Agencia Estatal Boletín Oficial del Estado
La Directora de la Agencia Española de Protección de Datos y el Presidente del Instituto Nacional de Estadística, han suscrito un Convenio sobre el acceso a la Base Padronal del INE a través del servicio web SECOPA.
Para general conocimiento, y en cumplimiento de lo establecido en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, dispongo la publicación en el «Boletín Oficial del Estado» del referido convenio como anexo a la presente Resolución.
Madrid, 22 de agosto de 2020.–El Subsecretario de la Presidencia, Relaciones con las Cortes y Memoria Democrática, Antonio J. Hidalgo López.
13 de julio de 2020.
REUNIDOS
De una parte, doña Mar España Martí, directora de la Agencia Española de Protección de Datos, cargo que ostenta en virtud de nombramiento efectuado por Real Decreto 715/2015, de 24 de julio, y actuando de acuerdo con las facultades que le atribuyen los artículos 12 y 13 del Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos.
Y de otra, donJuan Manuel Rodríguez Poo, presidente del Instituto Nacional de Estadística, nombrado mediante Real Decreto 1325/2018, de 22 de octubre, en nombre y representación del citado Instituto, en virtud de las atribuciones que le confiere el artículo 5.2 del Estatuto del Instituto Nacional de Estadística, aprobado por Real Decreto 508/2001, de 11 de mayo, y de acuerdo con el artículo 48.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
Intervienen ambos en representación de las instituciones indicadas y con las facultades que sus respectivos cargos les confieren, reconociéndose recíprocamente capacidad y legitimación para otorgar y firmar el presente convenio, y a tal efecto,
EXPONEN
Que, de acuerdo con lo establecido en el artículo 47 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), corresponde a la Agencia Española de Protección de Datos la supervisión de la aplicación de dicha ley orgánica y del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE y, en particular, el ejercicio de las funciones establecidas en el artículo 57 y las potestades previstas en el artículo 58 de este mismo reglamento, entre las que se incluye llevar a cabo investigaciones sobre la aplicación del presente reglamento, en concreto basándose en información recibida de otra autoridad de control u otra autoridad pública.
Que los datos padronales son relevantes en el contexto de las actividades de investigación llevadas a cabo por la Agencia Española de Protección de Datos, en tanto en cuanto permiten identificar la residencia o domicilio de una persona física denunciada o investigada.
Que, según establece la Ley 7/1985, de 2 de abril, Reguladora de las Bases de Régimen Local, en su apartado 3 del artículo 17, Los Ayuntamientos remitirán al Instituto Nacional de Estadística los datos de sus respectivos Padrones, en la forma que reglamentariamente se determine por la Administración General del Estado, a fin de que pueda llevarse a cabo la coordinación entre los Padrones de todos los municipios.
Que la cesión de datos padronales se rige por lo establecido en el artículo 16.3 de la citada Ley 7/1985, según la cual: Los datos del Padrón municipal se cederán a otras Administraciones Públicas que lo soliciten sin consentimiento previo del afectado solamente cuando les sean necesarios para el ejercicio de sus respectivas competencias, y exclusivamente para asuntos en los que la residencia o el domicilio sean datos relevantes.
Para ello, la Administración Pública solicitante debe facilitar la relación de personas sobre las que necesite el domicilio o residencia para el ejercicio de sus competencias, y este sea un dato relevante.
Además, el Padrón municipal es un registro administrativo que contiene datos personales y, como tal, se encuentra sometido al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), en adelante RGPD, y a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
En virtud del artículo 6.1.e) del RGPD el tratamiento de datos personales será lícito cuando sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, debiendo estar establecida la base para el tratamiento en una norma con rango de ley, según lo previsto en el artículo 8.2 de la Ley Orgánica 3/2018.
En este caso al amparo de lo previsto en el artículo 52 de la LOPDGDD, las Administraciones Públicas, incluidas las tributarias y de la Seguridad Social, y los particulares estarán obligados a proporcionar a la Agencia Española de Protección de Datos los datos, informes, antecedentes y justificantes necesarios para llevar a cabo su actividad de investigación.
Que, según lo establecido en el artículo 5.1 b) del RGPD, la información que se facilite proveniente del padrón solo podrá utilizarse para los fines para los que la misma se solicita.
También se ha de tener en cuenta que, de conformidad con lo establecido por el artículo 83.3 del Reglamento de Población y Demarcación Territorial de las Entidades locales, aprobado por el Real Decreto 1690/1986, de 11 de julio, en su redacción dada por el Real Decreto 2612/1996, de 20 de diciembre: Los datos de los padrones que obren en poder del Instituto Nacional de Estadística no podrán servir de base para la expedición de certificaciones o volantes de empadronamiento.
Que el Instituto Nacional de Estadística, conforme a los principios de cooperación y coordinación en la actuación entre las Administraciones Públicas, desea habilitar los medios oportunos para que la cesión de los datos del domicilio que constan en su base padronal se lleve a cabo de la forma más eficiente posible en el marco legalmente vigente.
Por todo ello, ambas partes han acordado suscribir el presente convenio conforme a las siguientes
CLÁUSULAS
El objeto del presente convenio es facilitar el acceso a la Base de Padrón continuo gestionada por el Instituto Nacional de Estadística (en adelante INE) a la Subdirección General de Inspección de Datos de la Agencia Española de Protección de Datos (en adelante AEPD), a través del Servicio Web (SECOPA) desarrollado por el primero, con el fin de obtener el dato de domicilio a los efectos de poder completar la identificación del investigado en las actuaciones de investigación que se lleven a cabo por la AEPD contra una persona física.
El INE, en el marco establecido por este Convenio, pondrá a disposición de la AEPD, el servicio WEB de consulta de la Base de Datos del Padrón (SECOPA) para el acceso por parte de los usuarios autorizados del mismo.
Las consultas se llevarán a cabo individualmente para cada procedimiento, siendo necesario hacer constar para cada una su número de identificación y el motivo de acceso a la base padronal, utilizando para ello los campos «Expediente» y «Finalidad». Estos campos son los que permitirán llevar a cabo las tareas de control y la localización de los expedientes en las auditorías que, sobre cesión de datos, se realicen.
Para realizar la consulta se podrán consignar los siguientes datos: DNI (o número que lo sustituya para los extranjeros), apellidos, nombre y fecha de nacimiento, devolviéndose por SECOPA el domicilio en el que la persona aparece inscrita siempre que exista una única inscripción en la base cuyos datos de identificación coincidan con los datos de búsqueda introducidos. En el caso en que exista más de una inscripción o ninguna con los criterios de búsqueda introducidos, se indicará mediante mensajes específicos.
1. La gestión de usuarios y el control de accesos al Servicio Web de Consulta de la Base de Datos de Padrón por la Subdirección General de Inspección de Datos de la AEPD se regirá por las normas técnicas que se acuerden entre el INE y la AEPD. El INE delega en la AEPD la gestión de usuarios. La AEPD deberá comunicar al INE, para su autorización, el nombre del procedimiento y aplicación desde la que realizará el acceso, así como las direcciones IP desde las que realizará la llamada al Servicio con el objeto de que, desde la aplicación del INE, se pueda realizar el correspondiente control.
2. Solo se podrá acceder a la Base de Datos del Padrón gestionado por el INE, en virtud de petición fundada en la necesidad de conocer la residencia o domicilio de una persona física en el transcurso de una investigación y que se materializará en la solicitud de un número de expediente, que coincidirá con el número de formulario, si lo hubiere, o con el número de registro asignado, con el fin de probar que dicha consulta de datos tiene razón en una actuación de investigación concreta.
3. De conformidad con lo establecido en el artículo 5.1 b) del Reglamento (UE) 2016/679, las personas de la Subdirección General de Inspección de Datos de la AEPD que tuvieran conocimiento de los datos del padrón solo podrán utilizar los mismos con la finalidad señalada en el párrafo anterior, y no podrán aplicar dichos datos para otros fines.
4. Las irregularidades que sean detectadas por el INE serán comunicadas a la AEPD para que lleve a cabo las acciones pertinentes.
5. La llamada al Servicio Web de Consulta de Datos Padronales deberá verificarse a través de certificado electrónico reconocido o cualificado en los términos establecidos en el Capítulo V. Funcionamiento electrónico del sector público de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público y en el Esquema Nacional de Seguridad.
En el marco de la colaboración prevista en el presente convenio, el INE se compromete a:
a) Facilitar la integración de la AEPD en el SW del INE.
b) Desarrollar el Servicio WEB que permita atender las consultas de la base de datos de padrón a la AEPD.
c) Realizar las conexiones telemáticas necesarias, comprobando la firma del emisor.
d) Devolver un fichero XML-Firmado por el certificado de servidor con los datos devueltos por la consulta.
e) Disponer de un fichero de historial de consultas realizadas por cada usuario («log») que posibilitará el control de los accesos realizados y permitirá llevar a cabo auditorias sobre los mismos.
f) Comunicar a la AEPD las irregularidades que observe en el acceso a los datos del Padrón, solicitando la información adicional que considere necesaria. El INE podrá suspender o limitar el acceso al Servicio Web si advirtiera anomalías o irregularidades en los accesos o en el régimen de su control, hasta que queden completamente aclaradas o la AEPD adopte las medidas que resulten procedentes.
Por el contrario, el INE, al no gestionar la elaboración del padrón municipal, no asume ninguna responsabilidad en los casos en los que los domicilios recogidos en la base de datos de padrón y los datos del habitante encontrado no se ajusten a la realidad, ni podrá emitir certificaciones de los datos que se obtengan.
A efectos de posibilitar la colaboración pretendida la AEPD iniciará las acciones tendentes a:
a) Establecer el correspondiente procedimiento para la tramitación interna de los accesos por parte de la Subdirección General de Inspección de Datos, dentro de su estructura organizativa.
b) Contar, con carácter previo a la plena efectividad de este Convenio, con una norma de seguridad interna, que contendrán, como mínimo, la regulación de los siguientes aspectos:
1. El órgano responsable de la gestión de usuarios y control y seguridad de los accesos.
2. Personal facultado y condiciones de acceso.
3. Gestión de usuarios.
4. Control de usuarios y accesos al Servicio Web de Consulta de la base de datos del padrón continúo gestionada por el INE.
5. Forma de documentación de la gestión de los usuarios.
6. Control periódico de acceso de los usuarios con motivación de los mismos.
7. Registro de incidencias, y de medidas adoptadas.
8. Régimen de responsabilidades y sanciones.
c) Realizar la gestión de usuarios y de accesos, según las normas técnicas que se acuerden entre el INE y la AEPD.
d) Facilitar el asesoramiento técnico e informático a los distintos usuarios.
e) Generar con los datos de las distintas peticiones un fichero XML que deberá ser firmado por el correspondiente certificado del servidor.
f) Facilitar al INE, para su incorporación como tabla en su sistema, y según las normas que se indiquen, la relación de unidades dadas de alta inicialmente por la AEPD para utilizar el Servicio Web, así como las sucesivas variaciones a la misma según se vayan produciendo.
g) Facilitar la documentación que el INE le solicite en relación con las auditorías que lleve a cabo, comunicando a la Subdirección General de Inspección de Datos, las irregularidades que se le comuniquen e informando de las medidas que el INE lleve a cabo en relación con las mismas.
Se acuerda la creación de una Comisión mixta de Coordinación y Seguimiento que estará compuesta por tres representantes de cada una de las partes firmantes.
Por parte del INE:
− Dos representantes de la Unidad de Padrón.
− Un representante de la Dirección General de Coordinación Estadística y de Estadísticas Laborales y de Precios.
Por parte de la AEPD:
− Un representante de la Subdirección General de Inspección de Datos.
− Un representante de la Subdirección General de Registro/DPD.
− Un representante de la Secretaría General/TIC.
Esta comisión, de acuerdo con lo establecido en el artículo 49.1f. de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, es el instrumento acordado por las partes para el seguimiento, vigilancia y control del convenio y de los compromisos adquiridos por los firmantes y ejercerá sus funciones de acuerdo con lo establecido en los artículos 51.c) y 52.3 de la citada ley.
La comisión se reunirá a instancias de cualquiera de las partes firmantes y, al menos, una vez al año, para examinar los resultados de la cooperación realizada.
La comisión podrá recabar informes de las medidas, resultados e incidencias que se produzcan en materia de control de accesos a los datos de la base de Padrón objeto del presente convenio. Asimismo, podrá proponer las medidas que se estimen oportunas para garantizar la plena efectividad de dicho control.
Por último, las controversias que puedan surgir en la interpretación y cumplimiento de este convenio serán resueltas por la Comisión mixta de Coordinación y Seguimiento.
Como consecuencia del cumplimiento y desarrollo de los compromisos adquiridos en el presente convenio, no se generarán contraprestaciones económicas entre las partes, asumiendo cada una los propios gastos que el desarrollo del convenio les pudiera ocasionar.
De conformidad con lo establecido en los artículos 48, 49 de la citada Ley 40/2015, este convenio se perfecciona con la firma de las partes y tendrá una duración de cuatro años, pudiendo ser prorrogado expresamente por mutuo acuerdo de las partes con antelación a la expiración del plazo de vigencia, por un período de hasta cuatro años adicionales, salvo denuncia de alguna de las partes, con una antelación mínima de tres meses al final del periodo de vigencia del convenio o de su prórroga.
Asimismo, según lo dispuesto en el artículo 48.8 de la citada Ley 40/2015, el presente convenio resultará eficaz una vez inscrito en el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación del sector público estatal y tras su publicación en el «Boletín Oficial del Estado».
En cuanto al régimen de modificación del convenio, conforme a lo establecido en el artículo 49.g) de la citada Ley 40/2015, de 1 de octubre, requerirá el acuerdo unánime de las partes firmantes.
En todo caso, la prórroga, modificación o resolución del presente convenio, deberá ser comunicado al Registro Electrónico estatal de Órganos e Instrumentos de Cooperación y publicado en el «Boletín Oficial del Estado».
El convenio se extingue por el cumplimiento de cualquiera de las circunstancias o causas de resolución que se contemplan en el artículo 51 de la Ley 40/2015, de 1 de octubre de Régimen Jurídico del Sector Público.
En el caso de que se produjese la causa de resolución contemplada en el apartado c) del punto segundo del citado artículo 51, es decir, se produjese un incumplimiento de las obligaciones y compromisos asumidos por parte de alguno de los firmantes, este será requerido por la otra parte para que en el plazo de tres meses cumpla con las obligaciones o compromisos pendientes. Este requerimiento será comunicado a la Comisión mixta de Coordinación y Seguimiento del convenio prevista en la cláusula sexta.
Si transcurrido el plazo indicado en el requerimiento persistiera el incumplimiento, la parte que lo dirigió notificará a la otra parte firmante la concurrencia de la causa de resolución y se entenderá resuelto el convenio.
En caso de resolución del convenio por incumplimiento de las obligaciones y compromisos asumidos o por cualquier otra causa prevista en este convenio o en la Ley, la Comisión mixta de Coordinación y Seguimiento propondrá las condiciones para la finalización de las actuaciones derivadas de este convenio que estén en ejecución.
El presente convenio tiene naturaleza administrativa y su régimen jurídico es el expresamente establecido para los convenios en el Capítulo VI del Título Preliminar de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
Por otro lado, sin perjuicio de lo establecido en la cláusula sexta, las controversias no resueltas por la Comisión mixta de Coordinación y Seguimiento, que se pudieran suscitar durante la vigencia del mismo, serán sometidas a la jurisdicción Contencioso-Administrativa, de conformidad con la ley 29/1998, de 13 de julio, reguladora de la jurisdicción Contencioso-Administrativa.
Y en prueba de conformidad, suscriben el presente convenio.–La Directora de la Agencia Española de Protección de Datos, Mar España Martí.–El Presidente del Instituto Nacional de Estadística, Juan Manuel Rodríguez Poo.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
