Sobre la publicación de la productividad del personal funcionario

El Gabinete Jurídico de la Agencia Española de Protección de Datos resuelve en su informe núm. 0013/2021 una consulta sobre si resulta conforme con la normativa de protección de datos publicar la productividad individual de los funcionarios en la intranet corporativa.

Con base en las normas en vigor en nuestro país, esto es, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos -RGPD-), y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales -LOPDGDD-, la Agencia se pronuncia sobre “la conveniencia de conciliar el derecho de los funcionarios a conocer la asignación del complemento de productividad con su derecho a la protección de sus datos de carácter personal, evitándose la exposición pública de la información, pero sin limitar el acceso a la misma”, cuestión que ha sido analizada con anterioridad en los informes 123/2017, 137/2010, 183/2018 y 36/2019.

Sobre la publicidad de la productividad de los empleados públicos – funcionarios-, la AEPD entiende la necesidad de la publicación de dicha información, siempre y cuando se lleve a cabo garantizando los derechos de los empleados, y protegiendo sus datos a través de sistemas que permitan el acceso a la información, pero no permitan su reproducción posterior. Asimismo, añade que el acceso a esa información solo está previsto para los funcionarios públicos, pero no para otros, como, por ejemplo, empleados públicos no funcionarios (personal laboral).

Resumidamente, la Agencia recomienda en su informe, que:

• Se publiquen en un espacio físico al que solo tengan acceso las personas legitimadas, y se adopten las medidas necesarias para evitar su conocimiento generalizado. Esto es, si se publica en la intranet corporativa, debe hacerse en un espacio privado de la misma con acceso restringido.
• Se adopten todas las medidas técnicas y organizativas necesarias que garanticen el secreto de dichos datos.
• Se respeten, en todo caso, los principios de minimización de los datos, limitación del plazo de conservación, e integridad y confidencialidad a la hora de publicar ese tipo de datos, en virtud del Art.5 RGPD.

Así, reza la AEPD en su informe: “en virtud del principio de productividad -ex artículo 5.2 del RGPD- y ostentando el órgano consultante la condición de responsable del tratamiento conforme al RGPD, corresponde a este apreciar la necesidad de proceder a la publicación en su intranet administrativa del complemento retribuido referido a la “productividad” de los funcionarios, atendiendo a los criterios señalados, a nuestro juicio -considerando la actual situación ocasionada por el COVID-19 y teniendo en cuenta que el personal del órgano consultante presta servicios en modalidad no presencial-, la opción de la publicación de la productividad del personal funcionario en la intranet administrativa resulta ponderada y conforme a la normativa de protección de datos”.

Atendiendo al principio de “minimización”, el informe de la Agencia concluye que “deberá limitarse a la identificación concreta de las personas afectadas por indicación de su nombre y apellidos, y a la mención a la cuantía percibida y al periodo temporal al que se refiere dicha percepción económica”, esto es:

• Se identificará únicamente con nombre y apellidos, no procede publicar el número de DNI, solo en el caso de coincidencia de nombre y apellidos podrán publicarse cuatro cifras aleatorias del DNI; con esta medida se pretende proteger la identidad de los sujetos al evitar el riesgo de usurpación de la identidad que puede suponer conocer el nombre completo y el número del documento nacional de identidad.
• Los datos publicados deberán ser eliminados cuando dejen de ser necesarios y pertinentes para la finalidad que motivó dicha publicación.

En definitiva, aquellos Ayuntamientos que no estén adoptando las medidas necesarias para blindar la seguridad de este tipo de datos, les convendría seguir las pautas que la AEPD ha indicado en su reciente informe, con las que evitarán brechas de seguridad, denuncias de interesados afectados y el acceso a la información por terceros ajenos. Unive Abogados ofrece el servicio de DPD externo en Ayuntamientos, así como la implantación del Esquema Nacional de Seguridad obligatorio para entidades públicas de cualquier tamaño.