RGPD en la administración pública: cómo anonimizar actos administrativos

La administración pública española tiene una doble obligación que parece contradictoria pero no lo es: publicar sus actos y decisiones de forma transparente y, al mismo tiempo, proteger los datos personales de los ciudadanos que aparecen en esos documentos. El equilibrio entre la Ley de Transparencia y el RGPD no es opcional — es un requisito legal con consecuencias reales para los funcionarios y organismos que no lo gestionan correctamente.

Qué obliga el RGPD a las administraciones públicas

El RGPD se aplica a cualquier organismo que trate datos personales, incluidas todas las administraciones públicas españolas: ayuntamientos, diputaciones, comunidades autónomas, organismos autónomos, universidades públicas y entidades del sector público instrumental.

Las obligaciones más relevantes para la gestión documental son:

Principio de minimización (art. 5.1.c): Solo deben tratarse los datos personales que sean adecuados, pertinentes y limitados a lo necesario para el fin perseguido. Cuando el fin es informar al público, en la mayoría de los casos no es necesario incluir el DNI completo, la dirección postal o el número de la Seguridad Social de los ciudadanos implicados.

Privacidad desde el diseño (art. 25): Los sistemas de gestión documental de las administraciones deben incorporar medidas técnicas que garanticen la protección de datos por defecto — no como una revisión posterior, sino como parte del flujo de publicación.

Responsabilidad proactiva (art. 5.2): El organismo debe poder demostrar que cumple con el RGPD. En el contexto documental, esto implica registrar qué documentos se publicaron, qué datos contenían y qué medidas se aplicaron para proteger a los interesados.

Publicación en portales de transparencia: qué datos deben suprimirse

La Ley 19/2013 de Transparencia, Acceso a la Información Pública y Buen Gobierno obliga a las administraciones a publicar información sobre contratos, subvenciones, retribuciones, actas de reuniones y resoluciones de procedimientos. Sin embargo, la AEPD ha emitido criterios claros sobre qué datos personales deben suprimirse antes de esa publicación.

En resoluciones y actos administrativos:

• DNI completo → sustituir por las cuatro últimas cifras o suprimir
• Dirección postal del interesado
• Número de teléfono y correo electrónico
• Número de cuenta bancaria (habitual en resoluciones de subvenciones)
• Datos de salud o situación familiar cuando no sean relevantes para el acto

En contratos y licitaciones:

• Datos personales de los técnicos firmantes que no son cargos públicos
• DNI de representantes legales de empresas licitadoras
• Datos bancarios incluidos en la documentación administrativa

En actas de órganos colegiados:

• La AEPD ha establecido que las actas de plenos municipales pueden publicarse con los nombres de los cargos electos, pero deben proteger los datos de ciudadanos que intervengan como particulares (por ejemplo, en periodos de ruegos y preguntas).

En resoluciones sancionadoras:

• La publicación de sanciones solo es obligatoria en los casos previstos expresamente por la ley y con las limitaciones establecidas para cada tipo de procedimiento.

Anonimización vs. seudonimización: la distinción clave para la AEPD

Este es el punto técnico más importante y también el que genera más confusión en los equipos de gestión documental de las administraciones.

Seudonimización: Se sustituye el dato por un código o referencia alternativa (por ejemplo, DNI 12345678A → CIUDADANO-0042). El dato original sigue existiendo en un fichero de correspondencia. El documento seudonimizado sigue siendo un documento con datos personales desde el punto de vista del RGPD, porque existe la posibilidad técnica de reidentificación.

Anonimización: El dato se elimina o transforma de forma irreversible. No existe fichero de correspondencia ni posibilidad técnica de recuperar el dato original. El documento resultante ya no contiene datos personales y no está sujeto al RGPD.

Para la publicación en portales de transparencia, la AEPD recomienda anonimización real, no seudonimización, salvo en casos donde la ley exija explícitamente identificar al interesado (como en determinadas publicaciones del BOE o de tablones de anuncios para notificaciones).

La prueba práctica para distinguir si has anonimizado correctamente: ¿podría alguien que lee el documento publicado, combinándolo con otras fuentes de información pública disponible, identificar a la persona? Si la respuesta es sí, el documento no está anonimizado.

Cómo implementar un flujo de anonimización en tu organismo

La mayoría de los organismos públicos españoles no tienen un flujo sistemático de anonimización documental. El proceso habitual es manual: un funcionario revisa el documento antes de publicarlo y elimina manualmente los datos que recuerda que son sensibles. Este enfoque tiene tres problemas estructurales: es lento, es inconsistente y no genera trazabilidad.

Un flujo de anonimización sistemático para una administración pública debe incluir:

1. Clasificación de tipos de documentos Establecer qué categorías de documentos se publican (resoluciones, contratos, subvenciones, actas) y qué tipo de datos personales contiene habitualmente cada categoría.

2. Detección automatizada Utilizar herramientas de NLP capaces de identificar datos personales en texto no estructurado, incluyendo formatos específicos del contexto español: DNI, NIE, número de Seguridad Social, matrícula de vehículo, IBAN.

3. Revisión humana de casos ambiguos La automatización no reemplaza la revisión humana en casos donde el dato es contextualmente sensible (por ejemplo, un nombre que también es el de una empresa o una dirección que identifica a una persona pero es parte de una referencia catastral).

4. Log de auditoría Cada documento publicado debe ir acompañado de un registro interno que certifique qué proceso de anonimización se aplicó, en qué fecha y por qué persona o sistema. Este log es la evidencia que protege al organismo ante una reclamación ante la AEPD.

5. Revisión periódica de criterios La AEPD actualiza periódicamente sus criterios de interpretación. Los procedimientos de anonimización deben revisarse al menos una vez al año para asegurar que siguen siendo conformes.

Preguntas frecuentes sobre RGPD y administración pública

¿Puede una administración publicar el nombre de los perceptores de subvenciones?

Sí, en general. La Ley de Transparencia obliga a publicar las subvenciones concedidas incluyendo el importe y el beneficiario. Sin embargo, cuando el beneficiario es una persona física (no una empresa), el RGPD limita qué información adicional puede publicarse junto a su nombre. La AEPD ha establecido que publicar nombre + importe + objeto de la subvención es proporcional; publicar nombre + DNI + dirección ya no lo es.

¿Están obligadas las entidades locales pequeñas (ayuntamientos rurales) a cumplir el RGPD?

Sí, sin excepciones. El RGPD se aplica a cualquier organismo que trate datos personales, independientemente de su tamaño. Lo que varía según el tamaño es la obligación de designar un Delegado de Protección de Datos (DPO), pero no el cumplimiento de los principios básicos.

¿Qué pasa si un ciudadano solicita información que contiene datos de terceros?

El ejercicio del derecho de acceso a la información pública (Ley de Transparencia) no prevalece automáticamente sobre el RGPD. El organismo debe ponderar ambos derechos y, en general, facilitar la información solicitada en formato anonimizado cuando sea posible hacerlo sin desvirtuar el objeto de la solicitud.

¿Puede la AEPD sancionar a una administración pública?

Sí. Aunque las administraciones no pueden ser sancionadas con multas económicas directas en los mismos términos que las empresas privadas, la AEPD puede emitir apercibimientos con efecto público y exigir medidas correctoras con plazos obligatorios. Además, los responsables individuales pueden incurrir en responsabilidad disciplinaria.

Conclusión

Publicar con transparencia no significa publicar sin control. Las administraciones públicas españolas tienen la herramienta normativa y técnica para cumplir simultáneamente con la Ley de Transparencia y el RGPD: la anonimización sistemática de documentos antes de su publicación.

El primer paso es reconocer que el proceso manual no es sostenible a escala. Si tu organismo publica decenas o cientos de documentos al mes, conoce cómo anonimiza.do puede automatizar ese proceso y convertir la anonimización en parte natural del flujo de publicación, no en un cuello de botella.