¡Pide presupuesto en 2 min! ✓
AdministraciónSectores

La Administración Pública y Protección de Datos de carácter Personal

5 Mins read

Con la entrada en vigor del Reglamento General de Protección de Datos y su consiguiente transposición al Derecho Español, en forma de la Ley Orgánica 3/2018, de 5 de Diciembre, de Protección de Datos Personales y garantía de los derechos digitales, resulta necesario que la Administración Pública, como ente encargado del tratamiento de datos de todos los ciudadanos, se actualice y ponga en marcha todas las medidas previstas en este nuevo marco legal.

Ejemplos clarificadores de este tratamiento de datos personales serían cuestiones tales como el padrón municipal de habitantes, la administración de sanciones, multas y tributos, tratamiento de datos sensibles para el acceso a subvenciones o ayudas sociales o, con cada vez más frecuencia, la gestión de alto volumen de datos provenientes de la implantación de aplicaciones de control informático en el marco de la modernización de las “smart cities”.

Por tanto, las Administraciones públicas desempeñarán funciones tanto de responsables de tratamiento de datos de carácter personal, como de encargados de tratamiento, requiriéndoles que lleven a cabo todas las acciones oportunas, según la responsabilidad que conlleva cada una de las figuras. En la mayoría de los casos, estas responsabilidades serán similares a las de cualquier encargado o responsable de datos personales, pero en otros campos entrarán en juego diferenciaciones propias del sector público.

Normativa

A nivel europeo: REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

A nivel nacional:

  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
  • Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.
  • Real Decreto 951/2018, de 23 de Octubre, de modificación del Real Decreto 3/2010, de 8 de Enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

Impacto del RGPD y LOPDGDD en las Administraciones Públicas

A continuación, procederemos a identificar todas las acciones que una Administración Pública ha de implementar en su funcionamiento, para dar cumplimiento a lo dispuesto en el marco normativo:

1. Cumplimiento del principio de legalidad, así como del deber de información a los interesados

Este deber se cumple mediante la identificación de los fines concretos a los que se destina el tratamiento de datos personales, así como la base legitimadora que justifica esos tratamientos.

Para el caso de tratamiento de datos de carácter sensible objeto de protección especial (datos de salud, ideología, orientación sexual, creencias religiosas…) huelga matizar que a priori el mismo no está permitido, salvo que concurran las excepciones previstas legalmente. Las mismas, para el caso que nos ocupa sobre las AAPP, pueden versar sobre el interés público esencial o que sean inherentes para la tramitación de servicios de asistencia social, por poner un ejemplo.

Con carácter general esta base legitimadora consistirá en el cumplimiento de una labor de interés público, o para el ejercicio de poderes públicos, los cuales necesariamente han de estar recogidos en una norma de rango legal.

Asimismo, habrá casos en los que el tratamiento de datos personales se sustente en el consentimiento de los interesados, para lo cual las AAPP deberán recoger un consentimiento libre, informado y específico, prestado por los administrados a través de una manifestación que contenga claramente su voluntad de consentir o autorizar, o a través de una inequívoca acción informativa. A estos efectos resaltar la inaplicación del denominado consentimiento tácito que se practicó durante la anterior legislación ya derogada.

2. Adaptación de la información facilitada a los interesados, a las directrices establecidas en el RGPD y LOPDGDD

Esto supone que la información ha de proporcionarse de forma concisa, transparente, inteligible y acceso fácil, utilizando para ello un lenguaje claro y sencillo.

Esto obliga a prescindir de fórmulas especialmente formalistas y enrevesadas, necesitando que las cláusulas informativas expliquen el contenido de una forma clara y de fácil asimilación.

En este apartado incluímos también la necesidad de establecer procedimientos que permitan el ejercicio de derechos, tanto de forma analógica como digital. Para el caso de medios electrónicos habrá que implementar métodos para poder comprobar correctamente la identidad de los solicitantes.

3. Control del cumplimiento sobre los encargados de tratamiento

Tanto el RGPD como la LOPDGDD establecen una obligación de diligencia sobre la selección de los encargados de tratamiento. Esto se traduce en que los responsables han de contratar bajo criterios objetivos garantizando que los encargados que tendrán acceso a datos personales de los cuales son responsables tengan implementados todas las medidas de seguridad y demás obligaciones previstas en la normativa.

Del mismo modo, habrá que actualizar todos aquellos contratos que previamente se hayan firmado con terceras empresas en el marco de la anterior normativa, adaptando y actualizando estos contratos a las exigencias del RGPD y la LOPDGDD.

4. Registro de Actividades de Tratamiento

En sustitución al antiguo proceso de inscripción de ficheros en el registro de la AEPD, la actual normativa aboga por una llevanza interna en forma de registro de actividades el cual deberá contener un contenido mínimo regulado por el RGPD, incluyendo tanto encargados como responsables.

5. Realización de un análisis de riesgos sobre los derechos y libertades de los ciudadanos, en cuanto al tratamiento de sus datos personales por parte de la Administración

Sobre el resultado de ese análisis será necesario identificar e implantar las medidas técnicas y organizativas imprescindibles para enfrentar dichos riesgos detectados. Para las AAPP nos centraremos en un análisis más especificado en la propia seguridad de la información.

6. Valoración de la realización de una Evaluación de Impacto

Debemos estudiar los tratamientos que se realizan y valorar si los mismos requieren de una EIDP en el caso que supongan un alto riesgo para los derechos y libertades de los interesados.

Es importante matizar que el RGPD recoge de forma expresa que los tratamientos basados en un fin público o relacionados con el ejercicio de poderes públicos, pueden no ser objeto de EIDP siempre y cuando la norma legitimadora regule las operaciones de tratamiento y se haya elaborado una EIPD de carácter general sobre el órgano administrativo.

7. Cumplimiento del Esquema Nacional de Seguridad (ENS)

El Esquema Nacional de Seguridad es la herramienta encargada de definir la política de seguridad que las Administraciones Públicas han de cumplir en materia de seguridad, en la utilización de medios electrónicos. Es un contenido adicional a lo ya dispuesto en la normativa de protección de datos y se constituye en los principios básicos y obligaciones mínimas que permiten una protección adecuada de la información y de los datos personales en ella recogidos.

8. Designación de Delegado de Protección de Datos (DPO)

EL RGPD recoge expresamente que será preceptiva la designación de un DPO cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.

Asimismo, se recoge la posibilidad de que pueda nombrarse un único DPO para varios administraciones a tenor de su tamaño y estructura organizativa.

Finalmente, no debemos olvidar cuestiones accesorias que las Administraciones Públicas han de tener muy en cuenta en esta materia, tales como elaborar e implementar un plan de formación y concienciación para empleados, o crear protocolos internos de autocontrol que minoren o puedan prevenir posibles brechas de seguridad de la información.

Related posts
AdministraciónCiberseguridad

Esquema Nacional de Seguridad. Definición y objetivos

8 Mins read
El gran aumento en la utilización de las tecnologías de la información y las telecomunicaciones (TIC), en cualquier sector, ha originado la…
Sectores

Protección de datos de las Iglesias y entidades religiosas

7 Mins read
Con las importantes novedades introducidas en materia de Protección de datos por el RGPD y la posterior LOPDGDD, recibimos numerosas consultas sobre…
SanidadSectores

¿Quién y por qué puede ver mi historial médico?

5 Mins read
Los datos relacionados con la salud están considerados como información de carácter personal y sensible y, por tanto, están altamente protegidos por…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.