En diciembre se aprobó en España la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) que deroga la antigua LOPD de 1999. Con esta ley se adapta el RGPD a nuestro país, aplicable desde mayo de 2018.

Esta nueva normativa ha introducido importantes novedades, tanto en el sector privado como en el público. Por ello, las Administraciones públicas deben adaptar su actividad a los requerimientos establecidos por el RGPD y la LOPDGDD.

A continuación veremos cuáles son las principales obligaciones de las Administraciones públicas para cumplir esta normativa.

¿Cómo deben cumplir el RGPD las Administraciones públicas?

En el ejercicio de una gran cantidad de actividades, las Administraciones públicas actúan como responsables y como encargados del tratamiento. Por eso, estas actuaciones estarán afectadas por el RGPD.

Como ejemplos de tratamientos de datos por la Administración pública podemos destacar la imposición de multas, cobros de impuestos, gestión del padrón municipal de habitantes, concesión de ayudas sociales o subvenciones, etc.

Con carácter general, las obligaciones de estas entidades públicas para cumplir el RGPD serán las mismas que para el resto de empresas y entidades privadas. Pero en determinados ámbitos esas obligaciones son diferentes.

Así, las obligaciones de las Administraciones públicas para cumplir el RGPD y la LOPDGDD son:

  1. Garantizar a los ciudadanos el ejercicio de sus derechos
  2. Adecuar los formularios y trámites en la recogida de datos
  3. Solicitar el consentimiento expreso
  4. Adaptar las relaciones con los encargados del tratamiento
  5. Nombrar un Delegado de Protección de datos
  6. Realizar un Registro de Actividades de tratamiento
  7. Efectuar un Análisis de riesgos y, en su caso, una Evaluación de impacto
  8. Aplicar el Esquema Nacional de Seguridad
  9. Garantizar los derechos digitales
  10. Bloquear los datos

Ahora vamos a analizar por separado cada una de estas obligaciones.

1. Derechos de los ciudadanos

Una de las principales novedades introducidas por el RGPD es la ampliación de los tradicionales derechos ARCO (acceso, rectificación, cancelación y oposición). A estos se añaden nuevos derechos como el derecho a la portabilidad, el derecho al olvido y el derecho de limitación del tratamiento.

Las Administraciones públicas deben establecer medios electrónicos para facilitar a los ciudadanos el ejercicio de estos derechos. Esos medios deben ser fácilmente accesibles para los interesados. No puede denegarse ese ejercicio del derecho cuando el interesado utilice otro medio para solicitarlo.

Portabilidad de los datos

Este derecho supone que el interesado puede solicitar al responsable del tratamiento al que haya facilitado sus datos y estos se estén tratando automáticamente la recuperación de esos datos en un formato que le permita trasladarlos a otro responsable. El responsable del tratamiento debe transferir directamente esos datos al nuevo responsable indicado por el interesado, si es posible.

Derecho al olvido

Las entidades públicas tienen la obligación de facilitar a los ciudadanos la opción de solicitar que sus datos personales sean eliminados en una serie de supuestos:

  • No sean necesarios para el fin para el cual se recopilaron
  • Hayan revocado su consentimiento para seguir tratándolos
  • Los datos hayan sido recogidos ilícitamente

En el año 2014, una sentencia del Tribunal europeo de Justicia reconoció por primera vez el derecho al olvido que se regula ahora en el RGPD. Este derecho supone la solicitud del interesado de que las listas de resultados de los buscadores de Internet bloqueen los enlaces a informaciones que le afecten. Para aceptar este derecho, la información debe ser irrelevante, obsoleta, incompleta, falsa o sin interés público.

Limitación del tratamiento

El afectado puede solicitar al responsable del tratamiento la limitación de ese tratamiento de sus datos siempre que se de alguno de estos requisitos:

  • Se haya reclamado la inexactitud de los datos por el interesado (se limitará el tratamiento mientras se verifica esa exactitud).
  • El tratamiento sea ilícito y el interesado solicite la limitación de este en lugar de la supresión de los datos.
  • Los datos personales ya no sean necesarios para los fines del tratamiento pero el interesado los necesite para ejercer alguna reclamación.

2. Adaptación de formularios y trámites de recogida de datos

Las Administraciones públicas disponen de diversos formularios para la gestión administrativa, envían diariamente correos electrónicos y tienen a disposición de los ciudadanos modelos de solicitudes. Todos esos documentos deben adaptar la información que se facilita a los interesados y las políticas de privacidad.

En esa información deben incluir todos los derechos que tienen los interesado y los medios para ejercerlos.

Además, deben incluir la siguiente información:

  • Base de legitimación para ese tratamiento
  • Datos de contacto del DPO
  • Criterios y plazos de conservación de los datos
  • Si van a elaborarse perfiles o a adoptar decisiones automatizadas
  • Si se realizarán transferencias internacionales
  • Derecho a reclamar ante la AEPD
  • Origen y clase de datos que tiene del interesado, si este no ha sido quien los ha proporcionado

Esta información debe proporcionarse al interesado de manera que sea fácilmente comprensible por el mismo.

Los mecanismos a través de los que se recogen datos en las entidades públicas son muy variados. Formularios en papel, entrevista telefónica, navegación o formularios Web, registro de aplicaciones móviles, datos de actividad personal y datos de sensores (IoT), entre otros. Y todos ellos deben revisarse y adaptarse a estos requisitos exigidos por el RGPD.

3. Consentimiento expreso

Con la nueva normativa se introducen mayores exigencias en la obtención del consentimiento. Ese consentimiento deberá ser verificable para ser considerado válido. Es decir, quien recoge los datos personales debe poder demostrar que el titular de esos datos le dio su consentimiento. Por eso deben establecerse los mecanismos que permitan posteriormente realizar esa comprobación.

La mayoría de las veces, la legitimación para el tratamiento de los datos en las Administraciones públicas es el consentimiento. Y no sirve cualquier forma para acreditar dicho consentimiento, deben cumplirse los requisitos previstos en la normativa de Protección de datos. Ese consentimiento debe ser libre, informado, inequívoco y específico. Es decir, debe existir una clara acción afirmativa de los interesados en ese sentido.

En la Ley del Procedimiento Administrativo Común de las Administraciones públicas de 2015 se indica que la consulta de los datos de los interesados se considera autorizada por estos, salvo que en el procedimiento conste su expresa oposición o la ley específica que resulte aplicable exija un consentimiento expreso. En esos casos debe informarse previamente a los interesados sobre el ejercicio de sus derechos en materia de Protección de datos. Este artículo, no obstante, ha sido modificado para adaptarlo al RGPD.

4. Relaciones con encargados del tratamiento

La protección de datos regulada en el RGPD se basa en la prevención y requiera la aplicación de medidas organizativas que garanticen su cumplimiento. Por ello es fundamenta la responsabilidad proactiva y la privacidad desde el diseño, nuevos conceptos establecidos en el RGPD.

En la antigua LOPD, la responsabilidad en materia de Protección de datos correspondía al responsable del tratamiento: toda persona física o jurídica, publica o privada, a la que le corresponda decidir sobre el contenido y finalidad del tratamiento.

Con el RGPD y la LOPDGDD se incluyen nuevas figuras responsables de esa protección, como el encargado del tratamiento y el Delegado de Protección de datos.

Los responsables y encargados del tratamiento tienen la obligación de establecer las medidas técnicas y organizativas adecuadas para garantizar que ese tratamiento se adecua a la normativa de Protección de datos.

Por tanto, la relación entre responsable y encargado del tratamiento debe recogerse en un contrato donde se indique:

  • Naturaleza, objeto, finalidad y duración del tratamiento
  • Tipo de datos personales y de afectados en ese tratamiento
  • Derechos y obligaciones del encargado del tratamiento

En la LOPDGDD se indica que los contratos con encargados del tratamiento celebrados antes del 25 de mayo de 2018 seguirán vigentes hasta su vencimiento y, si se han realizado con carácter indefinido, hasta el 25 de mayo de 2022. De todas formas, durante este tiempo, cualquiera de las partes puede exigir la modificación de este contrato para adaptarlo a las previsiones del RGPD.

5. Nombrar Delegado de Protección de Datos

Entre los supuestos recogidos por el RGPD en los que es necesaria la designación de un DPO están los tratamientos realizados por un organismo o autoridad pública. Por tanto, todas las Administraciones públicas deben nombrar un DPO.

El DPO designado por las Administraciones públicas debe demostrar su competencia en materia de Protección de datos y eso puede hacerlo a través de los mecanismos de certificación establecidos por la AEPD.

No es necesario que el DPO forme parte de la organización de la propia administración, puede contratarse de forma externa. Tampoco es necesario que desempeñe sus funciones en exclusiva, puede realizar su trabajo a tiempo parcial dependiendo del tamaño de la entidad, cantidad de tratamientos realizados o datos sensibles que se manejen.

Se exige que el DPD tenga conocimientos especializados del Derecho y práctica en materia de Protección de datos.

El RGPD prevé que cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público se pueda designar un único DPO para varios de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño. En el ámbito local, podrían las Diputaciones Provinciales o las CCAA uniprovinciales desarrollar esta tarea, en ejercicio de su competencia de asistencia y cooperación técnica, respecto a los municipios más pequeños.

6. Registro de Actividades de tratamiento

La nueva normativa ha sustituido la inscripción de ficheros por la elaboración de un Registro de actividades de tratamiento. En este documento deben quedar registrados los tipos de tratamientos realizados, la legitimación para ello, las clases de datos y de interesados, la finalidad del tratamiento, si se realizan cesiones o transferencias internacionales y el plazo de conservación de los datos.

Esta obligación afecta tanto a responsables como a encargados del tratamiento.

El documento debe mantenerse siempre actualizado y a disposición de la AEPD en caso de que lo solicite.

7. Análisis de riesgos y Evaluación de impacto

El RGPD exige la realización de un análisis de riesgos para determinar los posibles riesgos asociados a un determinado tratamiento y, en base a los mismos, aplicar las adecuadas medidas de seguridad para reducirlos o impedir que se materialicen esos riesgos.

Las Administraciones públicas disponen de sistemas de análisis de riesgos basados fundamentalmente en la seguridad de la información. Pero esos sistemas deben ampliarse para incluir riesgos derivados del incumplimiento de la normativa de Protección de datos. Para adecuar estos sistemas y herramientas de análisis existe una colaboración de la AEPD con el Centro Criptológico Nacional.

En caso de que se realicen tratamientos que supongan un riesgo elevado para los derechos y libertades de los afectados es necesario realizar también una Evaluación de impacto. En ella se determinarán igualmente los riesgos asociados al tratamiento concreto y se adoptarán las adecuadas medidas de protección.

En el RGPD se establece que no sería necesaria una Evaluación de impacto en tratamientos referidos al ejercicio de funciones públicas si la norma legitimadora recoge las operaciones de tratamiento y ya se ha realizado una Evaluación de impacto general sobre esa administración pública.

8. Esquema Nacional de Seguridad

En el RGPD no se establecen unas medidas concretas de seguridad a aplicar a los tratamientos de datos. Únicamente se indica que son los responsables y encargados del tratamientos los que deben valorar las medidas a aplicar atendiendo a los tipos de tratamientos realizados, los riesgos existentes, el estado de la técnica, el contexto y los costes.

Las medidas de seguridad establecidas para las Administraciones públicas se recogen en el Esquema Nacional de Seguridad. En él se recogen los requisitos mínimos de seguridad que deben aplicar los organismos públicos, las herramientas disponibles, las auditorías de seguridad y las respuestas a incidentes de seguridad.

En el actual ENS las medidas de seguridad referidas a la protección de datos se remiten a la antigua legislación por lo que se está revisando el mismo para adecuarlo a las obligaciones del RGPD.

9. Derechos digitales

La LOPDGDD introduce como principal novedad el Título X referido a la «Garantía de los Derechos Digitales». En este título se recogen derechos que introducen en nuestro ordenamiento jurídico aspectos necesarios para adaptar la ley a la sociedad actual en la que la mayoría de las actividades se realizan en un entorno digital.

A continuación vamos a analizar los más importantes derechos digitales.

Desconexión digital en el ámbito laboral

Con este derecho se garantiza el respeto a los periodos de descanso y vacaciones de los trabajadores fuera de su horario de trabajo y el respeto a su intimidad familiar y personal.

Las Administraciones públicas deben redactar una política interna para todos sus empleados en la que se indicarán las formas en que se realizará esa desconexión digital y las distintas actuaciones de concienciación y formación del personal sobre un uso razonable de la tecnología.

Intimidad en el uso de sistemas de videovigilancia y grabación en el trabajo

Este derecho garantiza la protección de los empleados frente al uso de imágenes o sonidos obtenidos en el centro de trabajo para ejercer un control sobre ellos. Se exige que se informe expresa y claramente a los trabajadores y a sus representantes legales de la adopción de estas medidas.

Intimidad en el uso de sistemas de geolocalización en el trabajo

Este derecho garantiza la intimidad de los empleados frente al uso indebido de sistemas de geolocalización con el fin de realizar un control laboral. Se exige información a los trabajadores de forma expresa y clara sobre el uso de esos dispositivos y sus características. Además, se les debe informar sobre el ejercicio de sus derechos de acceso, limitación, rectificación y supresión.

Uso de dispositivos digitales en el trabajo

Los empleados públicos tienen derecho a la intimidad en el uso de los dispositivos digitales facilitados en el trabajo. Sin embargo, se establece que la entidad podrá acceder a los contenidos relacionados con el uso de esos dispositivos con la finalidad de controlar el cumplimiento de las obligaciones laborales impuestas y para asegurar la integridad de esos dispositivos.

Las Administraciones públicas determinarán las normas de uso de esos dispositivos digitales garantizando la protección de la intimidad de los trabajadores.

10. Bloqueo de datos

La LOPDGDD impone al responsable del tratamiento la obligación de bloquear los datos cuando el interesado solicite su rectificación o supresión. Ese bloqueo consiste en la aplicación de medidas técnicas y organizativas que impidan la visualización y el tratamiento de esos datos. En esos casos, los datos bloqueados solo podrán facilitarse a las autoridades competentes en caso de exigirse algún tipo de responsabilidad.

Existen unas excepciones a este deber de bloquear los datos si lo determina la AEPD cuando:

  • los datos se refieran a un número elevado de afectados y el bloqueo pueda suponer un riesgo importante para los derechos de los afectados o
  • casos en los que la conservación de los datos bloqueados pudiera implicar un coste desproporcionado para el responsable del tratamiento.

Preguntas frecuentes

¿Pueden cederse los datos del Padrón Municipal a la policía local en el ejercicio de sus funciones?

, los datos contenidos en el padrón municipal de habitantes pueden comunicarse a la policía local siempre que se cumplan los siguientes requisitos:

  • Se asegure que se utilizan únicamente aquellos datos que son adecuados, pertinentes y no excesivos, que con carácter general, serán nombre, apellidos y domicilio.
  • La comunicación se realice en el marco de expedientes concretos y con necesidades debidamente justificadas, relacionadas con las funciones de interés público de la Policía Local definidas en la Ley Orgánica 2/1986, de 13 de marzo, de Fuerzas y Cuerpos de Seguridad.
  • Se garanticen la confidencialidad y seguridad de los datos personales.

No sería posible realizar una comunicación masiva de los datos del Padrón a la Policía, en virtud del principio de minimización de datos recogido en el RGPD.

¿Pueden publicarse las actas de los Plenos municipales en Internet?

Depende. Debemos tener en cuenta que la publicación de datos en cualquier medio se considera una comunicación de los mismos. Por ello, solo se admitirá la publicación de las actas de los plenos municipales en Internet en los siguientes casos:

  • Si, aunque contenga datos de carácter personal, se refieren a actos debatidos en el Pleno o a disposiciones objeto de publicación en el Boletín Oficial que corresponda (sin perjuicio del ejercicio del derecho de oposición o cancelación de los afectados);
  • En los demás casos, se necesita el consentimiento previo de los afectados para publicar esas actas.

¿Pueden grabarse las sesiones de un Pleno municipal? ¿Y publicar esa grabación en redes sociales?

, los tribunales han considerado que es posible realizar dicha grabación.

Pero para grabar y publicar esas grabaciones es necesario tener en cuenta lo siguiente:

  • Las limitaciones que se recogen en el artículo 70 de la Ley de Bases de Régimen Local. En este caso el Pleno, si se trata de derechos protegidos por el artículo 18.1 de la Constitución, puede decidir por mayoría absoluta que el debate y votación de estos asuntos sean secretos.  Entonces no se podrá grabar ni difundir esta parte del Pleno.
  • Quien realiza y publica esas grabaciones es responsable del cumplimiento de las obligaciones establecidas en el RGPD.

¿Pueden publicarse sanciones administrativas en el BOE?

Únicamente  pueden publicarse en los casos indicados en el artículo 44 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. Aquí se establecen tres supuestos en los que pueden publicarse las sanciones administrativas en el BOE:

  • Si los interesados en el procedimiento son desconocidos
  • Cuando no se conoce el lugar de la notificación
  • En caso de que se hubiera intentado esa notificación pero no hubiera sido posible realizarla.

 

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.