may
2023

¿Puede el ayuntamiento solicitar a la universidad los datos académicos de candidatos a las elecciones municipales?


Planteamiento

Con motivo de las próximas elecciones municipales, están proliferando entrevistas en medios de comunicación comarcales en las que un candidato alardea de la titulación universitaria de algunos miembros de su lista electoral, existiendo dudas muy razonables sobre su veracidad. Ante esta situación, ¿podría el ayuntamiento solicitar información a la universidad sobre la titulación referida, sin atentar contra la normativa de protección de datos?

Respuesta

El Reglamento General de Protección de Datos -RGPD- se aplica al tratamiento, total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

Por su parte, dato personal se define como “toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.

Por ello, se aplica la normativa de protección de datos a la información que se pretende solicitar, ya que se trata de información sobre una persona física identificada.

Una vez aclarado el ámbito de aplicación del RGPD, hay que tener en cuenta que el responsable del tratamiento de los datos en cuestión es la universidad, por lo que la valoración sobre si la comunicación de los datos al ayuntamiento está legitimada es de su competencia.

Para que la entrega de la información sea conforme con la normativa de protección de datos debe, entre otras cuestiones, poder fundamentarse en una de las bases legitimadoras recogidas en el art. 6.1 RGPD. Dichas bases legitimadoras son las siguientes:

  • a) Consentimiento.
  • b) Ejecución de un contrato en el que el interesado es parte o aplicación a petición de este de medidas precontractuales.
  • c) Cumplimiento de una obligación legal aplicable al responsable del tratamiento.
  • d) Protección de intereses vitales del interesado o de otra persona física.
  • e) Cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
  • f) Satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero.

Por otro lado, aunque no sea objeto de consulta, cuestión diferente es el uso posterior que el ayuntamiento vaya a hacer de esos datos.

Si la universidad comunicase los datos personales al ayuntamiento, este se constituiría como responsable del tratamiento de los mismos, por lo que debe respetar los principios establecidos en el art. 5 RGPD. Estos principios implican que los datos personales deben ser:

  • a) Tratados de manera lícita, leal y transparente en relación con el interesado (principio de licitud, lealtad y transparencia);
  • b) Recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el art. 89.1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales (principio de limitación de la finalidad);
  • c) Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (principio de minimización de datos);
  • d) Exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan (principio de exactitud);
  • e) Mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el art. 89.1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado (principio de limitación del plazo de conservación);
  • f) Tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (principio de integridad y confidencialidad).

En cualquier caso, el responsable del tratamiento es responsable de cumplir con estos principios y ser capaz de demostrarlo (principio de responsabilidad proactiva).

En el ámbito de la Administración Local, la base jurídica que legitima los tratamientos suele ser, con carácter general, el cumplimiento de una tarea en interés público o el ejercicio de poderes públicos, así como el cumplimiento de una obligación legal. En ambos casos, debe existir una previsión normativa con rango de ley que justifique el tratamiento de los datos. No obstante, el tratamiento de los datos puede fundamentarse en alguna de las otras bases legitimadoras del tratamiento, en función del caso.

Esta cuestión está íntimamente relacionada la finalidad del tratamiento que realice el ayuntamiento. En este sentido, habría que valorar si los fines para los que son recabados son determinados, explícitos y legítimos, no pudiendo tratarse ulteriormente de forma incompatible.

Conclusiones

1ª. El responsable del tratamiento de los datos académicos de los miembros de la lista electoral es la universidad, a quien corresponde valorar y determinar si la comunicación de los datos personales en cuestión está legitimada o no.

2ª. Si finalmente se comunican los datos al ayuntamiento, este se constituiría como responsable del tratamiento, por lo que debe realizar el tratamiento de datos personales cumpliendo con la normativa en materia de protección de datos y, sobre todo respetando los principios establecidos en el art. 5 RGPD. En consecuencia, debe examinar, como mínimo, que concurra alguna de las bases legitimadoras del tratamiento del artículo 6 RGPD y que los fines del tratamiento sean determinados, explícitos y legítimos, no pudiendo ser tratados ulteriormente de manera incompatible con dichos fines.