Conoce Atico34 - Solicita presupuesto
AdministraciónSectores

Protección de datos en Administraciones públicas. Guía 2022

Como ocurre con las entidades privadas, cumplir con la Ley Protección de Datos en la Administración Pública también es una obligación, puesto que organizaciones públicas, como el Ayuntamiento, tratan datos personales de sus ciudadanos a diario. En esta guía vamos a revisar los aspectos clave de protección de datos personales en la Administración Pública.

RGPD y LOPD en la Administración Pública

Como decíamos, una Administración Pública trata datos personales de los ciudadanos a diario, en cuestiones, por ejemplo, como el padrón municipal de habitantes, la administración de sanciones, multas y tributos, tratamiento de datos sensibles para el acceso a subvenciones o ayudas sociales o, con cada vez más frecuencia, la gestión de alto volumen de datos provenientes de la implantación de aplicaciones de control informático en el marco de la modernización de las «smart cities».

Por lo tanto, las Administraciones Públicas deben adaptarse al RGPD y a la LOPD (o LOPDGDD), para garantizar la confidencialidad, integridad y disponibilidad de la información personal que tratan en el desempeño de sus funciones, están sujetas a una serie de obligaciones que cumplir.

Estas obligaciones del RGPD y la LOPD en las Administraciones Públicas no se diferencian de las que deben cumplir las organizaciones privadas, ya que como responsables del tratamiento, aunque hay algunos matices que se deben tener en cuenta en el ámbito público respecto a la protección de datos personales.

¿Cómo se debe cumplir la Ley de Protección de Datos en la Administración Pública?

A lo largo de los siguientes puntos revisaremos los aspectos clave y todas las acciones que se deben llevar a cabo para adaptar la LOPD y el RGPD en las Administraciones Públicas.

Rgpd y Lopd en administraciones públicas

El Rgpd y la Lopd-gdd en las administraciones públicas

Cumplir el principio de responsabilidad proactiva

El RGPD establece que todo responsable del tratamiento debe ser capaz de demostrar el cumplimiento del mismo, es lo que se conoce como principio de responsabilidad proactiva, para lo que es necesario que las Administraciones Públicas, en su calidad de responsable del tratamiento, cumplan con una serie de medidas que garanticen dicho cumplimiento.

Esas medidas son las que vamos a ir desgranando en los siguientes puntos.

Licitud del tratamiento

Con carácter general, la base legitimadora para el tratamiento de datos en la Administración Pública será el cumplimiento de una labor de interés público, o para el ejercicio de poderes públicos, los cuales necesariamente han de estar recogidos en una norma de rango legal.

Asimismo, habrá casos en los que el tratamiento de datos personales se sustente en el consentimiento de los interesados, para lo cual la Administración Pública deberá recoger un consentimiento libre, informado y específico, prestado por los interesados a través de una manifestación que contenga claramente su voluntad de consentir o autorizar, o a través de una inequívoca acción informativa. Este consentimiento expreso es el único que reconocen el RGPD y la LOPD.

Cabe señalar que el consentimiento es granular, es decir, se debe recabar un consentimiento único para cada finalidad diferente.

Registro de actividades de tratamiento

Es obligación de la Administración Pública como responsable del tratamiento, llevar el denominado registro de actividades de tratamiento (RAT), a través del cual se documenta todo lo relacionado con los tratamientos de datos personales que se llevan a cabo.

El registro de actividades de tratamiento debe estar por escrito (incluido en formato electrónico) y, aunque no es necesario inscribirlo en ningún registro, sí debe estar a disposición de la Agencia Española de Protección de Datos (AEPD) cuando esta lo solicite.

El RAT deberá contener la siguiente información:

  • Nombre y datos de contacto del responsable del tratamiento (o su representante)
  • Finalidad del tratamiento
  • Nombre y datos de contacto del Delegado de Protección de Datos (DPO)
  • Categorías de datos personales
  • Categorías de interesados
  • Categorías de destinatarios de los datos
  • Transferencias internacionales y sus garantías
  • Descripción de las medidas de seguridad
  • Plazos previstos de conservación de los datos

Garantizar la seguridad del tratamiento de datos

Para poder garantizar la seguridad del tratamiento, la Administración Pública debe adoptar medidas técnicas y organizativas que aseguren la confidencialidad, integridad y disponibilidad de los datos, es decir, tomar medidas de seguridad que garanticen que no habrá accesos no autorizados, que los datos no podrán modificarse y/o destruirse.

Para ello deberá:

  • Análisis de riesgos y evaluación de impacto:

Realizar un análisis de riesgos que pueden derivarse de los tratamientos de datos para los derechos y libertades de los ciudadanos.

Además, se debe estudiar los tratamientos que se realizan y valorar si los mismos requieren de una evaluación de impacto (EIPD) en el caso de que supongan un alto riesgo para los derechos y libertades de los interesados.

Es importante matizar que el RGPD recoge de forma expresa que los tratamientos basados en un fin público o relacionados con el ejercicio de poderes públicos, pueden no ser objeto de EIDP siempre y cuando la norma legitimadora regule las operaciones de tratamiento y se haya elaborado una EIPD de carácter general sobre el órgano administrativo.

Las conclusiones y resultado del análisis de riesgos y, si ha sido necesaria, la EIPD, servirán para determinar e implementar las medidas de seguridad necesarias para reducir las posibilidades de que los riesgos detectados ocurran y, en caso de hacerlo, que el impacto para los derechos y libertades de los ciudadanos sea mínimo.

  • Aplicar medidas de seguridad (ENS):

El Esquema Nacional de Seguridad es la herramienta encargada de definir la política de seguridad que las Administraciones Públicas han de cumplir en materia de seguridad, en la utilización de medios electrónicos. Es un contenido adicional a lo ya dispuesto en la normativa de protección de datos y se constituye en los principios básicos y obligaciones mínimas que permiten una protección adecuada de la información y de los datos personales en ella recogidos.

En el caso de que se produzca un incidente de seguridad que pueda poner en riesgo los datos personales de los interesados, la Administración Pública debe notificar la brecha de seguridad tanto a la AEPD como a los propios interesados cuyos datos hayan podido verse afectados.

Esta notificación debe informar, como mínimo, de la naturaleza de la brecha de seguridad, las categorías de afectados, el número aproximado de interesados afectados, las categorías de datos comprometidas, el número de registros de datos personales afectados, la identidad del DPO, las posibles consecuencias de la brecha de seguridad y las medidas que se hayan adoptado o se vayan a adoptar para solucionarla.

El plazo para hacer la comunicación es de 72 horas, a contar desde el momento en que se detectó el incidente.

tarifas proteccion datos

Informar a los interesados

Se debe informar a los interesados siempre de que sus datos van a ser tratados, especialmente cuando la base legitimadora para dicho tratamiento no es el consentimiento.

Esta información debe ser concisa, transparente, inteligible y acceso fácil, utilizando para ello un lenguaje claro y sencillo.

Esto obliga a prescindir de fórmulas especialmente formalistas y enrevesadas, necesitando que las cláusulas informativas expliquen el contenido de una forma clara y de fácil asimilación.

Se debe informar de quién es el responsable del tratamiento (y, en su caso, el encargado del tratamiento y el DPO), la finalidad o finalidades del tratamiento, el plazo de conservación de los datos y si serán cedidos a terceros.

También se debe informar a los interesados sobre la posibilidad de ejercer sus derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición). Así mismo, también se les informará de la posibilidad de reclamar ante la AEPD.

Contratos de encargo de tratamiento

Tanto el RGPD como la LOPDGDD establecen una obligación de diligencia sobre la selección de los encargados de tratamiento. Esto se traduce en que los responsables han de contratar bajo criterios objetivos, garantizando que los encargados que tendrán acceso a datos personales de los cuales son responsables tengan implementados todas las medidas de seguridad y demás obligaciones previstas en la normativa.

Es decir, la Administración Pública debe asegurarse que las empresas o profesionales con los que contrata servicios que impliquen el acceso a los datos personales de los ciudadanos o de los funcionarios, cumplen a su vez con la normativa de protección de datos y que cuentan con todas las garantías necesarias.

Esta relación entre la Administración Pública como responsable del tratamiento y los encargados del tratamiento, debe formalizarse a través de un contrato de encargo de tratamiento, que como mínimo contendrá:

  • Instrucciones del responsable del tratamiento
  • Observar el deber de confidencialidad
  • Las medidas de seguridad
  • El régimen de subcontratación
  • La forma en la que el encargado asistirá al responsable para responder las solicitudes de derechos de los interesados
  • La colaboración en el cumplimiento de las obligaciones del responsable
  • Qué hacer con los datos una vez finalizado el contrato

Designación del DPO

El RGPD recoge expresamente que designar un DPO es obligatorio cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.

Asimismo, se recoge la posibilidad de que pueda nombrarse un único DPO para varias administraciones a tenor de su tamaño y estructura organizativa. Además, aunque el DPO puede ser nombrado a nivel interno, se podrán contratar los servicios de uno externo, por ejemplo, a través de una consultoría externa especializada en protección de datos.

Videovigilancia

Puesto que las Administraciones Públicas son espacios que normalmente están videovigilados, se deberán tener en cuenta todas las obligaciones respecto a videovigilancia y protección de datos; colocar los correspondientes carteles informativos sobre zona videovigilada en los accesos a la misma, facilitar la información correspondiente a los derechos de los interesados y garantizar el acceso restringido a las imágenes captadas por el sistema de seguridad.

Finalmente, no debemos olvidar cuestiones accesorias que las Administraciones Públicas han de tener muy en cuenta en esta materia, tales como elaborar e implementar un plan de formación y concienciación para empleados, o crear protocolos internos de autocontrol que minoren o puedan prevenir posibles brechas de seguridad de la información.