Los servicios sociales públicos manejan datos personales para poder llevar a cabo la gestión de los diferentes servicios, prestaciones y ayudas que dependen de ellos, además, al ser competencias muchas veces compartidas entre administraciones locales y administraciones autonómicas, se producen cesiones de dichos datos personales entre ellas. En este artículo analizamos cómo gestionar la protección de datos en servicios sociales públicos.
En este artículo hablamos de:
Los servicios sociales públicos tienen acceso a un gran volumen de datos personales debido a los diferentes servicios, prestaciones y asistencia a la ciudadanía que gestionan; además, no solo hablamos de datos identificativos, económicos o educativos, sino también de datos de categorías especiales, como pueden datos de carácter étnico o racial, datos relativos a la salud, de pertenencia a minorías (religiosas, étnicas, etc.), de orientación sexual, etc.
Por ese motivo, la protección de datos en servicios sociales es una de sus funciones, es decir, los servicios sociales, como cualquier otra administración pública o entidad privada que maneja datos personales de manera sistemática y, además, en un volumen considerable, debe cumplir con la Ley de Protección de Datos de Carácter Personal.
Por señalar algunos ejemplos donde la protección de datos en el ámbito de los servicios sociales siempre debe tenerse presente, encontramos la tramitación y gestión de:
- Pensiones
- Adopciones (nacionales e intencionales)
- Atención a víctimas de violencia de género
- Servicios de dependencia
- Programas asistenciales para personas mayores
- Mediación familiar
- Prestaciones y ayudas económicas (como las rentas de inserción social de las CC. AA. o el Ingreso Mínimo Vital)
- Servicios de atención a menores
- Servicios de atención a inmigrantes
De estos ejemplos que hemos citado, se desprende lo que decíamos al principio de este punto, que los servicios sociales públicos tratan datos personales tanto de categorías básicas como de categorías especiales, lo que implica cumplir con las obligaciones que establecen tanto el RGPD como la LOPDGDD, así como las directrices dadas por la AEPD respecto a la protección de datos en la administración pública (la elaboración y publicación de guías sectoriales sobre protección de datos, es una de las funciones de la AEPD, a través de las cuales soluciona dudas específicas sobre la gestión y el tratamiento de datos personales para y en diferentes sectores, como el que nos ocupa en este artículo).
Para cumplir con la Ley de Protección de Datos, los servicios sociales públicos deben contemplar las obligaciones y requisitos que establecen tanto el RGPD como la LOPDGDD, de la misma forma que cualquier otra administración pública, atendiendo siempre a la categoría de datos personales que están tratando (con especial atención cuando en la protección de datos en servicios sociales en el ámbito infantil, en el que se tratan datos personales de menores de 14 años, que en determinados casos, además, están tutelados por la administración y, por tanto, es quien consentirá o no a los tratamientos de datos en nombre del menor, cuando este consentimiento sea necesario).
A continuación repasamos los principales aspectos de la normativa de protección de datos que los servicios sociales públicos deben tener en consideración y cumplir.
Licitud del tratamiento
La licitud del tratamiento de datos personales en los servicios públicos está, con carácter general, en el cumplimiento de una labor de interés público, en el ejercicio de poderes públicos o para el cumplimiento de una obligación legal, incluso para proteger intereses vitales del interesado (art. 6 del RGPD).
La misma consideración en cuanto a la licitud del tratamiento debe aplicarse a los datos de categorías especiales (art. 9 del RGPD), aunque en estos casos será necesario el consentimiento expreso de los interesados para llevar a cabo el tratamiento de datos.
Registro de actividades del tratamiento
Los servicios sociales deberán llevar un registro de actividades de tratamiento (RAT), en el que documentarán todo lo relativo a los tratamientos de datos personales que sea necesario llevar a cabo para la tramitación y gestión de sus servicios y prestaciones.
El RAT deberá llevarse por escrito (incluido el soporte digital), estar actualizado y ponerlo a disposición de la AEPD cuando esta lo solicite. Deberá realizarse un RAT por cada actividad de tratamiento que se lleve a cabo y este recogerá la siguiente información:
- Nombre y datos de contacto del responsable del tratamiento (o su representante)
- Finalidad del tratamiento
- Nombre y datos de contacto del Delegado de Protección de Datos (DPO)
- Categorías de datos personales
- Categorías de interesados
- Categorías de destinatarios de los datos
- Transferencias internacionales y sus garantías
- Descripción de las medidas de seguridad
- Plazos previstos de conservación de los datos
Seguridad de los datos
Es obligación de cada servicio social garantizar la seguridad de los datos personales que traten en el desempeño de sus funciones. Para ello deben adoptar las medidas técnicas y organizativas necesarias para garantizar la confidencialidad, integridad y disponibilidad de los datos, evitando accesos no autorizados a los datos, su pérdida, robo o destrucción.
Para poder adoptar las medidas de seguridad más adecuadas y efectivas, los servicios sociales deberán realizar los correspondientes análisis de riesgos y, en el caso de los datos de categorías especiales, una evaluación de impacto, que determinen qué amenazas pueden derivarse de los tratamientos que van a realizar y cómo pueden afectar a los derechos y libertades de los interesados.
Estas medidas de seguridad tienen como objetivo minimizar las probabilidades de que los riesgos y amenazas que puede conllevar la realización de un tratamiento de datos personales se materialicen y, en caso de hacer, reducir el impacto negativo que puedan tener en los derechos y libertades de los ciudadanos.
Al ser una administración pública, los servicios sociales también deben aplicar las recomendaciones y medidas de seguridad establecidas en el Esquema Nacional de Seguridad (ENS).
Así mismo, cuando se produzca un incidente o brecha de seguridad que pueda suponer un riesgo para los derechos y libertades de los interesados, el servicio social afectado deberá notificar dicha brecha de seguridad tanto a la AEPD como a los propios interesados cuyos datos se hayan visto afectados, en un plazo máximo de 72 horas, a contar desde el momento en que se descubrió el incidente.
La notificación de las brechas de seguridad informará de la naturaleza de la brecha de seguridad, las categorías de datos afectadas, el número de interesados afectados, la identidad del DPO, las posibles consecuencias y las medidas adoptadas para solucionarla.
Información a los interesados
Los servicios sociales informarán siempre a los interesados siempre que sus datos vayan a ser tratados y deberán hacerlo de forma clara, comprensible, transparente y facilitando el acceso a dicha información. Esto es especialmente importante cuando la base legitimadora para el tratamiento de datos no se basa en el consentimiento explícito de los interesados o los datos tratados provienen de una cesión de datos de otra administración.
Se informará a los interesados mediante los medios que se consideren más adecuados (anexos en documentación o formularios, enlaces web, folletos, etc.). Dicha información hará referencia a:
- Identificación del responsable del tratamiento y, en su caso, del encargado del tratamiento
- Identificación del Delegado de Protección de Datos (DPO)
- Finalidad del tratamiento
- Plazo de conservación de los datos
- Cesión a terceros
- Cómo y a través de qué vía ejercer los derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición) y la posibilidad de reclamar ante la AEPD
Esta información debe darse siempre con carácter previo a realizar el tratamiento de datos personales o en el momento de recabarlos.
Designación del DPO
Los servicios sociales deberán designar un DPO, puesto que es una de las obligaciones contempladas en el RGPD para las autoridades u organismos públicos. Puesto que el RGPD admite que se pueda nombrar un DPO para varias administraciones (siempre que pueda ejercer sus obligaciones y funciones de manera adecuada), es posible que no sea necesario que cada servicio social nombre su propio DPO, si la administración de la que depende ya cuenta con uno.
En cualquier caso, el DPO podrá ser nombrado tanto a nivel interno, siendo un empleado del servicio social con conocimientos y experiencia en materia de protección de datos, como externo, contratando los servicios de una consultoría especializada en la materia.
Contratos de encargo de tratamiento
Si los servicios sociales deben ceder datos personales a otras entidades u organizaciones, contratadas para llevar a cabo algún servicio que requiera del tratamiento de esos datos personales, se deberá firmar con estas un contrato de encargo del tratamiento.
Este contrato, que establece la relación entre los servicios sociales como responsables del tratamiento y los encargados del tratamiento con los que ha contratado la prestación de un servicio, contendrá los siguientes puntos:
- Instrucciones del responsable del tratamiento para el encargado respecto al uso de los datos personales cedidos
- Observar el deber de confidencialidad
- Las medidas de seguridad
- Si se permite o no la subcontratación al encargado
- Cómo asistirá el encargado al responsable en la respuesta las solicitudes de derechos de los interesados
- La colaboración en el cumplimiento de las obligaciones del responsable
- Qué hará el encargado con los datos una vez finalizado el contrato
Así mismo, cuando los servicios sociales cedan datos a terceros, deberán informar de ello a los interesados. Además, en el caso de tratarse de datos de categorías especiales, deberán recabar el consentimiento de los interesados para ello.
Cuando la cesión de datos se produzca entre administraciones públicas, no será necesario realizar un contrato de encargo del tratamiento y, en el caso de que la cesión se produzca al Ministerio Fiscal, Jueces y Tribunales, la Administración Tributaria o la Inspección de Servicios Sociales, no será tampoco necesario el consentimiento del interesado, aunque sí deberá informársele de ello.
Finalmente, y dada la naturaleza de algunos de los datos personales que se tratan en los servicios sociales, es recomendable establecer un plan de formación y concienciación para los empleados sobre la importancia de la protección de datos y la confidencialidad de la información, además de crear protocolos internos de protección de datos que ayuden a reforzar la seguridad de la información.