El ayuntamiento tiene previsto aprobar unas subvenciones en materia de animales de compañía. Uno de los criterios de valoración es la cantidad de animales entregados en adopción (gatos y perros) con origen en nuestra ciudad (0’10 puntos por cada animal hasta un máximo de 8 puntos). Para acreditar su cumplimiento se deberá justificar con la relación de adoptantes (nombre, apellidos, DNI y teléfono) sin perjuicio del cumplimiento de la normativa sobre protección de datos con la identificación. Se identificará también la procedencia del animal que se va a dar en adopción (calle, día y hora de la recogida del animal, así como su número de microchip en perros y el número de referencia del gato siempre que éste no tuviera microchip) dado en adopción.
Esa cesión de datos por parte de las asociaciones concurrentes al ayuntamiento para justificar el citado criterio, ¿podría suponer una vulneración en materia de protección de datos o sería un criterio valido a estos efectos?
El Reglamento General de Protección de Datos -RGPD-, se aplica al tratamiento, total o parcialmente automatizado, de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
Dato personal se define como “toda información sobre una persona física identificada o identificable (el interesado); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.”
Por ello, está claro que se aplica la normativa de protección de datos a la comunicación del nombre, apellidos, DNI y teléfono de los adoptantes por parte de las asociaciones que deseen concurrir a la subvención objeto de esta consulta.
Dicho lo anterior, para que la entrega de los datos personales referenciados en el párrafo anterior al ayuntamiento sea conforme con la normativa de protección de datos debe poder fundamentarse en una de las bases legitimadoras recogidas en el art. 6.1 RGPD.Dichas bases legitimadoras son las siguientes:
En el ámbito de la administración local, la base jurídica que legitima los tratamientos suele ser, con carácter general, el cumplimiento de una tarea en interés público o el ejercicio de poderes públicos, así como el cumplimiento de una obligación legal. En ambos casos, debe existir una previsión normativa con rango de ley que justifique el tratamiento de los datos.
Tratándose de una subvención otorgada por un ayuntamiento, resultará de aplicación a la misma lo dispuesto en la Ley 38/2003, de 17 de noviembre, General de Subvenciones -LGS-, en virtud de lo dispuesto en su art. 22.1 que establece:
El art. 23 LGS establece el procedimiento de iniciación de las subvenciones en régimen de concurrencia competitiva, indicando, en su apartado 2 que:
Por su parte, el apartado 3 del art. 28 determina que:
También es importante destacar el art. 17 LGS que determina las bases reguladoras de la concesión de las subvenciones, estableciendo su número 2 que “Las bases reguladoras de las subvenciones de las corporaciones locales se deberán aprobar en el marco de las bases de ejecución del presupuesto, a través de una ordenanza general de subvenciones o mediante una ordenanza específica para las distintas modalidades de subvenciones.”Y en su número 3 señala que:
De este modo, si la convocatoria de la subvención y las bases establecieran como requisito para la obtención de la subvención el conocimiento de la documentación referida a los adoptantes, podría considerarse amparada la comunicación de los datos en lo dispuesto en los mencionados preceptos, en relación con el art. 6.1.e) RGPD, que recoge como base legitimadora el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, al existir una norma con rango de Ley (LGS) que justifica este tratamiento de datos.
No obstante, para que ello fuese posible sería asimismo necesario que la exigencia de los datos concretos de adoptantes cumpliese el principio de minimización (principio proporcionalidad), previsto en el art. 5.1.c) RGPD, que señala “los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”. De este modo, para que la cesión fuese conforme con la normativa de protección de datos sería necesario que el conocimiento de los datos referidos a los adoptantes fuera imprescindible para la obtención de la subvención. En conclusión, la cesión a la que se refiere la consulta resultará conforme a lo dispuesto en el RGPD en caso de que las bases y convocatoria de la subvención establezcan la necesidad de aportar esta información y los concretos datos solicitados por el ayuntamiento sean necesarios para que pueda valorarse el cumplimiento de los requisitos necesarios para dicha obtención.
1ª. La entrega del nombre, apellidos, DNI y teléfono de los adoptantes por parte de las asociaciones que deseen concurrir a la subvención objeto de esta consulta se considera una cesión de datos personales.
2ª. Para que dicha cesión de datos sea conforme con el RGPD debe poder aplicarse una de las bases legitimadoras de su art. 6.
3ª. En el presente caso, la cesión resultará conforme a lo dispuesto en el RGPD en caso de que las bases y convocatoria de la subvención establezcan la necesidad de aportar esta información y los concretos datos solicitados por el ayuntamiento sean necesarios para que pueda valorarse el cumplimiento de los requisitos necesarios para dicha obtención, dado que aplicaría la base legitimadora recogida en el art. 6.1.e)“Cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento”, al existir una norma con rango de Ley (LGS) que habilita dicho tratamiento.