¿Cómo deben cumplir la Ley de Protección de datos los ayuntamientos? ¿Tienen alguna obligación específica de la normativa que cumplir? En este artículo explicamos cómo adaptar un ayuntamiento a la normativa de protección de datos.
En este artículo hablamos de:
- Ayuntamientos y protección de datos
- ¿Cómo deben adaptarse a la normativa de protección de datos los ayuntamientos?
- Licitud del tratamiento
- Información a los interesados
- Registros de actividades de tratamiento
- Análisis de riesgos y EIPD
- Contrato de encargos de tratamiento
- Delegado de Protección de Datos (DPO)
- Obligaciones para la página web del ayuntamiento
- Notificación de brechas de seguridad
- Videovigilancia y grabación de los plenos
- Formación de empleados
- ¿Necesita tu ayuntamiento adaptarse a la Ley de Protección de Datos?
Ayuntamientos y protección de datos
Los ayuntamientos, como cualquier otra administración pública, están obligados a cumplir con la normativa de protección de datos, recogida en el RGPD y la LOPD, puesto que en el desempeño de sus actividades y en la gestión de trámites que realicen estas administraciones públicas locales, se llevan a cabo tratamientos de datos personales.
Ejemplos de estos tratamientos de datos habituales llevados a cabo por los ayuntamientos tenemos: gestión del padrón municipal, gestión de subvenciones y ayudas, concesión de obras y licencias, policía local, la gestión de impuestos, la creación y gestión de bolsas de trabajo, el registro de documentos, los servicios sociales, etc.
Cumplir con la protección de datos en administraciones públicas, incluidos los ayuntamientos, requiere cumplir con los principios de protección de datos recogidos en el RGPD:
- Principio de licitud, lealtad y transparencia: Se informará siempre a los interesados del tratamiento de sus datos y este deberá tener una base jurídica basada en el consentimiento expreso o en algunas las circunstancias recogidas en los artículos 6 y 9 del RGPD.
- Principio de limitación de la finalidad: Los datos solo podrán recogerse para fines determinados, explícitos y legítimos.
- Principio de minimización: Solo se recogerán los datos necesarios para cumplir con la finalidad propuesta.
- Principio de exactitud: Los datos deben ser exactos y estar actualizados, debiendo suprimirlos o actualizarlos cuando sean inexactos.
- Principio de limitación del plazo de conservación: Los datos solo se conservarán el tiempo necesario para cumplir con la finalidad propuesta.
- Principio de integridad y confidencialidad: Se debe garantizar la seguridad y protección de los datos tratados.
- Principio de responsabilidad proactiva: El responsable del tratamiento, en este caso el ayuntamiento, debe ser capaz de demostrar que cumple con las obligaciones en materia de protección de datos.
Para cumplir estos principios, los ayuntamientos deben cumplir una serie de obligaciones, que detallamos en los siguientes puntos.
¿Cómo deben adaptarse a la normativa de protección de datos los ayuntamientos?
Para adaptarse al RGPD y a la LOPD, los ayuntamientos deben tomar y aplicar una serie de medidas con las que podrán cumplir con los principios y obligaciones de la normativa.
Licitud del tratamiento
Cuando hablamos de licitud del tratamiento en protección de datos y administración local, en la mayoría de los casos la base jurídica será una de las siguientes:
- El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.
- El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
Además, es necesario que exista una norma con rango de ley que regule o ampare el tratamiento de datos, como son, por ejemplo, la Ley de Bases de Régimen Local (para los tratamientos del Padrón Municipal) o la Ley Reguladoras de las Haciendas Locales (para el tratamiento de datos de los impuestos locales).
En relación al consentimiento en el RGPD y la LOPD, los ayuntamientos no tendrán necesidad de recabarlo cuando concurran las dos bases jurídicas citadas anteriormente. Tampoco tendrán que recabarlo para verificar la exactitud de los datos personales manifestados por los ciudadanos que obren en poder de otros organismos de la administración pública.
Cuando la base jurídica sea el consentimiento (por ejemplo, cuando los ciudadanos se suscriben un servicio de notificaciones del ayuntamiento), este deberá ser expreso, informado y libre (no siendo válido el consentimiento tácito).
Información a los interesados
Los interesados (los titulares de los datos, es decir, los ciudadanos) deben ser informados por el ayuntamiento de todo lo relativo al tratamiento de sus datos. Esta información debe ser concisa, comprensible y de fácil acceso.
Se informará a los interesados de:
- La identidad del responsable del tratamiento (y en su caso, del encargado del tratamiento y del Delegado de Protección de Datos)
- La finalidad o finalidades del tratamiento
- El plazo de conservación de los datos
- Si los datos se cederán a terceros (incluidas transferencias internacionales de datos)
- Sobre sus derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición), cómo y a través de qué vía ejercerlos, y la posibilidad de reclamar ante la AEPD
- Su derecho a revocar el consentimiento, si el tratamiento está basado en este
El RGPD y la LOPD no especifican cómo debe suministrarse esta información, pero la AEPD recomienda hacerlo mediante capas informativas: una primera capa esquemática con la información básica y la indicación de dónde encontrar el resto de la información, es decir, la segunda capa informativa, que contendrá la información completa sobre el tratamiento de datos. De manera que se pueden recurrir a anexos, cláusulas, políticas de privacidad, etc.
Así mismo, cuando los datos no se hayan obtenido directamente del interesado, se debe informar de:
- El origen de los datos
- Las categorías de los datos
Registros de actividades de tratamiento
Los ayuntamientos deben mantener actualizado y por escrito (incluido el formato electrónico) el registro de actividades de tratamiento (RAT), en que se describen los tratamientos de datos que se realizan en el ayuntamiento. Si bien no es necesario inscribir el RAT en ningún registro, sí que deberá ponerse a disposición de la AEPD, en caso de que esta lo solicite en el transcurso de una inspección o una investigación.
El RAT deberá contener la siguiente información:
- Nombre y datos de contacto del responsable del tratamiento (y en su caso del representante del responsable, del encargado del tratamiento y del Delegado de Protección de Datos)
- Finalidad del tratamiento
- Descripción de las categorías de interesados
- Descripción de las categorías de datos
- Categorías de destinatarios a los que se les comunicarás los datos personales
- Si procede, información relativa a las transferencias de datos personales internacionales y sus garantías
- Plazos de conservación previstos
- Descripción general de las medidas de seguridad adoptadas
Así mismo, la LOPD establece que los ayuntamientos deben publicar su RAT en su página web.
Análisis de riesgos y EIPD
Los ayuntamientos deberán realizar los correspondientes análisis de riesgos y, en su caso, evaluación de impacto en protección de datos, de los tratamientos de datos ya existentes o que tengan previstos realizar.
Los análisis de riesgos y las EIPD permiten identificar riesgos y medir su probabilidad de materialización e impacto para los derechos y libertades de los interesados. Sus conclusiones sirven para adoptar e implementar las medidas técnicas y organizativas de seguridad más adecuadas, que sean capaces de garantizar la confidencialidad, integridad y disponibilidad de los datos.
Los ayuntamientos con menos de 20.000 habitantes podrán contar con el apoyo de la Diputación Provincial para realizar estos análisis de riesgos y EIPD.
Cabe señalar que, respecto a las medidas de seguridad a implementar, los ayuntamientos deben aplicar aquellas contempladas en el Esquema Nacional de Seguridad. Estas medidas deberán completarse, en caso necesario, con aquellas medidas de seguridad más centradas en la protección de datos.
Contrato de encargos de tratamiento
Si el ayuntamiento contrata servicios con terceros que requieran comunicar o ceder datos personales a estos terceros para llevar a cabo dicho servicio, deberán firmarse con ellos un contrato de encargo de tratamiento, si bien, previamente, el ayuntamiento habrá comprobado que el proveedor cumple con la normativa de protección de datos.
En el contrato de encargo de tratamiento, el ayuntamiento, como responsable del tratamiento, establecerá los términos en los que se debe ceden los datos, para qué finalidad, durante cuánto tiempo, el deber del encargado de contar con las medidas de seguridad adecuadas y qué hacer con los datos una vez finalizado el plazo dado.
Delegado de Protección de Datos (DPO)
Los ayuntamientos son una de esas organizaciones en las que el Delegado de Protección de Datos es obligatorio. La ley permite que este pueda ser designado a nivel interno (siempre que tenga conocimiento y experiencia en protección de datos) o contratar los servicios de un DPO externo (sus funciones y responsabilidades serán las mismas). Así mismo, podrá dedicarse a las funciones de DPO de manera total o parcialmente (en este segundo caso, la otra actividad no debe crear conflicto de intereses con las obligaciones de DPO).
En los ayuntamientos con más de 20.000 habitantes y en función del volumen de datos tratados, el DPO podrá contar con un departamento de apoyo. Los ayuntamientos con poblaciones por debajo de los 20.000 habitantes, podrán designar su propio DPO o depender del DPO de la Diputación Provincial o Comunidad Autónoma correspondiente.
Aunque la normativa permite designar a un único DPO para el ayuntamiento, en administraciones locales sería recomendable contar con DPO diferentes para ocuparse de sus grandes unidades u órganos con entidad.
El DPO debe ser independiente y autónomo.
Obligaciones para la página web del ayuntamiento
Las páginas web de los ayuntamientos también deberán tener publicadas y fácilmente accesibles desde cualquier sección de la web, los siguientes apartados:
- Aviso legal
- Política de privacidad
- Política de cookies
Notificación de brechas de seguridad
En el caso de que se produzca un incidente de seguridad que ponga en riesgo los datos personales tratados por el ayuntamiento, y que dicho riesgo pueda tener un alto impacto en los derechos y libertades de los interesados, el ayuntamiento deberá notificar la brecha de seguridad tanto a la AEPD como a los interesados afectados, en un plazo no superior a 72 horas, a contar desde el momento en que se tuvo noticia del incidente.
Videovigilancia y grabación de los plenos
Si el ayuntamiento instala cámaras de videovigilancia, deberá cumplir con las obligaciones de protección al respecto, es decir, colocar los carteles de zona videovigilada en los accesos a la misma, facilitar la información correspondiente al tratamiento y los derechos de los interesados, e incluir este tratamiento en el registro de actividades de tratamiento.
En cuanto a la grabación de los plenos, esta está regulada por la Ley de Bases de Régimen Local, que permite la grabación de los mismos, con las limitaciones establecidas en el artículo 70.
En cuanto a protección de datos, se deberán tener en cuenta las consideraciones dispuestas en el RGPD y la LOPD por parte de quien haga la grabación, especialmente si se tiene intención de difundirla
Formación de empleados
Los ayuntamientos deberán formar y concienciar a los empleados en materia de protección de datos y en las obligaciones que deben cumplir al trabajar con datos personales.
¿Necesita tu ayuntamiento adaptarse a la Ley de Protección de Datos?
Si tu ayuntamiento necesita adaptarse a la Ley de Protección de Datos, Grupo Atico34 cuenta con años de experiencia en ayudar a entidades públicas y privadas a cumplir con la normativa de protección de datos. Nuestro equipo profesional asesorará y asistirá a las administraciones locales para que cumplan con todas sus obligaciones, incluida la contratación del DPO.