Manual de Derecho administrativo
Revista de Derecho Público: Teoría y Método
pp. 709-733
Madrid, 2025
Marcial Pons Ediciones Jurídicas y Sociales
DOI: 10.37417/ManDerAdm/L28
© Isaac Martín Delgado
Editado bajo licencia Creative Commons Attribution 4.0 International License.
LECCIÓN 28
INFORMACIÓN Y DATOS
Isaac Martín Delgado
Universidad de Castilla–La Mancha
SUMARIO: 1. INTRODUCCIÓN: DATOS, INFORMACIÓN, CONOCIMIENTO.—2. DIMENSIÓN INTERNA: EL VALOR ESTRUCTURAL DE LA INFORMACIÓN EN PODER DEL SECTOR PÚBLICO: 2.1. Introducción: la información como medio; 2.2. Gestión documental y gobernanza de los datos; 2.3. Interoperabilidad.—3. DIMENSIÓN EXTERNA: EL VALOR INSTRUMENTAL DE LA INFORMACIÓN EN PODER DEL SECTOR PÚBLICO: 3.1. Servicios de información administrativa; 3.2. Publicidad y acceso a la información pública; 3.3. Reutilización de la información del sector público y apertura de datos.—4. LA PROTECCIÓN DE LA INFORMACIÓN Y LOS DATOS: 4.1. Seguridad; 4.2. Protección de datos de carácter personal.—5. BIBLIOGRAFÍA: 5.1. Bibliografía citada. 5.2. Bibliografía complementaria recomendada.
1. La Administración pública es una organización social que tiene encomendada constitucionalmente la misión de satisfacer el interés general (supra § 1.2). En tanto que organización (dotada además de personalidad jurídica propia) cada Administración —territorial o general o institucional, instrumental o especial (supra § 1.21)—, posee una serie de medios humanos y materiales para la realización de las funciones que le atribuye el ordenamiento jurídico: recursos económicos, personal, edificios, sistemas y aplicaciones informáticas, etc. Uno de los elementos fundamentales de los que se sirve para el ejercicio de sus competencias es la información que está en su poder o a su alcance. Esta información se plasma en documentos y en bases de datos, almacenados en formatos y soportes diferentes, que generan, a su vez, nuevos datos y nueva información útil para el desarrollo de las funciones administrativas. Desde esta perspectiva, los datos constituyen un recurso estratégico, más aún en el contexto de la transformación digital de nuestras organizaciones públicas.
2. El uso diligente de la información disponible como criterio determinante de la actuación administrativa es una de las manifestaciones del principio de buena administración (PONCE, 2001). Los datos son una herramienta imprescindible no sólo para la toma de decisiones administrativas con carácter general, sino también para la satisfacción de los principios generales que guían la actuación de la Administración pública —eficacia, buena administración, objetividad— e, incluso, en función de las circunstancias concurrentes, para el cumplimiento del principio de legalidad. Efectivamente, la toma de decisiones —cuando pretende ser racional y perseguir la certeza— se basa en datos y, cada vez con mayor insistencia, el ordenamiento jurídico exige de la Administración tareas de planificación y evaluación que requieren de una buena gestión de la información que está en su poder o a su alcance.
3. A nivel jurisprudencial, el Tribunal Supremo ha vinculado datos, procedimiento y derecho de buena administración en su Sentencia de 14 de abril de 2021, ECLI:ES:TS:2021:1387 precisando que “el derecho al procedimiento administrativo debido, que es corolario del deber de buena administración, garantiza que las decisiones administrativas (...) se adopten de forma motivada y congruente con el iter procedimental, sin incurrir en desviación del procedimiento, en la medida que se requiere que no haya discordancias de carácter sustancial entre los datos fácticos relevantes, la fundamentación jurídica obrante en el expediente y el contenido de la decisión administrativa”.
4. Por su parte, a nivel gubernamental, la Estrategia Nacional de Inteligencia Artificial (2020) contempla como uno de sus ejes estratégicos el desarrollo de plataformas de datos para dar soporte a la Inteligencia Artificial en el ámbito del sector público para implementar nuevos servicios a los ciudadanos; asimismo apuesta por la creación de la llamada Oficina del Dato con el fin de impulsar el uso de los datos para la mejora de los procedimientos administrativos, entre cuyas tareas se incluyen las siguientes: el establecimiento de las medidas necesarias para impulsar la compartición y uso de los datos públicos y privados, la creación de entornos para compartir de manera segura los datos de la Administración con las empresas y de estas con la Administración, así como de las empresas entre sí, de forma alineada y coordinada con las instituciones existentes que elaboran estadísticas oficiales. También se encarga del seguimiento de las tendencias en las estrategias europeas de datos y de cloud; y de invertir en la generación de “lagos de datos” sectoriales y la propuesta de mecanismos de gobernanza. Véase la Orden ETD/803/2020, de 31 de julio, por la que se crea la División Oficina del Dato y la División de Planificación y Ejecución de Programas en la Secretaría de Estado de Digitalización e Inteligencia Artificial. En mayo de 2024 se ha aprobado por parte del Gobierno de España una nueva Estrategia de Inteligencia Artificial 2024, en la que se incluye como iniciativa específica el establecimiento de un modelo de gobernanza común de datos.
5. Al mismo tiempo, la información en poder de las distintas Administraciones públicas posee valor para terceros ajenos a ellas y se vincula en algunos casos con la satisfacción de derechos e intereses reconocidos por el ordenamiento jurídico. La difusión de la información pública permite conocer cómo realizan sus funciones, en qué se gastan los fondos públicos, cómo se estructura la organización o por qué se adoptan determinadas decisiones (con quién licita un ayuntamiento o cuánto dinero se ha gastado Radiotelevisión Española en el último Festival de Eurovisión); junto con ello, el acceso a esa información tiene un carácter instrumental para el ejercicio de otros derechos e intereses (la elaboración de una noticia sobre la compra de mascarillas o el desarrollo de una investigación académica sobre el incumplimiento del Derecho de la Unión Europea por parte del Reino de España), alguno de los cuales está directamente vinculado a la oportuna gestión de esa información —como es el caso del derecho a no aportar datos y documentos en poder de las Administraciones públicas—. Es más, el valor de la información puede ser incluso económico, en tanto que resulta susceptible de reutilización con la finalidad de generar nuevos productos o servicios ofrecidos al mercado (aplicación para la búsqueda de casa que, junto con precio y características de las viviendas en venta o alquiler, ofrece información de los colegios cercanos, los últimos informes de inspección educativa sobre los mismos, el índice de criminalidad del barrio y la edad media de sus moradores) o para adoptar decisiones estratégicas (identificar necesidades de clientes para aumentar la competitividad).
6. Desde hace varios años la Unión Europea está impulsando estrategias y normativa para promover la apertura y compartición de datos a nivel público y privado. Destaca particularmente la conocida como Ley de Gobernanza de Datos (Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo de 30 de mayo de 2022 relativo a la gobernanza europea de datos), que pretende favorecer la innovación y la transformación digital basada en datos; la llamada Ley de Datos (Reglamento (UE) 2023/2854) del Parlamento Europeo y del Consejo, de 13 de diciembre de 2023, sobre normas armonizadas para un acceso justo a los datos y su utilización), por medio de la cual se establecen nuevas reglas para el uso de los datos generados a nivel de la Unión; y la Directiva de datos abiertos (Directiva (UE) 2019/1024 del Parlamento Europeo y del Consejo de 20 de junio de 2019, relativa a los datos abiertos y la reutilización de la información del sector público, cuya finalidad es explotar plenamente el potencial de la información del sector público para la economía y la sociedad a nivel europeo. A modo de marco conceptual de todas estas iniciativas, la Comisión Europea ha aprobado una Estrategia Europea de Datos para potenciar una economía de datos sobre la base de la mejora en los mecanismos e instrumentos de interoperabilidad, calidad, gobernanza e infraestructuras, sin olvidar la ciberseguridad. Y como primera aplicación práctica se ha publicado recientemente el Reglamento (UE) 2025/327 del Parlamento Europeo y del Consejo, de 11 de febrero de 2025, relativo al Espacio Europeo de Datos de Salud con el fin de con el fin de mejorar el acceso por parte de las personas físicas a sus datos de salud electrónicos personales y su control de dichos datos, en el contexto de la asistencia sanitaria, así como de alcanzar mejor otros fines para los que se necesite el uso de datos de salud electrónicos en el sector de la asistencia sanitaria y en el sector asistencial que beneficiarían a la sociedad, como, por ejemplo, la investigación, la innovación, la formulación de políticas, la preparación y respuesta ante las amenazas para la salud, incluidas la prevención y respuesta ante futuras pandemias, la seguridad de los pacientes, la medicina personalizada, las estadísticas oficiales o las actividades de regulación.
7. Precisamente por ello, puede afirmarse que la información, desde esta perspectiva, tiene dos claras dimensiones: interna y externa. La dimensión interna hace referencia a la gestión de la información en poder de la Administración —a efectos de archivo y de adopción de decisiones en el marco del procedimiento administrativo— y al intercambio de información entre Administraciones; la dimensión externa guarda relación con el acceso a la información pública por parte de los ciudadanos y empresas (interesados y terceros). Obviamente, ambas dimensiones están conectadas entre sí: una buena gestión documental favorece el uso instrumental de la misma para el cumplimiento de otras obligaciones y la satisfacción de otros derechos reconocidos por el ordenamiento jurídico.
8. Un claro ejemplo de ello es la incorporación de las obligaciones de transparencia previstas en la ley en el ciclo de vida de los documentos para satisfacer el derecho de acceso a la información pública y promover su reutilización desde el diseño de los sistemas de gestión documental, incluso de forma automatizada —transparencia por diseño— (CERRILLO y CASADESÚS, 2018).
9. Por último, debe tenerse presente que la información, por el valor estratégico que posee —interno y externo—, necesita de garantías; efectivamente, ha de estar protegida frente a injerencias e intromisiones contrarias a Derecho o frente a usos ilegítimos. La normativa de protección de datos de carácter personal y la normativa en materia de seguridad y ciberseguridad, principalmente, buscan garantizar la integridad de la información en poder de la Administración y evitar usos fraudulentos, teniendo en ambos casos muy presente el contexto tecnológico actual.
10. En definitiva, los datos, debidamente estructurados, generan información; y esa información permite crear conocimiento y aporta valor. La clave para comprender la relación inseparable entre las tres manifestaciones anteriormente expuestas —dimensión interna, dimensión externa y garantías— se encuentra en la propia definición de dato. Según el Diccionario de la Real Academia de la Lengua, por tal debe entenderse el “antecedente necesario para llegar al conocimiento exacto de algo o para deducir las consecuencias legítimas de un hecho”, así como “información dispuesta de manera adecuada para su tratamiento por un ordenador”. La existencia de ingentes cantidades de datos no equivale por sí misma a información; la mera difusión pública de esos datos no garantiza el conocimiento. Sólo cuando los datos en poder de las Administraciones públicas se estructuran, se comparten y se toman en consideración para la adopción de decisiones públicas podemos hablar verdaderamente de organizaciones “datacéntricas”; además, únicamente cuando se ponen a disposición de los ciudadanos y empresas para que éstos, de manera sencilla, puedan conocerlos y, en su caso, reutilizarlos, es posible hablar de acceso libre a la información. En uno y otro caso, el tratamiento informático es la clave para aprovechar al máximo su potencial y, al mismo tiempo, conocer sus vulnerabilidades o riesgos de uso fraudulento resulta imprescindible para proteger debidamente la información.
11. La importancia de los datos como elemento estructurante de la acción administrativa está hoy en día fuera de toda duda. La transformación digital de la Administración pública ha conducido a ampliar las posibilidades de tratamiento documental y, en particular, a situar el dato como herramienta fundamental para la elaboración de las políticas públicas, el ejercicio de las potestades administrativas y la satisfacción de los derechos de los ciudadanos. Más aún en un contexto, como el actual, de creciente incorporación de tecnologías disruptivas —en particular, la inteligencia artificial—, que se suma al crecimiento en la cantidad de datos disponibles, al incremento de la capacidad de computación y de almacenamiento, y al desarrollo de nuevas técnicas de explotación de los datos, todo ello a costes asequibles. En definitiva, los datos son considerados un activo digital fundamental de carácter estratégico.
12. Como señala muy gráficamente el Libro Blanco sobre la Inteligencia Artificial de la Comisión Europea, “sin datos, el desarrollo de la IA y otras aplicaciones digitales resulta imposible”. El Plan España Digital 2025 contempla como eje estratégico el relativo a la economía del dato en tanto que herramienta fundamental para la transformación digital, también de las Administraciones públicas. Dentro del eje transformación digital del sector público, se incluyen medidas como la simplificación de las relaciones con la ciudadanía, la digitalización de los servicios o la personalización de los servicios públicos digitales, todas las cuales precisan de la información como recurso previo. No en vano, el Plan de Digitalización de las Administraciones públicas 2021-2025, que integra la estrategia en materia de Administración digital y servicios públicos digitales, recoge como su primer eje estratégico la transformación digital de la Administración General del Estado; dentro del mismo incorpora como línea de actuación el impulso de la transparencia y de políticas basadas en datos, con diferentes medidas para la gestión y el intercambio transparente de información. En definitiva, se busca una Administración “guiada por datos” para un más eficaz diseño de políticas públicas y una mayor eficiencia en la prestación de servicios públicos.
13. Los datos son premisa imprescindible para la elaboración, diseño y evaluación de políticas públicas. Las diferentes estrategias que definen las Administraciones públicas en múltiples ámbitos sectoriales para canalizar su acción necesitan de información. La información también resulta esencial en la evaluación con el fin de mejorar la acción de gobierno, tarea que llevan a cabo no pocos órganos administrativos de naturaleza muy variada en ámbitos sectoriales tan distintos como el económico–financiero, el ambiental o el fiscal.
14. La Ley 27/2022, de 20 de diciembre, de institucionalización de la evaluación de políticas públicas en la Administración General del Estado, concibe la evaluación de políticas públicas como una política pública en sí misma y tiene por objeto estructurar el sistema público de evaluación de políticas públicas a nivel estatal con el fin de institucionalizar la evaluación como herramienta de aprendizaje colectivo y organizativo, de mejora del servicio público, rendición de cuentas y transparencia, contribuyendo a la eficacia y eficiencia de la acción pública. La norma define el dato en su artículo 2 como “la representación de una variable cualitativa o cuantitativa, que permite el conocimiento exacto de un hecho o sirve para deducir las consecuencias derivadas del mismo” y establece el deber de contar desde el diseño de las políticas públicas con indicadores —de realización, de resultados y de impacto— que faciliten su seguimiento y evaluación, incluyendo indicadores para la evaluación ex ante. La importancia de los datos es tal que su artículo 21 fija el deber de diseñar un plan de recopilación de datos coherente con la metodología definida en el diseño de la evaluación que contemplará, al menos, las fuentes de datos, el método y el instrumento de recopilación y la muestra. Desde el Instituto para la Evaluación de las Políticas Públicas se han publicado varias guías de evaluación de políticas públicas que tienen por objeto tanto la evaluación de diseños y resultados de políticas públicas como la elaboración de directrices y criterios para realizar tales evaluaciones.
15. De otro lado, la información legitima el ejercicio de las potestades administrativas y, en particular, de la potestad reglamentaria (supra § 16.57). Los principios de buena regulación y la calidad de las normas precisan de la información —a nivel interno y externo— para concretarse en la práctica. Al mismo tiempo, un buen uso de la información que está en poder de la Administración permite simplificar sus relaciones con los ciudadanos como concreción de los principios de buen gobierno y buena administración.
16. Por señalar un ejemplo, el artículo 66 de Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LPAC) permite que los sistemas normalizados de solicitud puedan incluir comprobaciones automáticas de la información aportada respecto de datos almacenados en sistemas propios o pertenecientes a otras Administraciones u ofrecer el formulario cumplimentado, en todo o en parte, con objeto de que el interesado verifique la información y, en su caso, la modifique y complete.
17. Destaca particularmente, desde esta doble perspectiva, la Ley aragonesa 1/2021, de 11 de febrero, de simplificación administrativa, cuyo objeto es establecer medidas de simplificación administrativa para promover la mejora de los procesos regulatorios, de gestión y la organización de la Administración de la Comunidad Autónoma de Aragón y su sector público. Entre los criterios de simplificación de procedimientos, agilización de trámites y reducción de cargas incorpora la supresión o reducción de la documentación requerida a los interesados y la reducción de datos exigibles para el ejercicio de derechos; junto con ello, crea la Plataforma de Gobernanza de Datos como espacio de gestión y compartición de los datos de los diferentes órganos que integran la Administración autonómica, interoperable con la Plataforma de Intermediación estatal. En esta misma línea, otras comunidades autónomas están promoviendo recientemente leyes de simplificación y agilización de la actividad administrativa con el fin de revisar y reducir las cargas administrativas y regular el uso de la tecnología (y, en particular, de la Inteligencia Artificial) para prestar un mejor servicio a los ciudadanos. Es el caso de la Comunidad Valenciana, con la Ley 6/2024, de 5 de diciembre, de simplificación administrativa, y de Andalucía, con el Decreto-ley 3/2024, de 6 de febrero, por el que se adoptan medidas de simplificación y racionalización administrativa para la mejora de las relaciones de los ciudadanos con la Administración de la Junta de Andalucía y el impulso de la actividad económica en Andalucía.
18. Es más, la información es recurso esencial para la satisfacción proactiva de los derechos y necesidades de los ciudadanos. Las tecnologías actualmente existentes y, en particular, la inteligencia artificial, permiten personalizar entornos y productos para adaptarse a las necesidades únicas del ciudadano; más en concreto, dado que la administración electrónica proactiva se basa en datos y es sensible al contexto para permitir una personalización profunda, anticipar necesidades e impulsar servicios inmediatos, tales sistemas electrónicos deben detectar cuándo o dónde un servicio se vuelve relevante y, a continuación, iniciar automáticamente su prestación (VELASCO, 2020).
19. El artículo 2 f) del Real Decreto 203/2021, de 30 de marzo, por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos (en adelante, RAFME) contempla entre los principios que rigen las actuaciones y las relaciones de las Administraciones públicas por medios electrónicos el principio de personalización y proactividad, entendido como la capacidad de las Administraciones públicas para que, partiendo del conocimiento adquirido del usuario final del servicio, proporcione servicios precumplimentados y se anticipe a las posibles necesidades de los mismos.
20. Todo ello ha de derivar en la apuesta por un modelo de gobernanza de los datos basado en la elaboración de estrategias y de políticas de gestión documental y en la creación de estructuras organizativas, junto con la implantación de medidas de seguridad y, en particular, de protección de aquellos que tengan la condición de datos de carácter personal.
21. El documento administrativo es uno de los elementos formales sobre los que pivota la eficacia de la actuación administrativa. Efectivamente, la constancia —materialización— de la misma en un soporte determinado y de conformidad con una serie de pautas formales y materiales es clave para hacer valer su contenido; su almacenamiento y adecuada conservación resultan imprescindibles desde la perspectiva de la posibilidad de uso e intercambio de información para el ejercicio de las funciones públicas; finalmente, es claro que el acceso a la información pública y la reutilización de la misma, así como el ejercicio de determinados derechos de los ciudadanos relacionados directamente con el procedimiento administrativo, tienen como premisa una adecuada política de gestión documental. En definitiva, el patrimonio documental —histórico y no histórico—, no solo tiene valor por sí mismo, sino que también posee un valor instrumental vinculado al ejercicio de las potestades administrativas y a la satisfacción de los derechos de los ciudadanos.
22. De conformidad con lo previsto en el artículo 26 LPAC, “[s]e entiende por documentos públicos administrativos los válidamente emitidos por los órganos de las Administraciones públicas”; ello, con independencia de su forma —oral u escrita, automatizada o no— y soporte —gráfico, audiovisual, papel, electrónico…—. El RAFME define documento electrónico como información de cualquier naturaleza en forma electrónica, archivada en un soporte electrónico según un formato determinado y susceptible de identificación y tratamiento diferenciado. La Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la Información Pública y Buen Gobierno (en adelante, LTBG) define en su artículo 13 información pública como los contenidos o documentos, cualquiera que sea su formato o soporte, que obren en poder de alguno de los sujetos integrantes del sector público y que hayan sido elaborados o adquiridos en el ejercicio de sus funciones. Por su parte, el artículo 49 de la Ley 16/1985, de 25 de junio, del Patrimonio Histórico Español (en adelante, LPH) entiende por documento toda expresión en lenguaje natural o convencional y cualquier otra expresión gráfica, sonora o en imagen, recogidas en cualquier tipo de soporte material, incluso los soportes informáticos. Desde el punto de vista técnico, la Norma UNE–ISO 30300 lo define como información creada o recibida y mantenida como evidencia y como activo por una organización, en cumplimiento de obligaciones legales o en el curso de su actividad.
23. En definitiva, más allá de los matices conceptuales derivados de la finalidad a la que sirve, documento público administrativo es todo aquel documento elaborado por un órgano integrante del sector público en el ejercicio de sus funciones que, con independencia de su soporte material, incorpora información relevante, permitiendo la acreditación de hechos o datos y proporcionando, con ello, evidencias de las actuaciones llevadas a cabo.
24. A pesar de la posibilidad de integrar y conservar información en diferentes soportes y de la admisibilidad de la constancia verbal de actuaciones administrativas, los artículos 26 y 36 LPAC dotan de preferencia a la expresión escrita y al formato electrónico sobre todos los demás, al precisar, respectivamente, que los documentos y los actos administrativos se producirán por escrito a través de medios electrónicos, salvo que su naturaleza exija otra forma más adecuada de expresión y constancia. La consecuencia de la producción preferente de actos administrativos y documentos en formato electrónico es doble: de un lado, la necesidad de que la gestión documental también se realice por medios electrónicos; de otro, la asociación de la validez de los mismos al cumplimiento de una serie de requisitos formales.
25. Efectivamente, tal y como establece el artículo 70 LPAC, el expediente, como conjunto ordenado de documentos y actuaciones que sirven de antecedente y fundamento a la resolución administrativa, debe tener formato electrónico y su formación y gestión han de ser igualmente electrónicas; ello es garantía de transparencia y legalidad y, al mismo tiempo, premisa de la eficacia administrativa, del derecho de audiencia de los interesados y del control judicial. Junto con ello, todo documento administrativo electrónico ha de reunir una serie de elementos para ser considerado válido: contener información de cualquier naturaleza archivada en un soporte electrónico según un formato determinado susceptible de identificación y tratamiento diferenciado; disponer de los datos de identificación que permitan su individualización; integrar una referencia temporal del momento en que han sido emitidos; incorporar los metadatos mínimos exigidos —esto es, información referida al propio documento que aporta contexto y valor al mismo y permite los procesos de gestión de documentos—; e incorporar las firmas electrónicas que resulten necesarias.
26. La Norma Técnica de Interoperabilidad de Documento Electrónico, aprobada por Resolución de 19 de julio de 2011, de la Secretaría de Estado para la Función Pública, establece los componentes del documento electrónico, determina los criterios que ha de cumplir su gestión, concreta los metadatos que ha de integrar y fija los elementos que deben reunir para facilitar el intercambio. La ausencia de estos elementos no determina por sí misma la invalidez del acto administrativo al que sirve de soporte el documento, pero sí puede implicar anulabilidad cuando derive en indefensión o impida al mismo adquirir el fin que le es propio (BERNING, 2019).
27. Hasta el momento, la jurisprudencia no ha derivado consecuencias invalidantes del incumplimiento del requisito de gestionar y formar el expediente administrativo por medios electrónicos. No obstante, el Tribunal Supremo ha tenido ocasión de señalar, en un caso en el que el expediente remitido era un PDF con miles de copias escaneadas de documentos en papel, incumpliendo con ello lo previsto en la LPAC y en el artículo 48 de la Ley 29/1998, de 13 de julio, reguladora de la jurisdicción contencioso–administrativa, que “[t]al situación no se cumple en el expediente remitido, que mal puede llamarse electrónico, en el que en lugar del modo presentación que facilita la consulta, se ha confeccionado con el modo amontonamiento, es decir un simple escaneado de las hojas de papel del expediente administrativo original, impidiendo así la búsqueda ágil que es el objetivo último de la Administración digital, obligando, en cambio, a visualizar todas y cada una de las hojas en la pantalla del ordenador cada vez que se consulta un documento” (STS de 13 de mayo de 2021, ECLI:ES:TS:2021:1818). En el mismo sentido, la STS de 26 de octubre de 2023, ECLI:ES:TS:2023:4309, afirma que “una transformación de documentos en formato papel a un formato digital no es simplemente proporcionar una imagen escaneada. sino que la imagen ha de poder identificarse para su eficaz y rápida consulta mediante el correspondiente índice conforme a las exigencias legales”, y añade, a modo de advertencia, que “es el Juez quien tiene la última y definitiva palabra tanto sobre el contenido e integración del expediente como sobre su ordenación y confección”.
28. Los documentos administrativos han de ser almacenados igualmente por medios electrónicos, salvo cuando ello no resulte posible. La LPAC establece en su art. 17 el deber de cada Administración de mantener un archivo electrónico único de los documentos electrónicos que correspondan a procedimientos finalizados con el fin de preservarlos de tal manera que se garantice su autenticidad, integridad y conservación, así como su consulta con independencia del tiempo transcurrido desde su emisión. Por su parte, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (en adelante, LRJSP) añade en su artículo 46 a las citadas exigencias de archivo los deberes de seguridad y protección de datos.
29. A nivel estatal, existen distintas normas que regulan esta materia, tanto en general, como hace el Real Decreto 1708/2011, de 18 de noviembre, por el que se establece el Sistema Español de Archivos y se regula el Sistema de Archivos de la Administración General del Estado y de sus Organismos Públicos y su régimen de acceso, cuanto desde la perspectiva tecnológica, como hace el RAFME. Desde la óptica de la conservación histórica de documentos, la LPH establece las condiciones de protección de aquéllos que tengan valor histórico, así como los requisitos de intercambio y acceso a los mismos.
30. El gran reto que plantean las posibilidades de las tecnologías de la información y las comunicaciones es pasar de la gestión del documento al gobierno del dato, entendido como todo conjunto de caracteres o símbolos a los que se asigna o podría asignarse un significado (Norma UNE–ISO 30300). Tal y como quedó apuntado, las distintas Administraciones públicas poseen una ingente cantidad de información, que generan u obtienen en el ejercicio de sus funciones; sin embargo, se trata de una información poco estructurada, obrante en distintos departamentos y obtenida con finalidades diferentes, con no pocas dificultades para su gestión eficaz. La gobernanza de datos tiene como objetivo dar respuesta a la pluralidad, complejidad y dispersión de los datos en poder de los organismos públicos, tanto en los procesos de toma de decisiones públicas como desde la perspectiva de la transparencia, la rendición de cuentas y la reutilización (CASADESÚS, 2022).
31. La ampliación de las capacidades de la computación y el incremento exponencial de la cantidad de datos en poder de las Administraciones públicas traen consigo la posibilidad de analizar, explotar y gestionar tales datos —en definitiva, de tratarlos— de forma masiva. Ello implica que la información no se materializa en un documento, sino que se mantiene en forma de datos que son tratados directamente por sistemas informáticos que permiten su gestión. Este cambio hacia la gobernanza del dato resulta totalmente necesario para aprovechar al máximo las posibilidades de generar información y, con ello, de mejorar los procesos de toma de decisiones, el cumplimiento del principio de legalidad y de transparencia y la satisfacción de los derechos de los ciudadanos.
32. Un paso en esa dirección es el dado por el Real Decreto 806/2014, de 19 de septiembre, sobre organización e instrumentos operativos de las tecnologías de la información y las comunicaciones en la Administración General del Estado y sus Organismos Públicos, que tiene por objeto el desarrollo y ejecución de un modelo común de gobernanza de las TIC a través de la estructuración organizativa, la planificación y la estrategia y la contratación. Ha sido recientemente sustituido por el Real Decreto 1125/2024, de 5 de noviembre, por el que se regulan la organización y los instrumentos operativos para la Administración Digital de la Administración del Estado, que actualiza la arquitectura organizativa en este ámbito en clave de transformación digital de la Administración para una mejor prestación de los servicios públicos. A nivel autonómico, destaca el Decreto de la Generalitat de Cataluña 76/2020, de 4 de agosto, de Administración digital, una de cuyas finalidades es establecer el marco del gobierno de los datos como elemento estructural del funcionamiento de la Administración digital con el objetivo de favorecer y mejorar la prestación de los servicios públicos y potenciar la creación de nuevos servicios digitales, lo cual incluye normas, procesos, funciones y responsabilidades; establece, además, los criterios para configurar un modelo de gobierno de datos que parte de la consideración de los mismos como activo digital y de la necesidad de que los distintos órganos integrantes de la Administración autonómica colaboren en su gestión.
33. La interoperabilidad, entendida como capacidad de los sistemas de información y de los procedimientos a los que estos dan soporte de compartir datos y posibilitar el intercambio de información y conocimiento entre ellos, es la premisa más importante —y, al mismo tiempo, el principal reto tecnológico—, de la transición digital, más aún en el contexto de un Estado descentralizado como el nuestro. No en vano, el artículo 3.2 LRJSP exige que las Administraciones públicas se relacionen entre sí y con sus órganos, organismos públicos y entidades vinculadas o dependientes a través de medios electrónicos que aseguren la interoperabilidad de los sistemas y soluciones adoptadas por cada una de ellas; en definitiva, de manera novedosa, contempla la interoperabilidad como principio general que ha de guiar la actuación de la Administración, tal y como venía reclamando la doctrina (MARTÍNEZ, 2009).
34. Ello tiene su proyección sobre los distintos instrumentos que integran el régimen jurídico de la Administración digital —registros, sede, firma, archivo, notificaciones, documentos y copias, expediente…—, con exigencias de conectividad normativas y tecnológicas, referidas tanto al interior de la Administración como a sus relaciones con terceros. Basta una lectura de los contenidos de la LPAC y de la LRJSP para comprobar que así es. Ciertamente, la necesidad de compartir datos entre Administraciones —manifestación de los principios/deberes de colaboración y cooperación (supra § 13.53)– es patente, no solo para hacer posible el ejercicio de las funciones que tienen encomendadas, sino también para satisfacer los derechos e intereses reconocidos a los ciudadanos.
35. Por señalar un ejemplo, el derecho a no aportar datos y documentos en poder de las Administraciones públicas (art. 53.1 d) LPAC), implica la compartición de datos entre Administraciones. Es por ello por lo que el artículo 155 LRJSP exige a todas las Administraciones facilitar el acceso por parte de las restantes a los datos que obren en su poder, deber que se canaliza a través de las plataformas de intermediación de datos y los correspondientes protocolos (DELGADO, 2023). Con esta misma lógica ha de interpretarse el contenido de la Disposición Adicional 2.ª LPAC, al favorecer la adhesión voluntaria por parte de las comunidades autónomas y de los entes locales a las plataformas estatales en materia de registro electrónico de apoderamientos, registro electrónico, archivo electrónico único, plataforma de intermediación de datos y punto de acceso general electrónico de la Administración y, en el caso de que deseen optar por soluciones propias, al exigirles la acreditación del cumplimiento del Esquema Nacional de Interoperabilidad y sus normas técnicas de desarrollo, de modo que se garantice su compatibilidad informática e interconexión, así como la transmisión telemática de las solicitudes, escritos y comunicaciones que se realicen en sus correspondientes registros y plataformas. La Sentencia del Tribunal Supremo de 12 de enero de 2023, ECLI:ES:TS:2023:118, como concreción de estas obligaciones, ha declarado que, salvo oposición expresa del interesado, no puede ser requerido a la aportación de documentos en los que funda su solicitud, cuando estos obran ya en poder de las Administraciones o han sido elaborados por ellas, teniendo estas la obligación de solicitarlos de la correspondiente Administración a través de interconexión telemática.
36. En este sentido, el Tribunal Constitucional se ha pronunciado sobre la constitucionalidad de la Disposición Adicional 2.ª LPAC en su Sentencia 55/2018, declarando que es no es inconstitucional si se interpreta como imposición de una obligación de la instancia territorial de justificar en el propio expediente el cumplimiento de los mandatos de eficiencia, estabilidad presupuestaria y sostenibilidad financiera, así como de comunicar esta justificación al Estado y en ningún caso como habilitación para ejercer un control administrativo. El máximo intérprete constitucional contempla la interoperabilidad como objetivo y elemento indispensable en un Estado políticamente descentralizado (F.J 8º).
37. El artículo156 LRJSP sitúa como elemento estructural garante de conectividad y compatibilidad de las aplicaciones y sistemas informáticos del sector público el Esquema Nacional de Interoperabilidad, que comprende el conjunto de criterios y recomendaciones en materia de seguridad, conservación y normalización de la información, de los formatos y de las aplicaciones que deberán ser tenidos en cuenta por las Administraciones para la toma de decisiones tecnológicas que garanticen la interoperabilidad. El RAFME, que también parte del reconocimiento del principio general de interoperabilidad, se encarga de concretar esas exigencias en relación con los diferentes aspectos de la Administración digital.
38. El Esquema Nacional de Interoperabilidad ha sido desarrollado en nuestro ordenamiento jurídico por el Real Decreto 4/2010, de 8 de enero y, a nivel técnico, por medio de diferentes normas técnicas de interoperabilidad, revisadas y potenciadas por el RAFME —catálogos de estándares, documento electrónico, digitalización de documentos, expediente electrónico, firma y certificación, intermediación de datos… hasta un total de veintitrés—. Tales normas contemplan toda una serie de requisitos y obligaciones que han de cumplir las distintas Administraciones públicas para materializar este principio a nivel organizativo (capacidad de colaboración entre órganos y entidades), semántico (utilización y comprensión automatizadas de la información) y técnico (compatibilidad tecnológica entre aplicaciones y sistemas), siguiendo un modelo obligatorio, versátil y adaptable (GAMERO CASADO, 2009).
39. La reforma del Real Decreto 4/2010 introducida por el RAFME fue objeto de impugnación ante el Tribunal Supremo por parte de la Generalitat de Cataluña por entender que algunas de las nuevas normas técnicas de interoperabilidad vulneraban las competencias estatutarias de esta comunidad autónoma al fijar sus contenidos de forma muy exhaustiva y detallada, con la consecuencia de agotar la capacidad de intervención autonómica en este ámbito. El Tribunal Supremo, en su Sentencia de 30 de mayo de 2022, ECLI:ES:TS:2022:2187, partiendo del hecho de que la regulación se limita simplemente a enumerar las normas técnicas de interoperabilidad que son de obligado cumplimiento y a anunciar su contenido, sin predeterminarlo, ha señalado que el alegato de que existe vulneración de la potestad de autoorganización de las comunidades autónomas resulta prematuro, pues se denuncia una vulneración competencial meramente hipotética, al hacer el reproche sin conocer el contenido de las normas técnicas. En esa misma sentencia ha admitido la legalidad del deber de colaboración introducido por el art. 44 del RAFME para facilitar el acceso a las notificaciones electrónicas a través de la Dirección Electrónica Habilitada única de la Administración General del Estado como expresión del principio de interoperabilidad.
40. Como quedó apuntado en la introducción, la dimensión externa de la información en poder de las Administraciones públicas tiene dos manifestaciones fundamentales: la transparencia de la actividad administrativa y la reutilización de la información del sector público. Junto con ellas, a modo de puente entre la dimensión interna y la externa, se encuentran los comúnmente llamados servicios de información administrativa, unidades especializadas en ofrecer a los ciudadanos información sobre la propia organización y en atender en primera instancia sus peticiones.
41. Con ello queda evidenciado el carácter instrumental de la información pública, que no solo resulta útil y necesaria para las propias organizaciones públicas, sino también para los ciudadanos. Con la suma de una y otra se alcanza un tercer nivel, del que se hablará más adelante: el acceso libre a la información pública. Es por ello que esta segunda dimensión guarda relación directa con el concepto de gobierno abierto, que plantea una forma diferente de gobernar y administrar, en la que los ciudadanos asumen un mayor protagonismo en la toma de decisiones públicas.
42. El derecho a saber —satisfecho por la doble vía del acceso a la información pública y de la difusión de ésta por exigencia del ordenamiento jurídico— tiene su ámbito de aplicación en la esfera de la relación entre Administración y ciudadano; de este modo, aquélla sigue manteniendo cierto control sobre la información, en tanto que le corresponde valorar las solicitudes de acceso y decidir sobre la forma de difusión, dentro de los márgenes que le permite la concreta normativa aplicable. En cambio, el derecho a reutilizar permite romper esos límites y multiplicar los efectos diseminadores de la publicidad de la información por la vía de la generación de aplicaciones que convierten datos públicos en conocimiento; en estos supuestos, la información escapa ya del control de la Administración y afecta a toda la sociedad, ofreciendo un valor añadido a ésta que, además, puede retornar en beneficio de la propia Administración (MARTÍN, 2014).
43. Las Administraciones públicas, en ejercicio de su potestad de autoorganización (supra § 8.14), han estructurado de diferentes formas los servicios de información a los ciudadanos en función de sus propias características, dimensiones y competencias. A nivel estatal, la norma encargada de esta cuestión es el Real Decreto 208/1996, de 9 de febrero, por el que se regulan los servicios de información administrativa y atención al ciudadano; al mismo tiempo, la LPAC ha optado por crear las llamadas oficinas de asistencia en materia de registros, unidades especializadas en la tramitación en primer nivel de las solicitudes presentadas por los ciudadanos. Por medio de ambas vías se canaliza organizativamente el ejercicio de determinados derechos que reconoce la propia LPAC en relación con la función —general o particular— de información de las Administraciones públicas, tales como el derecho a obtener información y orientación acerca de los requisitos jurídicos o técnicos que las disposiciones vigentes impongan a los proyectos, actuaciones o solicitudes que se propongan realizar o el derecho a identificar a las autoridades y al personal al servicio de las Administraciones públicas bajo cuya responsabilidad se tramiten los procedimientos o el derecho a ser asistidos en el uso de los medios electrónicos en sus relaciones con las Administraciones públicas. En algunos casos —información general— se ofrecerá tal información sin necesidad de demostrar legitimación alguna; en otros —información particular—, por el contrario, será preciso acreditar la condición de interesado.
44. Esta lógica se ha reproducido a nivel autonómico y también local. Por ello se prevé la posibilidad de acordar, por vía de convenio de colaboración, que desde las oficinas de información y atención de cualesquier Administración pública pueda ofrecerse a los ciudadanos la información administrativa de las otras, así como la creación de oficinas integradas de información con participación de varias Administraciones públicas. A modo de ejemplo, puede verse el Decreto vasco 91/2023, de 20 de junio, de atención integral y multicanal a la ciudadanía y acceso a los servicios públicos por medios electrónicos
45. Los servicios generales de información administrativa son compatibles, además, con unidades especializadas —por ejemplo, en el ámbito sanitario se encuentran las oficinas de atención al paciente; en el ámbito del consumo las oficinas de atención al consumidor— y con las oficinas de asistencia en materia de registros que, más allá de su función de canalización de las solicitudes de los interesados en el marco del procedimiento administrativo, también ejercen funciones informativas. Asimismo, como consecuencia de la evolución de la Administración digital, se han articulado otros canales de difusión de información administrativa, igualmente estructurados, especializados en atender peticiones de información general de los ciudadanos por vía telefónica, internet o redes sociales.
46. El RAFME señala que las Administraciones públicas prestarán la asistencia necesaria para facilitar el acceso a las personas interesadas a los servicios electrónicos proporcionados en su ámbito competencial a través de alguno de los siguientes canales: presencial, por medio de las oficinas de asistencia que se determinen; portales de internet y redes electrónicas; redes sociales; telefónico; correo electrónico; y cualquier otro que pueda establecerse. Con vocación de universalidad, se ha creado el Punto de Acceso General Electrónico (https://administracion.gob.es/pag_Home/index.html) como punto único de acceso de los ciudadanos a todas las Administraciones públicas “con el objetivo de dar una solución a la gran dispersión de la información de las Administraciones públicas en distintos portales y páginas web, que provocaba dificultades en el acceso de la ciudadanía a los procedimientos y servicios administrativos, a informaciones duplicadas y a la falta de una coordinación adecuada”.
47. La información en sí misma es objeto de derechos reconocidos a los ciudadanos. Efectivamente, la Constitución Española, en su artículo 105, ha otorgado relevancia constitucional al derecho de acceso de los ciudadanos a los archivos y registros administrativos, que también reconoce el artículo 13 LPAC. Este precepto se remite directamente a la LTBG, que opta por una doble manifestación del principio de transparencia de la actividad administrativa reconocido en el artículo 3 LRSJP: publicidad activa y derecho de acceso.
48. La LTBG, en su Exposición de Motivos, considera la transparencia como uno de los ejes fundamentales de toda acción política, vinculándola —junto con el acceso a la información pública y el buen gobierno— al control de las decisiones públicas, con especial énfasis en el uso de los fondos públicos. Se configura, pues, como difusión de la información —por la doble vía de la publicidad activa y de la publicidad reactiva— para hacer posible el conocimiento a efectos de control de la actuación pública. En el caso de la difusión proactiva, el mecanismo de control es previo; en el del acceso, posterior. En ambos supuestos, se opta por la apertura de los formatos para favorecer la reutilización.
49. La LTBG obliga a las Administraciones públicas a publicar de forma periódica y actualizada la información cuyo conocimiento sea relevante para garantizar la transparencia de su actividad relacionada con el funcionamiento y el control de la actuación pública. Junto con ello, concreta tres listados de tipos de información que han de ser objeto de publicidad proactiva —información institucional, organizativa y de planificación; información de relevancia jurídica; e información económica, presupuestaria y estadística—, permitiendo, además, que la normativa autonómica o la normativa sectorial amplíen el mínimo obligatorio que la ley contempla (lo cual, de hecho, ha ocurrido en la práctica).
50. Respecto de la forma en la que ha de publicarse tal información, no puede desconocerse el contenido del artículo 5.5 LTBG, de conformidad con el cual “será comprensible, de acceso fácil y gratuito y estará a disposición de las personas con discapacidad en una modalidad suministrada por medios o en formatos adecuados de manera que resulten accesibles y comprensibles, conforme al principio de accesibilidad universal y diseño para todos”. Junto con el derecho a conocer, la LTBG está introduciendo a través de esta previsión un derecho a entender.
51. Adicionalmente, el artículo 11 proclama el principio de reutilización de la información, que se concreta en el deber de que la información sujeta a las obligaciones de transparencia esté disponible en los portales de transparencia preferiblemente en formatos reutilizables. El deber de reutilización no se limita, por tanto, únicamente a aquella información que pueda suscitar algún tipo de interés comercial en los operadores económicos, sino que ha de abarcar toda ella en general, puesto que toda ella puede ser aprovechada por los ciudadanos.
52. Un buen ejemplo de regulación sobre esta materia, por su apuesta por una visión integradora, es la ofrecida por la Ley castellanomanchega 4/2016, de 15 de diciembre, de Transparencia y Buen Gobierno, que combina los dos bloques normativos —transparencia y reutilización— para articular un acceso unificado a la información.
53. La LTBG prevé toda una serie de límites sustantivos o materiales a la transparencia, aplicables tanto a las obligaciones de publicidad activa como al ejercicio del derecho de acceso. Lo hace claramente inspirada en el Convenio del Consejo de Europa sobre Acceso a Documentos Públicos, hecho en Tromsø el 18 de junio dejunio de 2019 y ratificado por España en octubre de 2023, sobre la base de toda una serie de derechos e intereses, de bienes jurídicos públicos y privados, que considera dignos de tutela. Todos ellos se contemplan en abstracto, y su concurrencia en el caso concreto no implica directamente la desestimación de la solicitud de acceso o la imposibilidad de publicar la información por ellos afectada, sino que requiere ponderación.
54. En concreto, el artículo 14 LTBG precisa que “El derecho de acceso podrá ser limitado cuando acceder a la información suponga un perjuicio para: a) La seguridad nacional. b) La defensa. c) Las relaciones exteriores. d) La seguridad pública. e) La prevención, investigación y sanción de los ilícitos penales, administrativos o disciplinarios. f) La igualdad de las partes en los procesos judiciales y la tutela judicial efectiva. g) Las funciones administrativas de vigilancia, inspección y control. h) Los intereses económicos y comerciales. i) La política económica y monetaria. j) El secreto profesional y la propiedad intelectual e industrial. k) La garantía de la confidencialidad o el secreto requerido en procesos de toma de decisión. l) La protección del medio ambiente”. Y añade que la aplicación de los límites será justificada y proporcionada a su objeto y finalidad de protección y atenderá a las circunstancias del caso concreto, especialmente a la concurrencia de un interés público o privado superior que justifique el acceso. Junto con ello, en el artículo 15 LTBG contempla como límite específico la protección de datos de carácter personal, distinguiendo entre datos particularmente sensibles, en cuyo caso se requerirá el consentimiento; datos relativos a la organización, que no son óbice para difundir la información; y datos que no sean especialmente protegidos, supuesto en el que el órgano al que se dirija la solicitud concederá el acceso previa ponderación suficientemente razonada del interés público en la divulgación de la información y los derechos de los afectados cuyos datos aparezcan en la información solicitada, en particular su derecho fundamental a la protección de datos de carácter personal.
55. El Consejo de Transparencia y Buen Gobierno ha ido desarrollando una serie de criterios interpretativos para ayudar a guiar la aplicación de los límites que resultan de utilidad a los operadores jurídicos. Además, existe ya una importante jurisprudencia en relación con esta cuestión, que insiste en la necesidad de llevar a cabo una interpretación restrictiva de los mismos en cuanto que su aplicación supone restringir un derecho reconocido constitucionalmente.
56. La LTBG regula el derecho de acceso a la información pública como complemento de la obligación de publicar proactivamente determinada información en poder de las Administraciones. Y lo hace con un claro alcance universal, tanto subjetivo como objetivo.
57. Efectivamente, el artículo 12 LTBG establece que “[t]odas las personas tienen derecho a acceder a la información pública en los términos previstos en el artículo 105 b) de la Constitución Española”. Con ello queda claro que la titularidad del mismo no está asociada ni a la condición de nacional ni a la de ciudadano, así como que su objeto es toda información pública —obviamente, siempre que no esté afectada por alguno de los límites citados—. El régimen jurídico del ejercicio del derecho de acceso se regula en los artículos 17 y ss. LTBG, si bien ha de tenerse en cuenta lo previsto en la DA 1ª, en virtud de la cual la normativa reguladora del correspondiente procedimiento administrativo será la aplicable al acceso por parte de quienes tengan la condición de interesados en un procedimiento administrativo en curso a los documentos que se integren en el mismo; además, se regirán por su normativa específica, y por la LTBG con carácter supletorio, aquellas materias que tengan previsto un régimen jurídico específico de acceso a la información —sea o no más favorable que el previsto en la LTBG—, entre las que se encuentran el acceso a la información ambiental y a la destinada a la reutilización.
58. La jurisprudencia ha interpretado ambas previsiones de forma restrictiva, señalando que la primera de las remisiones sólo resulta aplicable en el caso de procedimientos no concluidos, de tal modo que, desde el momento en que se dicta resolución, los interesados en el mismo podrán acceder al contenido del expediente en aplicación de lo previsto en la LTBG, y que existe régimen jurídico específico de acceso a la información únicamente en aquellos supuestos en los que la norma —que deberá tener rango de Ley— haya querido tener en cuenta específicamente las características de la información que se solicita configurando un régimen de acceso propio. Vid. la STS de 11 de junio de 2020, ES:TS:2020:1558 y la STS de 8 de marzo de 2021, ECLI:ES:TS:2021:842. Por su parte, los órganos de control en materia de transparencia están concretando en sus diferentes resoluciones qué tipo de información queda amparada por el derecho de acceso y cuál no. Muy relevante, en este sentido, es la STS de 10 de marzo de 2022, ECLI:ES:TS:2022:1033, en la que el máximo órgano jurisdiccional ha precisado que la existencia de normativa sectorial específica reguladora del derecho de acceso a la información no impide el acceso a la reclamación potestativa ante el CTBG establecida en la ley general reguladora de la transparencia. En concreto, afirma que “el hecho de que en la normativa de régimen local exista una regulación específica, en el plano sustantivo y procedimental, del derecho de acceso a la información por parte de los miembros de la Corporación, en modo alguno excluye que (…) contra la resolución que deniegue en todo o en parte el acceso a la información el interesado pueda formular la reclamación que se regula en el artículo 24 de la Ley 19/2013” (F. J. 4º).
59. Un ejemplo de ello es la duda sembrada sobre los límites temporales del objeto del derecho de acceso. Efectivamente, la Audiencia Nacional, en su Sentencia de 23 de octubre de 2017, ECLI:ES:AN:2017:4186, aceptó el planteamiento de la Abogacía del Estado recurrente (el Ministerio de Defensa se negaba a ofrecer información sobre los pasajeros que acompañan a las autoridades en los vuelos de una determinada parte de la flota de la Fuerza Aérea Española alegando que no había obligación de hacerlo porque la LTBG no estaba en vigor) y manifestó que “[e]n el caso que nos ocupa, se justifica con toda lógica jurídica que la obligación de emitir esta información se produce únicamente a partir de la entrada en vigor de la Ley 19/2013 que tiene lugar el día 10 de diciembre de 2014”. La citada resolución judicial fue recurrida en casación y el Tribunal Supremo ha zanjado la cuestión en su Sentencia de 3 de marzo de 2020, ECLI:ES:TS:2020:810, señalando que “La Ley 19/2013 no contiene, en definitiva, ninguna limitación del derecho de acceso a la información por razón de antigüedad o actualidad de la información pública respecto a la que se solicita el acceso. De modo que no procede crear por vía jurisprudencial dicha limitación que la ley no establece y que tampoco se infiere ni del preámbulo ni del régimen jurídico que alumbra, respecto del derecho de acceso”. Lo contrario, en su opinión, supondría considerar que hay una limitación temporal al derecho de acceso e implicaría crear un nuevo límite al mismo por vía jurisprudencial, lo cual vulneraría el artículo 105 b) CE.
60. La LTBG ha optado por procedimentalizar el derecho de acceso, es decir, por configurar un derecho sometido a la carga de presentar solicitud que ha de ser resuelta tras la tramitación del correspondiente procedimiento.
61. Este se iniciará con la presentación de solicitud por cualquier medio que permita tener constancia de la identidad del solicitante y de la información que se solicita, con indicación de una dirección de contacto, preferentemente electrónica, a efectos de notificaciones y la modalidad que se prefiera para acceder a la información (art. 17 LTBG). Tal solicitud deberá dirigirse al titular del órgano administrativo o entidad que posea la información requerida y no deberá incluir motivación alguna como requisito de admisibilidad, lo que no impide que el solicitante pueda indicar las razones por las cuales requiere la información, pues podrán influir en la decisión del órgano actuante (que en ningún caso estará facultado para rechazar la misma en ausencia de motivación) a la hora de ponderar los límites que eventualmente pudieran concurrir; en todo caso, en el supuesto de que el solicitante opte por motivar su solicitud, ello deberá ser tenido en cuenta expresamente en la resolución eventualmente desestimatoria, que habrá de ser motivada.
62. La ley ha querido excluir del ámbito objetivo del derecho de acceso determinados tipos de información, de tal modo que se inadmitirán a trámite las solicitudes que se refieran a información que esté en curso de elaboración o de publicación general, a información que tenga carácter auxiliar o de apoyo, a información para cuya divulgación sea necesaria una acción previa de reelaboración, aquellas dirigidas a un órgano en cuyo poder no obre la información cuando se desconozca el competente y las que sean manifiestamente repetitivas o tengan un carácter abusivo no justificado con la finalidad de transparencia de la Ley (art. 18 LTBG).
63. La solicitud habrá de resolverse y notificarse al solicitante (y, en su caso, a los terceros afectados) en el plazo máximo de un mes desde la recepción de la misma por parte del órgano competente para resolver, que podrá ser ampliado por otro mes en el caso de que el volumen o la complejidad de la información así lo hagan necesario, lo cual deberá ser comunicado anticipadamente a aquel.
64. Una vez presentada una solicitud de acceso, podrán darse tres situaciones alternativas. En primer lugar, estimación de la solicitud, en cuyo caso la información deberá ser facilitada al solicitante, en la medida en que sea posible, a través de los medios por él indicados; el acceso será gratuito, si bien podrá requerirse una tasa cuando sea necesaria la expedición de copias o la trasposición de la información a un formato diferente del original. En segundo lugar, desestimación (total o parcial) de la solicitud, que deberá ser en todo caso motivada; no obstante, en los supuestos en los que la aplicación de alguno de los límites no afecte a la totalidad de la información, se concederá el acceso parcial previa omisión de la información afectada por el límite, salvo que de ello resulte una información distorsionada o carente sentido. En tercer lugar, no resolución expresa en plazo, en cuyo caso se entenderá que la solicitud ha sido desestimada (silencio administrativo negativo) (supra § 15.88).
65. El Tribunal Constitucional ha declarado el carácter básico de la opción por el silencio administrativo desestimatorio del Legislador estatal, al vincularlo con el título competencial “procedimiento administrativo común”. Efectivamente, en su STC 104/2018, ante una cuestión de inconstitucionalidad planteada sobre el artículo 31.2 de la Ley 8/2015, de 25 de marzo, de Transparencia de la Actividad Pública y Participación Ciudadana de Aragón, que señalaba que el transcurso del plazo para resolver la solicitud de acceso permitía entender estimada la misma, ha considerado que el precepto es inconstitucional, puesto que la regla del silencio negativo establecida en el artículo 20.4 LTBG cumple una función típica de las normas de procedimiento administrativo común —garantizar un tratamiento común de los administrados ante todas las Administraciones públicas— y la norma autonómica la contradice abiertamente (FJ. 5).
66. Apostar por previsiones normativas de obligación de publicar determinada información en páginas web o en sedes electrónicas o por satisfacer el derecho de los ciudadanos al acceso a información específica no resulta suficiente, sino que es necesario articular toda una serie de garantías concretas que permitan el cumplimiento de esas obligaciones. En el sistema normativo actual, las garantías son varias: la creación por parte de las Administraciones públicas de unidades de información para la gestión documental desde la perspectiva de la transparencia; la existencia de sistemas de medición del grado de cumplimiento de la normativa de transparencia; la aprobación de recomendaciones, criterios, pautas e instrucciones para la aplicación de la misma; la presentación anual de memorias sobre el grado de cumplimiento de la Ley; el régimen sancionador respecto de los posibles incumplimientos constitutivos de infracción; y las reclamaciones sustitutivas de los recursos administrativos frente a desestimaciones o estimaciones parciales del derecho de acceso, que constituye la innovación más relevante de la LTBG.
67. La LTBG ha optado por sustituir el régimen ordinario de recursos administrativos por una reclamación potestativa ante un órgano independiente; de facto, el control efectivo de la aplicación de la ley pivota sobre el Consejo de Transparencia y Buen Gobierno (CTBG) y, allí donde hayan sido creados, en sus homólogos autonómicos. Unos y otros deberán responder a cuatro principios básicos: inmediatez, asequibilidad, independencia y efectividad (MARTÍN, 2018).
68. A nivel autonómico, existen algunas comunidades autónomas que —bien por ley o bien porque así ha sido decidido por parte de sus gobiernos de manera provisional, en tanto crean su propio órgano, o definitiva en ausencia de norma propia— han optado por encomendar al Consejo estatal de Transparencia y Buen Gobierno la resolución de las reclamaciones en materia de acceso; es el caso de Ceuta, Melilla, La Rioja, Cantabria, Asturias, Extremadura e Islas Baleares; otras Comunidades Autónomas han decidido crear un órgano propio de control; es el caso de Andalucía, Aragón, Canarias, Cataluña, Comunidad Valenciana, Madrid, Navarra, la Región de Murcia y Castilla–La Mancha. Por otro lado, algunas comunidades han preferido atribuir tal competencia a órganos existentes; así lo han hecho Castilla y León y Galicia, que han encomendado la función de control, respectivamente, al Procurador del Común y al Valedor do Pobo, sus defensores del pueblo. Finalmente, en el caso del País Vasco se ha creado la Comisión de Acceso a la Información Pública, cuyo presidente es el titular de la Dirección General de Gobierno Abierto (por tanto, integrado en la estructura jerárquica de la Administración autonómica).
69. La publicidad proactiva de la información pública y el acceso a la misma se complementan con el deber de las Administraciones públicas de promover su reutilización, entendida como el uso por personas físicas o jurídicas de documentos elaborados o custodiados por las diferentes Administraciones territoriales o generales y sus respectivos sectores públicos, tal y como establece el artículo 3 de la Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público (en adelante, LRISP). De este modo, reutilización es, sencillamente, el uso por parte de terceros de información pública puesta a su disposición, de oficio o a petición del interesado, por la Administración que la posee.
70. La Directiva (UE) 2019/1024 del Parlamento Europeo y del Consejo de 20 de junio de 2019, relativa a los datos abiertos y la reutilización de la información del sector público, ha supuesto un nuevo impulso a la reutilización de la información pública con el fin de estimular la innovación de productos y servicios; su transposición en nuestro ordenamiento jurídico ha sido realizada a través del Real Decreto–ley 24/2021, de 2 de noviembre, de transposición de distintas directivas de la Unión Europea —más conocido como Real Decreto–Ley Ómnibus—, que insiste en el hecho de que la información pública constituye un importante recurso para promover la economía de los datos que, además, permite generar grandes beneficios económicos y sociales, así como de transparencia de las administraciones. Con ello se pretende renovar la regulación de la reutilización de la información del sector público ante los cambios tecnológicos desarrollados en los últimos veinte años y alinearla con otras iniciativas reguladoras a nivel europeo, como las relativas a la implantación de IA. De este modo, se amplía el ámbito objetivo de la reutilización —incorporándose los datos de investigación, nuevos metadatos, los datos dinámicos y los datos de valor añadido—, se apuesta por la apertura de datos desde el diseño y por defecto y, en definitiva, se incorporan medidas para favorecer y facilitar la reutilización de la información en poder del sector público (VALERO, 2022).
71. A tal fin, se ha articulado en nuestro sistema un régimen administrativo de la reutilización —con fines comerciales o no comerciales— con diferentes modalidades: reutilización de documentos puestos a disposición del público sin sujeción a condiciones; reutilización de documentos puestos a disposición del público con sujeción a condiciones establecidas en licencias–tipo; reutilización de documentos, previa solicitud, con posibilidad de incorporar condiciones en una licencia específica; y acuerdos exclusivos. En cualquier caso, las condiciones deberán estar justificadas por un objetivo de interés público y serán siempre objetivas, proporcionadas, no discriminatorias, justas y transparentes. Tal régimen ha sido desarrollado para el nivel estatal por el Real Decreto 1495/2011, de 24 de octubre. Desde la perspectiva técnica, las pautas básicas con fines reutilizadores se encuentran reguladas en la Resolución de 19 de febrero de 2013, de la Secretaría de Estado de Administraciones públicas, por la que se aprueba la Norma Técnica de Interoperabilidad de Reutilización de recursos de la información.
72. Un paso más en esta dinámica de compartición de datos públicos es la apertura total de los mismos. Suele definirse el término open data como la publicación de información en formatos estándar, abiertos e interoperables para facilitar el acceso y su reutilización de manera automática y con libertad de uso. Aunque su contexto natural es el de la reutilización, se trata de un término más apegado conceptualmente al gobierno abierto y, por tanto, conectado también con las ideas de participación y colaboración y no únicamente con el principio de transparencia.
73. Teniendo en cuenta todo lo anterior, puede entenderse que las políticas de datos abiertos buscan favorecer la reutilización de la información obrante en poder de las Administraciones públicas previa difusión de la misma, bien por iniciativa de éstas, bien por petición individualizada. Por tanto, resulta posible afirmar que la transparencia es la premisa de la reutilización, mientras que el formato abierto de la información es una de las formas que hacen posible la transparencia y, al mismo tiempo, promueve la participación y la colaboración. En este sentido, si bien todos los datos abiertos son públicos, no todos los datos públicos son abiertos y, en consecuencia, el mero hecho de la publicación de datos no permite poder hablar de acceso libre a la información. La finalidad de la conjunción trasparencia–reutilización–datos abiertos es múltiple: mejorar la eficacia en la prestación de servicios públicos, fomentar la participación de los ciudadanos, prevenir la corrupción y generar beneficio económico. Todo ello, mediante la conexión entre información y conocimiento y la creación de una dinámica en virtud de la cual el conocimiento genera nuevo conocimiento.
74. Precisamente por ello, la DA 1.ª LRISP establece del deber del Gobierno de desarrollar planes y programas dirigidos a facilitar la reutilización de la información del sector público y, más en concreto, su artículo 4.5 prevé la obligación de todas las Administraciones públicas de crear dispositivos y sistemas de gestión documental que permitan a los ciudadanos una recuperación eficaz de la información, disponible en línea y que enlacen con los dispositivos y sistemas de gestión puestos a disposición por otras Administraciones. Asimismo, facilitarán herramientas informáticas que permitan el acceso en línea a los listados de los documentos que puedan ser ampliamente reutilizables y la búsqueda de los documentos disponibles para su reutilización, con los metadatos pertinentes de conformidad con lo establecido en las normas técnicas de interoperabilidad, accesibles, siempre que sea posible y apropiado, en línea y en formato legible por máquina. Destaca, en relación con este extremo, el deber de crear un catálogo de información pública reutilizable que esté accesible a través de un punto único e interoperable con los de otras Administraciones.
75. Este mandato está siendo cumplido a través de la iniciativa Aporta, promovida desde 2009, para promocionar la apertura de información pública y contribuir al desarrollo de servicios avanzados basados en datos. En el contexto de la misma, se ha puesto a disposición de los ciudadanos el Portal https://datos.gob.es, a través del cual puede accederse a más de sesenta mil conjuntos de datos de la Administración General del Estado, las diferentes Administraciones autonómicas y las entidades locales sobre materias tan variadas como vivienda, salud, sector público, empleo, educación, economía o deporte.
76. En este contexto, una iniciativa sumamente interesante, impulsada por la Unión Europea y vinculada a su estrategia de datos, son los llamados espacios europeos de datos, que pueden definirse como una infraestructura basada en mecanismos comunes de gobernanza, organizativos, normativos y ténicos, que facilita el acceso a los datos y, con ello, el desarrollo de modelos de negocio basados en su explotación y exploración. En esencia, es un ecosistema a partir del cual se puede materializar la compartición voluntaria de los datos por parte de sus participantes –públicos y privados– en un entorno de soberanía, confianza y seguridad, que permite crear nuevos productos y genera valor. La Agencia Española de Protección de Datos ha publicado un intersante documento sobre esta cuestión: https://www.aepd.es/es/documento/aproximacion-espacios-datos-rgpd.pdf. La primera concreción de esta iniciativa se centrará en los datos sanitarios, si bien existen otras en proceso, como la relativa a los datos para la contratación pública. La primera concreción de esta iniciativa, como ha sido anticipado, se centra en los datos sanitarios, si bien existen otras en proceso, como la relativa a los datos para la contratación pública.
77. La transformación digital de la Administración pública no solo trae consigo la promesa de una mayor eficacia y eficiencia en el funcionamiento y en el acceso a los servicios públicos electrónicos; también implica un riesgo importante —que, sin duda, constituye su principal reto desde la perspectiva material— derivado de la eventual mayor vulnerabilidad de los sistemas, aplicaciones y soluciones informáticas y, por tanto, de la información que contienen y, junto con ello, de la necesidad de conservar esa información, particularmente importante en un contexto tecnológico tan cambiante. Consciente de ello, nuestro ordenamiento jurídico ha configurado la protección de la información y los datos como un derecho y como un deber.
78. Efectivamente, el artículo 13 h) LPAC reconoce el derecho de las personas a la protección de datos de carácter personal, y en particular a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones públicas. Como contrapartida, el artículo 17.3 exige que los medios o soportes en los que se almacenen documentos cuenten con medidas de seguridad, de acuerdo con lo previsto en el Esquema Nacional de Seguridad, que garanticen la integridad, autenticidad, confidencialidad, calidad, protección y conservación de los documentos almacenados; asimismo, dispone que asegurarán la identificación de los usuarios y el control de accesos, así como el cumplimiento de las garantías previstas en la legislación de protección de datos —exigencias todas ellas reiteradas por el artículo 46 LRJSP—.
79. La relevancia de la seguridad de las redes y de los sistemas de información y comunicaciones en el ámbito público es tal que el artículo 3 LRJSP la configura como principio general de la actuación administrativa, que se proyecta igualmente —tanto en la propia norma como en el RAFME— sobre los diferentes componentes de la Administración digital (sede electrónica, firma electrónica, intercambio y transmisiones de datos entre Administraciones, archivo electrónico, gestión compartida de servicios, reutilización de aplicaciones y sistemas, etc.). Los requisitos en que se concreta este deber, desde la perspectiva tecnológica, se contemplan en el Esquema Nacional de Seguridad que, de conformidad con lo previsto en el artículo 156.2 LRJSP, tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada.
80. Estas previsiones han de ser completadas con la regulación —más amplia en cuanto a su perspectiva— contenida en la Ley 36/2015, de 28 de septiembre, de Seguridad Nacional, que parte de los complejos riesgos que trae consigo esta cuestión en la actualidad y concibe la seguridad nacional como “la acción del Estado dirigida a proteger la libertad y el bienestar de sus ciudadanos, a garantizar la defensa de España y sus principios y valores constitucionales, así como a contribuir junto a nuestros socios y aliados a la seguridad internacional en cumplimiento de los compromisos asumidos”. Todo ello se concreta en una serie de órganos, organismos, recursos y procedimientos que configuran el Sistema de Seguridad Nacional. El marco estratégico para garantizar la ciberseguridad se regula actualmente en el Real Decreto 1150/2021, de 28 de diciembre, por el que se aprueba la Estrategia de Seguridad Nacional 2021.
81. Con carácter general, la garantía de seguridad de las redes y de las telecomunicaciones es una competencia estatal. En su STC 142/2018, a propósito de la creación de la Agencia de Ciberseguridad de Cataluña, manifestó el Tribunal Constitucional que “la ciberseguridad se incluye en materias de competencia estatal en cuanto, al referirse a las necesarias acciones de prevención, detección y respuesta frente a las ciberamenazas, afecta a cuestiones relacionadas con la seguridad pública y la defensa, las infraestructuras, redes y sistemas y el régimen general de telecomunicaciones” (FJ 4).
82. Al igual que ocurre con el principio de interoperabilidad, la garantía de la seguridad de la información en el ámbito del sector público (con exigencias tanto para los poderes públicos como para quienes se relacionen con ellos) se estructura alrededor del Esquema Nacional de Seguridad, concebido como instrumento que tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito administrativo, constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada.
83. El Real Decreto 3/2010, de 8 de enero, fue el encargado de regularlo originariamente, concretando la política de seguridad en el uso de los medios electrónicos por parte del sector público. Esta norma ha sido derogada y reemplazada por el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, con el fin de adaptar las exigencias a los cambios tecnológicos y jurídicos experimentados en los últimos años. En esencia, contempla toda una serie de principios y requisitos para garantizar la adecuada protección de la información tratada y los servicios prestados por las entidades que integran el sector público —estatal, autonómico y local—. Concibe la seguridad como un proceso integral constituido por todos los elementos humanos, materiales, técnicos, jurídicos y organizativos relacionados con el sistema de información y parte de la gestión de la seguridad basada en los riesgos, con un claro enfoque preventivo. Todo ello se traduce en órganos, guías, instrucciones técnicas y, en definitiva, exigencias jurídicas y tecnológicas de obligado cumplimiento. Junto con ello, debe tenerse presente la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión.
84. Cada Administración pública (y, dentro de ella, sus diferentes departamentos y entidades) ha de contar con una política de seguridad adaptada a su organización que responda a los principios y requisitos contemplados en el Esquema Nacional; asimismo, se incorporan medidas de auditoría regular y el deber de informar del estado de la seguridad a través de la Comisión Sectorial de Administración Electrónica.
85. Todo ello habrá de hacerse, en aplicación del principio de proporcionalidad —consagrado en el artículo 2 e) RAFME—, conciliando las medidas de seguridad con la naturaleza y circunstancias de los diferentes trámites y actuaciones por medios electrónicos. Además, en tanto que exigencias de tipo tecnológico pero plasmadas en normas jurídicas, los instrumentos garantes de la seguridad de la información, así como la actividad administrativa vinculada a los mismos, son susceptibles de impugnación y control (FONDEVILA, 2017).
86. Por último, al igual que ocurre con el principio de interoperabilidad, la propia LPAC trata de garantizar el cumplimiento del principio de seguridad en relación con las plataformas autonómicas y locales bien facilitando la adhesión voluntaria a las estatales, bien exigiendo, en el caso de optar por plataformas propias, que se acredite el cumplimiento del Esquema Nacional de Seguridad.
87. Al igual que en el caso de la seguridad, el artículo 3 LRJSP concibe la protección de datos de carácter personal como un principio general de actuación de las Administraciones públicas que responde igualmente a un derecho reconocido ya no sólo en la LPAC, sino directamente en la Constitución Española —como derecho fundamental, conceptualizado como tal en la STC 292/2000—, cuyo artículo 18.4 señala que “ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de los derechos”. Principio y derecho que se encuentra plenamente desafiado con la constante evolución del desarrollo tecnológico, que, junto con posibilidades de innovación, trae consigo nuevos riesgos, como ocurre en el caso de la Inteligencia Artificial y las neurociencias (YUSTE, 2025).
88. Este derecho, además, tiene una clara dimensión europea, no sólo porque ha sido incorporado al catálogo de derechos fundamentales de la Unión Europea a través del artículo 8 de la Carta de Derechos Fundamentales y está reconocido explícitamente en el artículo 16 del Tratado de Funcionamiento de la Unión Europea, sino también por el valor que representan los datos y por los desafíos que trae consigo la rápida evolución de las tecnologías. Efectivamente, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD) parte de la premisa de que el tratamiento de datos personales debe estar concebido para servir a la humanidad, de tal modo que el derecho a la protección de datos no es un derecho absoluto, sino que debe considerarse en relación con su función en la sociedad y ponderarse con otros derechos fundamentales sobre la base del principio de proporcionalidad. De este modo, regula los tratamientos que llevan a cabo tanto las personas físicas y jurídicas como las Administraciones públicas, tratando de conciliar el control de los propios datos personales con su tratamiento para fines legítimos y, en particular, de garantizar la libre circulación de los mismos dentro del territorio de la Unión con las debidas cautelas.
89. A nivel nacional, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, tiene por objeto principal adaptar el ordenamiento jurídico español al citado reglamento europeo —a pesar de su eficacia directa— para eliminar posibles incompatibilidades entre uno y otro. Contempla los principios reguladores de la protección de datos —exactitud, confidencialidad y consentimiento— y los derechos de las personas en relación con los tratamientos —transparencia e información y acceso, rectificación, limitación del tratamiento, portabilidad y supresión—, con remisión expresa en todos estos casos a los preceptos del reglamento que regulan la materia (arts. 12 a 22 RGPD). Junto con ello, establece las obligaciones de los distintos sujetos que tienen el deber de garantizar la adecuada protección de los datos personales —responsable, encargado del tratamiento y delegado de protección de datos— y apuesta por los códigos de conducta y certificación como instrumentos concretos para garantizar una adecuada tutela de los datos en cada organización. El control del cumplimiento de las obligaciones impuestas por la Ley corresponde a la Agencia Española de Protección de Datos, a la que se atribuyen potestades de inspección, vigilancia y control y, en particular, potestad sancionadora.
90. Para que estas normas resulten de aplicación resulta preciso que la información contenga datos personales. Por dato personal se entiende toda información sobre una persona física identificada o identificable, es decir, toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona (art. 4.1 RGPD). No obstante lo anterior, la normativa reguladora de la protección de datos de carácter personal no resulta de aplicación en aquellos casos en los que, aun conteniendo datos personales, se llevan a cabo procesos de disociación entre los datos y la persona titular de los mismos, de tal modo que no permitan identificarla.
91. La citada normativa pivota en torno a tres ejes. En primer lugar, su aplicación se basa en el concepto de tratamiento, definido, de forma ciertamente amplia, como cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción (art. 4.2 RGPD).
92. En segundo lugar, la protección de los datos se basa en la necesidad de que concurra al menos una de las condiciones que legitiman el tratamiento (las llamadas bases de legitimación), que habrá de ser lícito y leal: desde la perspectiva de su titular, el consentimiento para el tratamiento con uno o varios fines concretos, que será libre, específico, informado e inequívoco; junto con ello, la necesidad del tratamiento para la ejecución de un contrato, el cumplimiento de una obligación legal, la protección de intereses vitales del interesado u otra persona física, el cumplimiento de una misión de interés público o el ejercicio de poderes públicos o, finalmente, la satisfacción de intereses legítimos del responsable del tratamiento (en este último caso, siempre que no prevalezca sobre los derechos del titular de los datos). Junto con ello, se contemplan toda una serie de medidas —preventivas y reactivas— para garantizar la licitud del tratamiento, tales como limitaciones, obligaciones formales y técnicas (registro, notificación de violaciones de seguridad, evaluaciones de impacto, cifrado de información) y sanciones; en cualquier caso, el principio de transparencia exige que la información relativa al tratamiento sea accesible y fácilmente comprensible.
93. En tercer lugar, desde el punto de vista organizativo, se regulan en detalle las concretas obligaciones tanto de quienes llevan a cabo tratamientos —responsable del tratamiento, a quien corresponde determinar los fines y medios del mismo (art. 4.7 RGPD), y encargado del tratamiento (art. 4.8 RGPD), que es quien trata los datos personales por cuenta del anterior— como del delegado de protección de datos, con funciones de asesoramiento, supervisión y colaboración en el control (art. 37.1 RGPD).
94. Como ha sido anticipado, las obligaciones y exigencias contenidas en la normativa reguladora de protección de datos de carácter personal resultan igualmente de aplicación a las Administraciones públicas. Estas son responsables de tratamientos y, en ocasiones, encargados del mismo; en consecuencia, han de elaborar un registro de actividades de tratamiento, analizar las bases jurídicas de los mismos, efectuar análisis de riesgos, incorporar y verificar medidas de seguridad, designar un delegado de protección de datos y potenciar planes de formación para los empleados públicos. De hecho, la mayor parte de las consultas que se plantean ante la Agencia Española de Protección de Datos se refieren al sector Administraciones públicas; es más, no pocas de sus resoluciones en materia de incumplimientos tienen por objeto actuaciones infractoras de Administraciones públicas —que, a diferencia de los particulares, solo tienen como consecuencia jurídica un apercibimiento y no la imposición de multa—. En la Memoria Anual de 2021, por ofrecer algún dato, el 5 por 100 de las reclamaciones ante la Agencia se plantearon contra Administraciones públicas —un 47 por 100 más que en 2020—; en relación con los procedimientos sancionadores, el 8 por 100 tiene por objeto una acción u omisión de Administraciones públicas —un 26 por 100 más que en 2020—.
Antonio David BERNING PRIETO, Validez e invalidez de los actos administrativos en soporte electrónico, Aranzadi–Thomson Reuters, Cizur Menor, 2019.
Anahí CASADESÚS DE MINGO, “Gobernanza de datos”, en Agustí CERRILLO I MARTÍNEZ (Director), La Administración Digital, Dykinson, Madrid, 2022, pp. 257-284.
Agustí CERRILLO I MARTÍNEZ y Anahí CASADESÚS DE MINGO, “El impacto de la gestión documental en la transparencia de las Administraciones Públicas. La transparencia por diseño”, Gestión y análisis de políticas públicas, núm. 19 (2018), pp. 6-16.
José María DELGADO BÁIDEZ, El derecho a no aportar información al procedimiento administrativo en el contexto de la transformación digital, Comares, Granada, 2023.
Jorge FONDEVILA ANTOLÍN, “Seguridad en la utilización de los medios electrónicos. El esquema nacional de seguridad”, en Eduardo GAMERO CASADO (Director), Tratado de procedimiento administrativo común y régimen jurídico del sector público, Tirant lo Blanch, Valencia, 2017, pp. 597-674.
Isaac MARTÍN DELGADO, “La configuración legal de los consejos autonómicos de transparencia: algunos riesgos para el ejercicio de su función de control”, Dilemata, núm. 27 (2018), pp. 178-220.
Isaac MARTÍN DELGADO, “Transparencia, reutilización y datos abiertos. Algunas reflexiones generales sobre el acceso libre a la información pública”, en Julián VALERO TORRIJOS y Manuel FERNÁNDEZ SALMERÓN (Coordinadores), Régimen jurídico de la transparencia del sector público: del derecho de acceso a la reutilización de la información, Aranzadi–Thomson Reuters, Cizur Menor, 2014, pp. 367-406.
Rubén MARTÍNEZ GUTIÉRREZ, Administración Pública electrónica, Civitas–Thomson Reuters, Cizur Menor, 2009.
Juli PONCE SOLÉ, Deber de buena administración y derecho al procedimiento administrativo debido. Las bases constitucionales del procedimiento administrativo y del ejercicio de la discrecionalidad, Lex Nova, Valladolid, 2001.
Julián VALERO TORRIJOS, “El régimen jurídico de los datos de alto valor: dificultades y retos para su aplicación práctica”, en Julián VALERO TORRIJOS y Rubén MARTÍNEZ GUTIÉRREZ (Directores), Datos abiertos y reutilización de la información del sector público, Comares, Granada, 2022, pp. 81-102.
Clara Isabel VELASCO RICO, “Personalización, proactividad e inteligencia artificial. ¿Un nuevo paradigma para la prestación electrónica de servicios públicos?”. IDP. Revista de Internet, Derecho y Política, núm. 30 (2020), https://doi.org/10.7238/10.7238/idp.v0i30.3226
Rafael YUSTE, “Neurotecnología y neuroderechos”, en María Emilia CASAS BAAMONDE (Directora), Derecho y Tecnologías, Fundación Ramón Areces, Madrid, 2025, pp. 719-727.
Dolors CANALS AMETLLER, “El fenómeno colaborativo en la gestión pública local: algunas experiencias en curso”, en Eloísa CARBONELL PORRAS (Directora), Gobierno locales y economía colaborativa, Iustel, Madrid, 2022, pp. 69-93.
Mercedes FUERTES, Metamorfosis del Estado. Maremoto digital y ciberseguridad, Marcial Pons, Madrid, 2022.
Emilio GUICHOT REINA y Concepción BARRERO RODRÍGUEZ, El derecho de acceso a la información pública, Tirant lo Blanch, Valencia, 2020.
Isaac MARTÍN DELGADO, El procedimiento administrativo y el régimen jurídico de la Administración Pública desde la perspectiva de la innovación, Iustel, Madrid, 2020.
Rubén MARTÍNEZ GUTIÉRREZ, “Problemas prácticos de la reutilización y transferencia de tecnologías entre administraciones”, Contratación Administrativa Práctica, núm. 182 (2022), pp. 48-59.