Le rôle clé que joue le traitement des données personnelles dans l’administration en ligne exige que les autorités fiscales espagnoles (STA) améliorent la protection des données personnelles électroniques en Espagne. Les STA disposent d’un accès sans précédent aux données des citoyens, mais elles doivent tout de même respecter la protection contre l’abus de l’utilisation des données personnelles.
Droits relatifs aux données personnelles
Les droits relatifs aux données personnelles sont protégés par l’article huit de la Charte des droits fondamentaux de l’Union européenne qui garantit un traitement légal, juste et transparent des données personnelles. L’article huit offre aux sujets des données le droit d’accéder, de rectifier, d’effacer et de s’opposer au traitement de leurs données personnelles. Le droit d’accès exige que les STA révèlent l’origine, l’utilisation et les communications relatives aux données personnelles électroniques. Le droit d’accès est renforcé par l’article 15 de la directive de l’UE 95/46/EC, Règlement Général sur la Protection des Données (RGPD), qui est entré en vigueur le 25 mai 2018.
La Cour constitutionnelle espagnole a établi des critères demandant aux STA qu’elles fournissent aux personnes intéressées des informations relatives à leurs données personnelles. Sur demande des personnes intéressées, les STA doivent fournir des informations concernant : l’origine et l’objectif du traitement et de l’utilisation de toutes les données personnelles ; les données obtenues via le profilage ou un processus automatique ; l’utilisation future prévue et la durée de conservation des données. Quand des informations sur les données sont demandées, le gestionnaire des données dispose d’un mois pour les fournir. Les STA doivent garantir que les données soient accessibles, concises et transparentes.
Stockage – données personnelles électroniques en Espagne
Le stockage des données personnelles en Espagne entraine des problèmes relatifs à la durée et à l’endroit de conservation, et si les différents organismes administratifs peuvent échanger des données personnelles. La durée de stockage dépend de l’objectif et de l’utilisation des données. Quand les données ne sont plus nécessaires, elles doivent être supprimées. Le mémorandum d’explication du RGPD exige que les périodes de conservation soient réduites au minimum.
Portée des données personnelles
Le droit d’accès s’applique aux données personnelles, mais la portée des « données personnelles » est très large, elle inclut toutes les données permettant d’identifier un individu. Il entraîne donc de la flexibilité, mais également une certaine ambiguïté. Par exemple, les situations dans lesquelles les STA peuvent refuser l’accès aux données ne sont pas claires. Un cas à la cour suprême de justice espagnole (numéro d’appel administratif 5672/2005) a considéré la portée des données personnelles, le plaignant demandant davantage d’informations de la part des STA. La cour a ordonné aux STA de fournir au plaignant toutes les informations excepté l’identité de la personne gestionnaire des données du plaignant.
Dissuasion
On observe un manque de dissuasion efficace qui empêcherait les STA de commettre des infractions. En pratique, lorsqu’une administration fiscale viole ses obligations relatives aux données, l’agence de protection des données autorise généralement la STA à corriger son infraction sans lui infliger de punition. Une façon d’améliorer la dissuasion serait d’introduire un système de compensation en cas d’infraction.
Plusieurs doutes émergent autour de l’utilisation des données personnelles électroniques en Espagne par les STA, mais il existe des moyens de protéger le droit au traitement des données personnelles.
Víctor Sáez