Recientemente se ha publicado por parte de la Autoridad Catalana de Protección de Datos (APDCAT) una Guía específica para Colegios Profesionales en la que se establecen los puntos más destacables en materia de protección de datos en relación con los Colegios Profesionales. Indudablemente los Colegios Profesionales tienen que recabar datos personales para el ejercicio de sus funciones y con esta Guía se pretende mejorar la comprensión y el cumplimiento de la normativa vigente, generando un efecto multiplicador de la garantía de los derechos de las personas afectadas.
Antes de entrar en su análisis, con carácter previo, hay que tener en cuenta que los Colegios Profesionales, tal y como establece el artículo 1.1 de la Ley 2/1974, de 13 de febrero, sobre Colegios Profesionales, son corporaciones de Derecho Público, amparadas por la Ley y reconocidas por el Estado, con personalidad jurídica propia y plena capacidad para el cumplimiento de sus fines.
A pesar de calificarse como corporación de Derecho Público, es necesario tener presente que puede ejercitar funciones de naturaleza jurídico-privada. Esto se produce como consecuencia de la liberalización del ejercicio de diferentes profesiones tituladas que pone en jaque el significado jurídico de los Colegio Profesionales. No obstante, estas entidades colegiales se originan por el poder público y no a instancia de los colegiados. Precisamente es el interés de la sociedad en el mantenimiento de una adecuada calidad en los servicios prestados el que fundamenta la intervención del poder público.
Como decíamos, los Colegios Profesionales ofrecen un componente privado pues carecen de las potestades y privilegios que caracterizan a los entes públicos. Todo ello conforma un complejo régimen jurídico no uniforme que lleva a hacernos las siguientes preguntas:
¿Qué régimen ha de aplicarse a los Colegios Profesionales en materia de protección de datos?
Efectivamente dependerá si el Colegio está actuando en el ejercicio de funciones públicas o, por el contrario, en el ejercicio de funciones privadas.
Correlativamente, ¿cómo se puede determinar si la finalidad de un tratamiento está vinculada al ejercicio de funciones públicas o privadas?
Con carácter general, en el caso de que la finalidad se pueda incluir dentro de alguna de las funciones públicas que les atribuye la Ley 7/2006, de 31 de mayo, del ejercicio de profesiones tituladas y de los colegios profesionales u otra normativa, revestirá dicha naturaleza. Esta Guía establece como ejemplo de tratamiento de naturaleza pública, la gestión de los datos personales que se incorporan y se recogen con vistas al procedimiento de incorporación en el colegio como colegiados. Otras de las funciones públicas que se mencionan son el ejercicio de la potestad disciplinaria de los colegiados; promover y facilitar la formación continua de las personas colegiadas; aprobar sus presupuestos, regular y fijar las aportaciones de los colegiados o las cuestiones relativas al visado de éstos.
Por el contrario, en el caso de que las actividades que impliquen tratamiento no estén reguladas como funciones públicas en el colegio que corresponda, la Guía mantiene que, de forma residual, hay que considerarlas de naturaleza privada. Como funciones privadas podemos citar la gestión del cobro de las remuneraciones y de los honorarios profesionales a petición de las personas colegiadas; la intervención, por vía de mediación o de arbitraje, en los conflictos profesionales entre personas colegiadas o entre éstas y terceras personas; o fomentar y prestar servicios en interés de las personas colegiadas y de la profesión en general.
¿Cómo afectará el régimen aplicable en el tratamiento de los datos personales?
Es importante tener en cuenta que, en algunos aspectos previstos en la normativa de protección de datos, el régimen aplicable puede depender de si el colegio está actuando en ejercicio de funciones públicas o funciones privadas, como por ejemplo a la hora de determinar muchos aspectos destacados como, por ejemplo, la determinación de la base jurídica aplicable, la obligación de incorporar un tratamiento al inventario de actividades de tratamiento, la posibilidad de ejercer el derecho a la portabilidad, el régimen sancionador al que quedará supeditado o, entre otras, la aplicación del Esquema Nacional de Seguridad tratado ya con anterioridad en un interesante artículo del Blog.
Una vez fijados los puntos necesarios para conocer la ordenación y naturaleza del régimen jurídico de los Colegios Profesionales, entramos a analizar otras claves y orientaciones que establece la Guía para que los Colegios Profesionales se adecuen al cumplimiento del Reglamento 2016/679 General de Protección de Datos (en adelante, RGPD) y a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantías de los Derechos Digitales (en adelante, LOPDGDD).
El documento se estructura en 10 capítulos, que incluye, además de un compendio de los aspectos más relevantes de la normativa de protección de datos, un conjunto de preguntas y respuestas.
A lo largo de la Guía se manifiesta que un cumplimiento general de la protección de datos implica que los Colegios Profesionales deben ajustarse a los principios recogidos en el artículo 5 del RGPD. Asimismo, establece una serie de puntos con los que se debe tener una cuidadosa observancia:
- Concretar la finalidad del tratamiento.
- Identificar la base jurídica del tratamiento.
- Tratar y utilizar únicamente los datos necesarios para alcanzar la finalidad.
- Establecer garantías adecuadas en la prestación de servicios por cuenta del colegio profesional que implique tratamiento de datos personales.
- Atender los derechos de las personas afectadas.
- Cumplir con las obligaciones que prevé el RGPD.
- Adoptar otras medidas proactivas para garantizar los derechos y libertades de los afectados, en su caso.
- Velar por la conservación adecuada de los datos.
Se desprende de estos puntos que los Colegios Profesionales han de cumplir las obligaciones establecidas con carácter general en materia de protección de datos. Es decir, se deben regular las relaciones jurídicas con terceros que sean prestadores de servicios con acceso a datos a través de la herramienta de los contratos, convenios u otro tipo de instrumento jurídico previsto a tal efecto. Asimismo, debe cumplirse de forma rigurosa con el principio de información, tanto en el momento de la recogida de datos como en su tratamiento.
Además, deben adoptarse las medidas de seguridad más adecuadas al régimen de los Colegios, atender los ejercicios de derechos que se planteen, así como realizar evaluaciones de impacto en caso de que se produzcan situaciones de riesgo elevado o que concurran los supuestos regulados y sugeridos por parte de las Agencias correspondientes. En este último caso la Agencia Española de Protección de Datos ha creado un modelo de informe de evaluación de impacto con el contenido imprescindible que debe reflejarse.
Estas obligaciones generales también se materializan en la exigencia de desplegar políticas de privacidad basadas en análisis de riesgos. A este respecto, ¿qué metodología debe usarse para evaluar los riesgos? De acuerdo con la disposición adicional primera de la LOPDGDD, el Esquema Nacional de Seguridad determina las medidas de seguridad que hay que implantar para proteger los datos personales en las entidades del sector público. El Esquema Nacional de Seguridad únicamente exige el uso de métodos de análisis de riesgos con reconocimiento internacional sin citar ninguno en concreto. Entre otras, podemos destacar, la metodología Magerit. El Centro Criptológico Nacional ofrece varias herramientas que pueden ser útiles para la evaluación de riesgo.
A mayor abundamiento, los Colegios Profesionales tienen una serie de características que implican adecuación a otras obligaciones más específicas: se debe asignar un Delegado de Protección de Datos y elaborar un Registro de Actividades de Tratamiento que deberá ser publicado, normalmente, en el apartado de transparencia, en el caso de que las finalidades del tratamiento se relacionen con el ejercicio de funciones públicas, sin perjuicio de incluir el resto de actividades que impliquen tratamientos de datos por parte de la entidad colegial.
Pues bien, expuesto todo lo anterior y retomando uno de los principios básicos que todo Colegio Profesional debe cumplir, como es el de contar con una clara base legitimadora para fundamentar sus tratamientos de datos personales, nos hacemos la siguiente pregunta:
¿El consentimiento puede ser utilizado por los Colegios Profesionales como la base jurídica de los tratamientos de datos que llevan a cabo?
Con carácter general, tal y como establece la Guía, en el caso de que el Colegio Profesional actúe en el ejercicio de funciones públicas el consentimiento no sería la base jurídica en la que pueden ampararse los tratamientos de datos. En este caso, el ciudadano no siempre está en posición de poder negar su consentimiento de una manera libre. Por eso, normalmente la base jurídica es la relativa al cumplimiento de una misión de interés público o el ejercicio de poderes públicos. Por el contrario, este desplazamiento del consentimiento hacia otras bases jurídicas no ocurre cuando el Colegio ejercita funciones privadas. Algunos ejemplos en los que podría operar el consentimiento serían:
- La suscripción a un servicio ofrecido por el Colegio.
- La suscripción a su página web para recibir comunicaciones sobre determinados productos.
- La inscripción en una bolsa de trabajo, entre otros.
Por otro lado, y con la inclusión de las nuevas tecnologías como herramientas básicas de comunicación, ¿un colegio profesional puede, sobre la base jurídica del consentimiento, utilizar grupos de un servicio de mensajería instantánea para comunicarse con los colegiados?
Sí, siempre que, con respecto a las funciones públicas, los participantes tengan otros canales alternativos de comunicación con el Colegio para las finalidades previstas; es decir, que este servicio no se les imponga como única vía de comunicación. En todo caso, hay que contar con el consentimiento de todas las personas integrantes del grupo y velar porque el servicio cumpla con las medidas de seguridad adecuadas, teniendo en cuenta la finalidad de las comunicaciones para las cuales se utilizará.
Otro matiz es el relativo al acceso de terceros a datos personales de las personas colegiadas a través de la ventanilla única. A estos efectos la normativa que regula los Colegios Profesionales prevé, respecto a este acceso, que tienen que disponer de una ventanilla única en su página web, a través de la cual deben ofrecer información clara, inequívoca y gratuita sobre los aspectos como el acceso al registro de los colegiados donde aparecen nombre y apellidos del profesional colegiado, número de colegiación, títulos oficiales que posee, domicilio profesional y situación de habilitación profesional; el acceso al registro de sociedades profesionales que incluye determinada información personal como la identificación de los socios profesionales y no profesionales; y la identificación de las personas que se encargan de la administración y la representación, entre otros.
A colación de esta obligatoriedad, ¿qué información es necesario publicar en la ventanilla única o comunicar en caso de consulta, respecto de los colegiados no ejercientes (incluidos los casos de jubilación o invalidez) y los colegiados dados de baja o difuntos o de sus herederos?
El colegio puede publicar a través de la ventanilla única o comunicar a terceros la información tanto de profesionales ejercientes como de no ejercientes y concretamente: “el nombre y apellidos, número de colegiación, titulación, datos de contacto profesional (domicilio profesional, teléfono, dirección de correo electrónico, etc.) y situación de habilitación profesional. En cambio, no se pueden divulgar datos de las personas colegiadas dadas de baja ni de las personas herederas de un colegiado difunto”.
Como conclusión, esta Guía nos muestra las recomendaciones y claves que conlleva el riguroso cumplimiento al que quedan supeditados los Colegios Profesionales, no sólo de forma general, sino de forma específica atendiendo a su especial entramado. Nunca hay que olvidar que no atender a la normativa vigente de protección de datos, aunque sea por descuido o desconocimiento, puede acarrear sanciones. Para evitar esto, en una segunda parte del artículo se analizarán supuestos más específicos relevantes de los Colegios Profesionales en forma de preguntas y respuestas.
