo caso, son datos sensibles que exigen una protección reforzada.
Las Administraciones entidades tienen el deber de poner en marcha los mecanismos de actuación previstos en sus políticas de prevención del acoso, iniciando las actuaciones disciplinarias pertinentes contra los responsables de estas conductas.
Sobre estas cuestiones puede encontrar información en los siguientes enlaces:
https://www.aepd.es/prensa-y-comunicacion/blog/recomendaciones-prevencion-acoso-digital
https://www.aepd.es/documento/la-proteccion-de-datos-en-las-relaciones-laborales.pdf
Cuestiones referidas a la publicación de las actas de la Junta de personal a través del tablón sindical de la intranet de los empleados públicos
La Junta de personal, como órgano colegiado de representación del personal funcionario y siempre para el ejercicio de las funciones que la ley le atribuye, tendría derecho a conocer determinada información de que dispone la administración, que puede contener datos personales de los trabajadores. Ello, no obstante, la Junta de personal y sus miembros quedarán sometidos a la normativa de protección de datos con respecto al tratamiento posterior de la información personal obtenida en ejercicio de sus funciones (artículo 40 de la Ley del Estatuto Básico del Empleado Público la Ley 7/2007, EBEP).
En concreto, el artículo 41.3 del EBEP dispone que “Cada uno de los miembros de la Junta de Personal y ésta como órgano colegiado, así como los Delegados de Personal, en su caso, observarán sigilo profesional en todo lo referente a los asuntos en que la Administración señale expresamente el carácter reservado, aún después de expirar su mandato. En todo caso, ningún documento reservado entregado por la Administración podrá ser utilizado fuera del estricto ámbito de la Administración para fines distintos de los que motivaron su entrega.”
Por su parte, la Ley 19/2014, de 29 de diciembre, de transparencia, acceso a la información pública y buen gobierno (LTAIP), establece la obligación de difundir los convenios, los acuerdos y los pactos de naturaleza funcionarial, laboral y sindical (artículo 9.1.i)).
Con respecto a los datos de carácter personal que pudieran constar en las actas, la publicación o difusión sólo de la información identificativa de las personas que forman parte de la Junta de personal y la condición en que participan (representantes de los trabajadores de la sección sindical de que se trate) tampoco parecería que tuviera que plantear inconvenientes desde el punto de vista de la protección de datos. Su inclusión en el acta se adecuaría, por lo tanto, al principio de minimización de datos del artículo 5.1.c) del RGPD, de forma que los datos personales sean "adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados".
En consecuencia, la publicación de actas de órganos colegiados, como puede ser la junta de personal, la Ley 19/2013 no impone la publicación íntegra de las actas y por otra parte, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (artículo 18.1), no exige que las mismas incorporen expresamente las distintas manifestaciones efectuadas durante las deliberaciones de los órganos colegiados por sus miembros.
Respecto a la identificación personal del funcionario “que firman los escritos que son recibidos como contestación a nuestros escritos de petición de información o de queja” podemos señalar con carácter general que, la Ley 40/2015, establece como un deber de las Administraciones públicas, el de respetar en su actuación y relaciones, entre otros, el principio de transparencia, que debe regir igualmente en la actuación de los empleados públicos, de acuerdo con lo previsto en el artículo 52 del EBEP. Habida cuenta de dicho principio, se debe facilitar la identidad de las personas que prestan sus servicios en la Administración Pública a los ciudadanos que lo soliciten, sin perjuicio de situaciones excepcionales en las que dicha identificación pudiera no resultar procedente.
Además, el artículo 53.1.b) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, recoge, entre los derechos de los interesados en el procedimiento administrativo, el de "identificar a las autoridades y al personal al servicio de las Administraciones Públicas bajo cuya responsabilidad se tramiten los procedimientos".
¿Se puede publicar la identidad de los adjudicatarios, cuando son personas físicas, en la plataforma de contratación del sector público?
De acuerdo a tenor de lo dispuesto en el artículo 63.3 del Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público (LCSP), parece deducirse que, en el contexto de la contratación pública, lo que se hace imprescindible en términos de transparencia es la publicación de la identidad de las personas que han resultado ser adjudicatarias, incluido el resto de licitadores, de un contrato público, dado que de lo contrario no sería posible hacer un control eficaz del proceso de adjudicación del contrato y, por tanto, de la gestión de los recursos públicos. Y esto, hay que decir, con independencia de que se trate de personas jurídicas o personas físicas (caso de los empresarios individuales y profesionales liberales).
Resultando necesaria la publicación de esta información para alcanzar la finalidad de transparencia pretendida por la LCSP, la cuestión principal se centra, desde el punto de vista de la minimización de datos, en determinar cuáles son los datos relativos a la "Identidad" de estos adjudicatarios y citadores que podrían ser objeto de difusión a tal efecto.
Y, en este sentido, se entiende que resultaría suficiente publicar el nombre y apellidos, sin añadir ninguna otra información identificativa.
La propia LCSP al prever la publicación de la resolución de adjudicación del contrato en el perfil del contratante, exige únicamente la difusión del nombre del adjudicatario (artículo 151.2.c)). Es decir, la publicación del número de DNI, NIF o documento identificativo equivalente de las personas afectadas, a efectos de transparencia, resultaría innecesaria, resultando de aplicación lo dispuesto en la disposición adicional séptima de la LOPDGDD relativa a la “Identificación de los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos”.