FOIA 2000 vs. GDPR. Un análisis de las legislaciones sobre privacidad
Gracias a la Regulación General de Protección de Datos del 2018 y la Ley de Libertad de Información del 2000, las personas tienen derecho a acceder a la información. Estas regulaciones establecen la necesidad de una gestión adecuada de los datos por parte de las organizaciones y permiten la divulgación de información dentro de un plazo establecido constitucionalmente. El incumplimiento de estas leyes puede dar lugar a mala publicidad, acciones judiciales y severas sanciones.
Regulación General de Protección de Datos (GDPR)
La GDPR impone una responsabilidad legal a las instituciones que manejan datos privados para garantizar que:
- Se procesen de forma legal y equitativa.
- Se obtengan por motivos específicos, manifiestos y lícitos.
- Sean precisos y estén actualizados.
- Estén protegidos contra la recuperación no autorizada o la pérdida involuntaria.
Acceso del interesado
La GDPR permite a los sospechosos y sus representantes legales, así como a los médicos, familiares de pacientes o empleados acceder a la información personal que las instituciones guardan sobre ellos. Esto abarca todo tipo de documentos, ya sea en papel o digital, conservado en redes o bases de datos, radiografías, fotos, tarjetas hospitalarias y correos. Las solicitudes laborales pueden incluir el acceso a datos sobre los empleados o información sobre su campo. El plazo para responder a una solicitud de información es de un mes (30 días).
La Ley de Libertad de Información del 2000
La Ley de Libertad de Información pretende mejorar la transparencia y la responsabilidad del sector público, lo que implica a instituciones del Gobierno, juntas, clínicas, profesores y fuerzas del orden. La ley concede a los ciudadanos la oportunidad de acceder a información en poder de las instituciones para que estos puedan conocer cómo las entidades llevan a cabo sus funciones, cuáles son sus procedimientos de toma de decisiones y cómo se utilizan los fondos públicos.
Las Regulaciones de Información Medioambiental, junto a la Ley de Libertad de Información otorgan al público la capacidad de solicitar la información relativa al medio ambiente que cualquier organización tenga en su poder.
Los siguientes son ejemplos de solicitudes que han recibido las organizaciones en materia de libertad de información:
- acceso a información sobre reclamaciones de gastos
- formularios y tarifas de contratos
- importe y justificación del cese de actividades
- acceso a datos sobre el cumplimiento de la normativa europea sobre tiempo de trabajo
- datos relativos al grado de cooperación de una organización en relación con las demandas de libertad de información
Al igual que las de la GDPR, las solicitudes de la FOIA también tienen un plazo contractual. Una vez que la institución implicada recibe la solicitud, cuenta con 20 días hábiles para disponer de los datos. Es imprescindible que, una vez obtenida la solicitud, se remita inmediatamente al Departamento de Libertad de Información.
Diferencias entre la FOIA y la GDPR
La FOIA abarca la información almacenada por las instituciones públicas y no exige información privada sobre la persona que presenta la solicitud. La FOIA se limita a permitir el acceso a la información de dominio público.
La GDPR, por su parte, salvaguarda la información privada. Esto ofrece a todos el derecho constitucional de acceder a los datos recogidos sobre ellos (a través de una Solicitud de Acceso del Interesado) y, en ciertas situaciones, permite disuadir a otros individuos de ver, usar o almacenar determinada información personal.
Para garantizar la seguridad de los datos, la FOIA no permite al público recuperar información cuyo acceso esté prohibido en virtud de la GDPR. Cuando se soliciten datos personales de otro individuo, la demanda se abordará con arreglo a las normas de la FOIA, pero se utilizarán las directrices de la GDPR para establecer si los datos pueden divulgarse. Si la divulgación de la información infringe las condiciones de la GDPR, la solicitud será denegada.
¿Cómo afecta la GDPR a la FOIA?
El artículo 40 de la FOIA la vincula con la Ley de Protección de Datos de 1998 (DPA), legislación sustituida por la GDPR. Existe, además, un impacto colateral porque en virtud de la GDPR, organizaciones como las instituciones públicas están obligadas a registrar su adhesión, lo que las hace elevar su transparencia con el público.
Si se examina más detenidamente el artículo 40 de la FOIA, se descubre que las excepciones relativas a los datos personales obedecen a los dos siguientes motivos:
- Cuando una persona presenta una solicitud de la FOIA relativa a su información personal, esta debe considerarse como una solicitud de acceso de un interesado como aparece contemplado en la DPA (Sección 40(1) FOIA).
- Si la respuesta a una solicitud de la FOIA revela información privada perteneciente a terceros y por tanto, la divulgación de dicha información es contraria a los valores fundamentales de la DPA (Sección 40(2) FOIA), será necesario analizar si se produciría una violación de la privacidad de los datos personal al divulgar dicha información.
Por su parte, las autoridades gubernamentales están obligadas a familiarizarse con las normas actuales de la GDPR relativas a las solicitudes de acceso de los interesados y remitirse a ellas. Por otra parte, la introducción de la GDPR ha aumentado la incertidumbre en cuanto a la tramitación del tipo de solicitud de la FOIA en la que se ven afectados los datos de diferentes individuos.
¿Cómo promueve la GDPR la rendición de cuentas?
La GDPR se centra más en la transparencia y la rendición de cuentas que su predecesora, la Ley de Protección de Datos (DPA). La GDPR obliga a los organismos gubernamentales a ser más abiertos y responsables con el público. El objetivo fundamental de la FOIA es permitir a cualquier ciudadano obtener acceso a cualquier dato almacenado por un organismo público. Salvo determinadas excepciones, cualquier registro conservado por un organismo público debe divulgarse en el marco de la FOIA. Esto incluye todos los registros conservados por un organismo en relación con su cumplimiento con la ley de protección de datos. Si la persona que solicita los datos pide información sobre los métodos de seguridad de datos de un organismo público, puede ser difícil responder a estas solicitudes de la FOIA si la divulgación de dichos registros incumple con la GDPR, o peor aún, si el interesado sugiere que no se han tomado medidas para proteger los datos, especialmente cuando no hay registros que divulgar. En la esfera pública, el incumplimiento de lo normado por la GDPR puede acarrear a los organismos públicos críticas y pérdida de la reputación.
Un ejemplo de las estipulaciones actualizadas en materia de transparencia se encuentra en el artículo 30 de la GDPR, donde exige que las instituciones mantengan registros de las operaciones de procesamiento de datos. Se espera que cada organización registre claramente los datos siguientes:
- identidad y datos de contacto del responsable de procesamiento (persona encargada del mantenimiento de registros y del procesamiento), del representante del responsable del procesamiento y del responsable de la protección de datos
- resumen de los motivos de la recogida de información privada
- clasificación de los tipos de interesados y grupos de datos personales
- grupos de usuarios a los que se comunicará la información personal, incluidos terceros y organismos internacionales
- los plazos propuestos para la eliminación de las distintas categorías de datos
- resumen de las medidas tecnológicas e internas de protección de la privacidad adoptadas por la organización para garantizar la seguridad de los datos privados (Los interesados pueden obtener una copia de dicho documento. Se espera que las autoridades públicas publiquen la información solicitada a menos que exista una razón de peso para no divulgar tales datos.)
No sólo es necesario llevar un registro de la actividad de procesamiento de la información, sino que también es vital que los pormenores del procesamiento estén debidamente documentados y que se cumpla con la normativa de protección de datos. Por ejemplo, en la documentación registrada de la declaración de privacidad del organismo público, la explicación de los motivos por los que se recogen los datos personales debe figurar. De no ser así, la autoridad pública podría ser justamente culpada de no ser franca y abierta sobre cómo maneja los datos personales.
Además, las instituciones públicas están obligadas a registrar cualquier violación de los datos personales (Artículo 33, Apartado 5 de la GDPR), lo que incluye todos los detalles relativos a la violación de los datos, sus consecuencias y las medidas adoptadas para corregir el problema. Este informe se convierte en “información registrada” para los organismos públicos y, por tanto, puede divulgarse en virtud de la FOIA. Si el registro muestra infracciones repetidas, la exposición de una lista registrada de dichas violaciones de datos puede contribuir a una exposición más amplia de las deficiencias en materia de protección de datos.
Conclusión
En conclusión, desde la implementación de la GDPR en mayo de 2018, parece que los organismos públicos han experimentado dificultades preliminares específicas con respecto a la aplicación de la exención del Artículo 40 (2) cuando los datos solicitados incluyen información personal perteneciente a un tercero. El fundamento de intereses legítimos del que solían depender las autoridades públicas para excusar la divulgación de información personal ya no es relevante. Por tanto, la FOIA ha dificultado a los organismos públicos la divulgación de información privada.
Además, teniendo en cuenta que el objetivo principal de la FOIA es: “Aumentar la transparencia de los organismos públicos, haciendo que sus procedimientos operativos y procesos de toma de decisiones sean transparentes para la población.”, no hay forma de que las organizaciones públicas eviten sus responsabilidades con respecto a dicha ley. Esta transparencia se aplica ahora también al cumplimiento de la GDPR, que exige expresamente que determinados documentos estén en regla y se clasifiquen como “información registrada”. Actualmente no hay excusa para el incumplimiento de las normativas de la FOIA por parte de las organizaciones públicas.