El documento tardará unos segundos en cargarse. Espere, por favor.

Los 7 «imprescindibles» en protección de datos para el ámbito local (RGPD y PLOPD)

Concepción CAMPOS ACUÑA

Doctora en Derecho y Secretaria de Administración Local, categoría Superior

LA LEY 828/2018

Comentarios
Resumen

En el presente artículo, examinamos los 7 imprescindibles a tener en cuenta por las Entidades Locales para dar cumplimiento a las previsiones recogidas en el Reglamento Europeo de Protección de Datos, aplicable a partir de una fecha próxima: 25 de mayo de 2018

El 23 de junio de 2017 el Consejo de Ministros recibía el informe del Ministerio de Justicia al Anteproyecto de la Ley Orgánica de Protección de Datos de Carácter Personal (ALOPD), una norma de gran relevancia no sólo para las Administraciones Públicas, sino también para el conjunto de la sociedad, y que supondrá la derogación de la actual Ley Orgánica 15/1999, de 13 de diciembre (LA LEY 4633/1999), de Protección de Datos de Carácter Personal (LOPD (LA LEY 4633/1999)).

Con el ALOPD se pretende adaptar la regulación actual al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6637/2016), relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (LA LEY 5793/1995) (RGPD), publicado en mayo de 2016 y con entrada en vigor en ese mismo mes, aunque será aplicable a partir del 25 de mayo de 2018. Ahora, ya en fase de Proyecto su tramitación, la Mesa de la Cámara ha acordado encomendar Dictamen a la Comisión de Justicia y publicar en el Boletín Oficial de las Cortes Generales, estableciendo plazo de enmiendas, en la actualidad todavía en período abierto.

Su aplicación conllevará múltiples novedades tanto en el ámbito privado como en el público, y en éste, con especial incidencia en el ámbito local, por lo que es necesario que las Entidades Locales comiencen ya a adoptar las medidas necesarias para alinear la actividad de las AALL con las previsiones del RGPD que habrán de estar listas para aplicarse, a más tardar, el 25 de mayo de 2018.

A continuación examinaremos los 7 imprescindibles a tener en cuenta para que las EELL puedan estar preparadas en esa fecha a dar cumplimiento a las previsiones recogidas en el RGPD.

1. Incorporación de nuevos derechos: la mejora de los derechos ARCO

Una de las novedades a tener en cuenta en el RGPD viene dada por un nuevo catálogo de derechos, en el RGPD que actualiza los conocidos como derechos ARCO (A- Acceso, R- Rectificación, C- Cancelación y O- Oposición).

En la configuración actual de la LOPC, que se refuerza con la nueva redacción, podemos destacar la adición de los siguientes derechos:

Derecho a la portabilidad

El derecho a la portabilidad de los datos implica que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado podrá solicitar recuperar esos datos en un formato que le permita su traslado a otro responsable. Cuando ello sea técnicamente posible, el responsable deberá trasferir los datos directamente al nuevo responsable designado por el interesado.

Derecho de supresión, conocido como «Derecho al Olvido»

Las EELL han de facilitar a los ciudadanos la posibilidad de solicitar, y obtener de los responsables, la supresión de sus datos personales cuando, entre otros casos, éstos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita. Respecto a esta cuestión, recordar que fue la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014 (LA LEY 51150/2014), la que reconoció por primera vez el derecho al olvido recogido ahora en el RGPD, que implica que el interesado puede solicitar que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos.

Derecho a la limitación del tratamiento

El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones siguientes:

  • a) el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos;
  • b) el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;
  • c) el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;
  • d) el interesado se haya opuesto al tratamiento en virtud del artículo 21, apartado 1, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.

Como veremos, el responsable del tratamiento estará obligado a informar al afectado sobre los medios a su disposición para ejercer los derechos que le corresponden. Los medios deberán ser fácilmente accesibles para el afectado. El ejercicio del derecho no podrá ser denegado por el solo motivo de optar el afectado por otro medio.

2. Adaptación de formularios y trámites en el procedimiento ¿Cómo recoger los datos?

Los correos electrónicos que se envían cada día, los modelos de solicitudes a disposición de los ciudadanos, formularios varios y diversos que las EELL manejan diariamente en el marco de su gestión administrativa. Todos ellos deberán ser objeto de adaptación en sus avisos de privacidad y en la información que se proporciona a los ciudadanos acerca del nuevo régimen de derechos que les asisten y en el modo correcto de ejercerlos.

En relación al modelo actual, el RGPD (arts. 13 y 14) amplía el objeto de la información a proporcionar, en particular:

  • Los datos de contacto del Delegado de Protección de Datos, en su caso,
  • La base jurídica o legitimación para el tratamiento,
  • El plazo o los criterios de conservación de la información,
  • La existencia de decisiones automatizadas o elaboración de perfiles,
  • La previsión de transferencias a Terceros Países
  • El derecho a presentar una reclamación ante las Autoridades de Control

Y en el supuesto de que los datos no se obtengan del propio interesado:

  • El origen de los datos
  • Las categorías de los datos

Información de tipo legal pero que debe hacerse comprensible porque el Reglamento exige de forma expresa que la información que se proporcione sea fácil de entender y presentarse en un lenguaje claro y conciso.

Por tanto, los procedimientos, modelos o formularios diseñados de conformidad con la LOPD (LA LEY 4633/1999) deberán ser revisados y adaptados por los Responsables de Tratamientos con anterioridad a la fecha de plena aplicación del RGPD y sobre todo teniendo en cuenta que los medios y las vías a través de los cuales se procede a la recogida de datos son múltiples y variados, en particular, gracias a las posibilidades que ofrece el funcionamiento electrónico: formularios en papel, entrevista telefónica, navegación o formularios Web, registro de aplicaciones móviles, datos de actividad personal y datos de sensores (IoT), entre otros.

Sobre esta materia resulta de utilidad la consulta a la Guía del Deber de Informar de la AEPD, la Agencia Catalana de Protección de Datos y la Autoridad Vasca de Protección de datos:

Guía para el cuplimiento del deber de informar

3. Cómo recabar el consentimiento: de forma expresa e inequívoca

Uno de los objetivos para garantizar la seguridad en el tratamiento de los datos son las mayores exigencias legales en torno a la prestación del consentimiento. Para ser válido, el consentimiento tendrá que ser verificable, de tal modo que quienes recopilen datos personales puedan ser capaces de demostrar que el afectado les otorgó su consentimiento, por lo que será necesario arbitrar los sistemas y mecanismos que permitan dicha comprobación posterior.

En particular, este tema adquiere especial relevancia porque, en muchos casos, la base del tratamiento que realice la entidad local será el consentimiento, por lo que a dicho fin no servirá cualquier forma de acreditación del consentimiento, sino que será necesario que éste se ajuste a las características del RGPD, es decir, que sea informado, libre, específico y otorgado por los interesados mediante una manifestación que muestre una voluntad clara de consentir (inequívoca) o mediante una clara acción afirmativa. De este modo desaparecen las referencias a las clásicas «casillas».

Sobre esta cuestión, una de las mayores dudas se plantean en relación con la aplicación de la previsión recogida en el artículo 28 LPAC (LA LEY 15010/2015) que cambia la presunción de la norma anterior de no prestación del consentimiento por una presunción que para entender ajustada al RGPD, habría que legitimar en la propia existencia de la norma. La LPAC (LA LEY 15010/2015) señala que la consulta a los datos de los interesados en el marco del principio «once-only» es autorizada por los interesados, salvo que conste en el procedimiento su oposición expresa o la ley especial aplicable requiera consentimiento expreso, debiendo, en ambos casos, ser informados previamente de sus derechos en materia de protección de datos de carácter personal.

4. Cambios en el modelo organizativo. Adaptando la relación entre el responsable y el encargado

El modelo de protección diseñado por el RGPD actúa desde la prevención y exige la adopción de decisiones organizativas para garantizar su cumplimiento, en particular, desde el diseño. El Delegado de Protección de Datos es la estrella del nuevo modelo organizativo, como veremos en el siguiente punto, pero no debemos olvidar que los aspectos organizativos implican más niveles de gestión, en particular, el responsable y el encargado del tratamiento.

Con la todavía vigente LOPD (LA LEY 4633/1999), las responsabilidades en materia de protección de datos se gestionaban en cada entidad local básicamente con el responsable del fichero o del tratamiento, entendiendo como tal a toda persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente.

Ahora el RGPD y el PLOPD (LA LEY 18083/2017) contemplan las figuras de responsable y encargado del tratamiento y la del delegado de protección de datos, que por su configuración y funciones asignadas se presenta como más novedades. En cuanto a los primeros, a los responsables y encargados, teniendo en cuenta los elementos enumerados en los artículos 24 y 25 del RGPD, les corresponde determinar las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la presente ley orgánica, sus normas de desarrollo y la legislación sectorial aplicable.

Sobre esta materia resulta de interés la consulta de la Guía del Reglamento General de Protección de Datos para responsables de tratamiento:

Guía del Reglamento General de Protección de Datos para responsables de tratamiento

En este sentido la relación entre el responsable y encargado del tratamiento se encuentra regulada en un contrato o acto jurídico similar, cuyo contenido mínimo es el objeto, la duración, la naturaleza y finalidad del tratamiento, el tipo de datos personales y categorías de afectados, y las obligaciones y derechos del responsable.

Para adecuar los nuevos contratos o la prórroga de los existentes al RGPD, pueden consultarse las Directrices para la elaboración de contratos entre responsables y encargados de tratamiento:

Directrices para la elaboración de contratos entre responsables y encargados de tratamiento

5. ¿Cómo nombrar un Delegado de Protección de Datos en el ámbito local?

El RGPD de la Unión Europea dispone que los responsables y encargados de tratamiento, deberán designar un Delegado de Protección de Datos (DPD) en los supuestos que el propio RGPD establece, así como en otros casos en que la legislación de los Estados Miembro lo considere también obligatorio. ¿Y las Entidades Locales? El artículo 37.1.a) RGPD contempla, entre dichos supuestos el de que «el tratamiento lo lleve a cabo una autoridad u organismo público», tanto en calidad de responsable como en funciones de encargado de tratamiento. Es decir, antes del 25 de mayo de 2018 todas las EELL deberían contar con un DPO para el desarrollo de las funciones previstas en el artículo 39 RGPD.

Sobre este tema en el sector público se ha pronunciado la AEPD: El Delegado de Protección de Datos en las Administraciones Públicas

Requisitos del DPO en el ámbito local

Deberá cumplir los requisitos establecidos en el artículo 37.5 RGPD y demostrar reconocida competencia en la materia, pudiendo acreditar el cumplimiento de los requisitos por la vía de mecanismos de certificación. Sobre esta materia se ha pronunciado la propia AEPD, según la cual:

  • ¿Debe ser empleado público municipal? El DPO podrá estar integrado o no en la organización. Según la AEPD para el ejercicio de estas funciones puede contarse con personal integrado en la plantilla del responsable o del encargado del tratamiento, pero también en el marco de un contrato de servicios en los términos establecidos en la normativa sobre contratación pública.
  • ¿Cómo configurar su posición en la organización? A la vista de las funciones asignadas, su adscripción dentro de la estructura de la organización debe hacerse a órganos o unidades con competencias y funciones de carácter horizontal y que el nivel del puesto de trabajo debe ser el adecuado para poder relacionarse con la dirección del órgano u organismo en el que desempeñe sus funciones.
  • ¿Debe desempeñar únicamente estas funciones? No es necesario que el objeto del respectivo puesto desempeñe en exclusiva, sino que se permite el desarrollo de la actividad a tiempo parcial, será el tamaño y dimensión de la entidad el que determine las condiciones de dedicación necesarias para el desarrollo de sus funciones.
  • ¿Qué titulación debe tener? El RGPD establece que, con independencia de que sea una persona física o jurídica el DPD será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar sus funciones.
  • ¿Pueden las Diputaciones o CCAA prestar este servicio a los Ayuntamientos? El RGPD prevé que cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público se pueda designar un único delegado de protección de datos para varios de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño. En el ámbito local, podrían las Diputaciones Provinciales o las CCAA uniprovinciales desarrollar esta tarea, en ejercicio de su competencia de asistencia y cooperación técnica, en particular respecto a los municipios de menor tamaño.

A estos efectos, la AEPD ha presentado el Esquema de certificación de Delegados de Protección de Datos, que prevé que la certificación únicamente pueda ser realizada por entidades que hayan sido acreditadas por ENAC

6. Adiós ficheros de datos protegidos, bienvenido Registro de tratamientos

El modelo actual de protección de datos de la LOPD (LA LEY 4633/1999) se sustenta sobre la arquitectura de los ficheros de tratamiento de datos, tanto de titularidad pública como privada, ficheros que podemos definir como todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Se trata de un esquema desconocido en el RGPD (UE) y que, en consecuencia, se suprime ya en el Anteproyecto, y así continúa en el LOPD (LA LEY 4633/1999).

El nuevo sistema da paso al Registro de las actividades de tratamiento en el artículo 33 PLOD, en relación con lo establecido en el artículo 30 del RGPD, que prevé que cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad, que deberá contener toda la información indicada en el apartado 1 del mismo. Del mismo modo, cada encargado y, en su caso, el representante del encargado, llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable con los contenidos previstos en su apartado 2.

Este nuevo sistema conlleva que las EELL tengan la obligación de inventariar los tratamientos que estén llevando a cabo, con la inclusión de los datos que, conforme a la normativa, constituyen el contenido mínimo del registro, a cuyos efectos resultará práctica y eficaz la utilización de los ficheros ya inscritos.

Para facilitar esa labor la AEPD, permite, a través de su sede electrónica, descargar los ficheros inscritos:

Sede.electrónic@ AEPD

7. Mapa de riesgos: obligación de evaluación de impacto

El RGPD, incorpora una nueva obligación para los responsables de tratamientos: evaluar el impacto de las operaciones de tratamiento en la protección de los datos personales, cuando sea probable que el tratamiento comporte un riesgo significativo para los derechos y las libertades de las personas.

De conformidad con el principio de responsabilidad activa, el RGPD permite autonomía y flexibilidad en la forma de desarrollar esta evaluación de impacto, es decir, es posible optar por un método desarrollado por terceros (una autoridad de control, un organismo de estandarización, un sector empresarial, una asociación, etc.) o bien por un método propio, siempre que el resultado de la evaluación cumpla con los requisitos, los contenidos mínimos y las finalidades que prevé el RGPD.

¿Cuándo debe realizarse una evaluación de impacto? Según el considerando 84, para mejorar el cumplimiento del RGPD, el responsable del tratamiento debe realizar una evaluación de impacto (EIPD) relativa a la protección de datos cuando un tratamiento, por su naturaleza, alcance, contextos o finalidades, y especialmente si utiliza nuevas tecnologías, puede comportar un alto riesgo para los derechos y las libertades de las personas físicas. La evaluación se debe hacer antes de iniciar el tratamiento y tiene que valorar el origen, la naturaleza, la particularidad y la gravedad del riesgo.

Para su ejecución las actividades de gestión de riesgos vinculadas a la evaluación de riesgos, se pueden dividir en las siguientes fases: la identificación, el análisis y la valoración. Para su realización puedes consultar la Guía Práctica: Evaluación de impacto protección de datos personales de la Autoridad Catalana de Protección de Datos:

Evaluación de impacto protección de datos personales de la Autoridad Catalana de Protección de Datos

En definitiva, las novedades son y serán muchas más (habrá que ver la nueva Ley Orgánica de Protección de Datos (LA LEY 4633/1999) que finalmente se apruebe) y las iremos viendo a lo largo de los próximos meses, pero simplemente apuntar que a pesar de la posibilidad de aplicar un régimen sancionador severo a las entidades del sector público que pueda servir de incentivo al adecuado cumplimiento de las previsiones normativas, no parece ser ésta la opción del legislador español en el PLOPD (LA LEY 18083/2017), por tanto tampoco para las EELL, manteniéndose la opción del apercibimiento, en una línea continuista con la LOPD (LA LEY 4633/1999).

ANEXOS

I. Áreas sensibles de protección de datos en la gestión pública local

Por último, simplemente apuntar, sin perjuicio de que nos encontramos ante una obligación generalizada a todos los ámbitos de la actividad local, como Áreas sensibles en las que debe ser objeto de especial atención la adecuación de la gestión de protección de datos a los términos del RGPD las siguientes:

  • 1. Servicios sociales
  • 2. Padrón municipal
  • 3. Gestión tributaria
  • 4. Publicación de actas de Pleno y acuerdos de Junta de Gobierno Local
  • 5. Policía local (videovigilancia)
  • 6. Portal de Transparencia y acceso a la información pública
  • 7. Gestión del personal municipal
  • 8. Acceso a la información por los miembros Corporación

II. El nuevo RGPD y su impacto sobre la actividad de las Administraciones Locales

Para facilitar la tarea de adaptación de las EELL al marco normativo definido por el RGPD, la Agencia Española de Protección de Datos acaba de publicar El nuevo RGPD y su impacto sobre la actividad de las Administraciones Locales cuyas principales recomendaciones se resumen a continuación:

  • 1. Necesidad de identificar con precisión las finalidades y la base jurídica de los tratamientos que llevan a cabo.
  • 2. En el caso de la actividad de las AALL será muy habitual que la base jurídica de los tratamientos sea el cumplimiento de una tarea en interés público o el ejercicio de poderes públicos.
  • 3. En los casos en que la base jurídica de los tratamientos sea el consentimiento, éste deberá tener las características previstas por el RGPD, que exige que sea informado, libre, específico y otorgado por los interesados mediante una manifestación que muestre su voluntad de consentir o mediante una clara acción afirmativa.
  • 4. Necesidad de adecuar la información que se ofrece a los interesados cuando se recogen sus datos a las exigencias del RGPD (arts. 13 y 14).

    En este sentido, La Agencia Española de Protección de Datos publicó en enero de 2017 una Guía para el cumplimiento del deber de informar, en que se proponía esta información en sucesivas capas.

  • 5. Necesidad de establecer mecanismos visibles, accesibles y sencillos, incluidos los medios electrónicos, para el ejercicio de derechos.
  • 6. Necesidad de establecer procedimientos que permitan responder a los ejercicios de derechos en los plazos previstos por el RGPD.
  • 7. Necesidad de valorar si los encargados con los que se hayan contratado o se vayan a contratar operaciones de tratamiento ofrecen garantías de cumplimiento del RGPD.
  • 8. Necesidad de adecuar los contratos de encargo a las previsiones del RGPD.
  • 9. Necesidad de establecer un Registro de Actividades de Tratamiento.

    La importancia del registro en el momento en que comience a ser de aplicación el RGPD radica en que obliga a inventariar todos los tratamientos de datos que esté llevando a cabo cada entidad local.

  • 10. Necesidad de hacer un análisis de riesgo para los derechos y libertades de los ciudadanos de todos los tratamientos de datos que se desarrollen.
  • 11. Necesidad de revisar las medidas de seguridad que se aplican a los tratamientos a la luz de los resultados del análisis de riesgo de los mismos.

    En el caso de las AAPP, incluidas las AALL, la aplicación de las medidas de seguridad, estará marcada por los criterios establecidos en el Esquema Nacional de Seguridad (ENS), que está siendo revisado para adaptarlo a las exigencias del RGPD.

  • 12. Necesidad de establecer mecanismos para identificar con rapidez la existencia de violaciones de seguridad de los datos y reaccionar ante ellas.
  • 13. Necesidad de valorar si los tratamientos que se realizan requieren una Evaluación de Impacto sobre la Protección de Datos porque supongan un alto riesgo para los derechos y libertades de los interesados y de disponer de una metodología para la llevarla a cabo.

    En el caso de tratamientos basados en la consecución de fines de interés público o vinculados al ejercicio de poderes públicos, el RGPD prevé que pueda no llevarse a cabo la Evaluación de Impacto, pese a tratarse de tratamientos de alto riesgo

  • 14. Necesidad de designar un Delegado de Protección de Datos (DPD).
  • 15. Necesidad de adaptar los instrumentos de transferencia internacional de datos personales a las previsiones del RGPD.

III. Documentos de interés y utilidad

Guía para el cumplimiento del deber de informar. AEPD, APDCAT y AVPD

Guía Agencia Catalana de Protección de Datos. Guía Práctica: Evaluación de impacto protección de datos personales

Directrices para la elaboración de contratos entre responsables y encargados de tratamiento. AEPD

Guía del Reglamento General de Protección de Datos para responsables de tratamiento. AEPD

Guía práctica para las evaluaciones de impacto en la protección de los datos sujetas al RGPD. AEPD