El 23 de junio de 2017 el Consejo de Ministros recibía el informe del Ministerio de Justicia al Anteproyecto de la Ley Orgánica de Protección de Datos de Carácter Personal (ALOPD), una norma de gran relevancia no sólo para las Administraciones Públicas, sino también para el conjunto de la sociedad, y que supondría la derogación de la actual Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), y que finalmente se ha aprobado completando el ordenamiento jurídico vigente en materia de protección de datos con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).
Con la LOPDGDD se pretende adaptar la regulación actual al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD), publicado en mayo de 2016 y con entrada en vigor en ese mismo mes, pero aplicable a partir del 25 de mayo de 2018.
Su aplicación ha supuesto múltiples novedades tanto en el ámbito privado como en el público, por lo que es necesario que las Administraciones Públicas (AAPP) adopten las medidas necesarias para alinear su actividad con las previsiones del RGPD y LOPDGDD, dada la entrada en vigor de esta última al dia siguiente al de su publicación en el Boletín Oficial del Estado, es decir, desde el 7 de diciembre de 2018.
A continuación examinaremos los 10 imprescindibles a tener en cuenta para que las AAPP puedan estar preparadas en esa fecha a dar cumplimiento a las previsiones recogidas en el RGPD.
1. Incorporación de nuevos derechos: la mejora de los derechos ARCO
Una de las novedades a tener en cuenta en el RGPD viene dada por un nuevo catálogo de derechos, en el RGPD que actualiza los conocidos como derechos ARCO (A- Acceso, R- Rectificación, C- Cancelación y O- Oposición).
En la configuración actual del RGPD que se refuerza con la nueva LOPDGDD , podemos destacar la adición de los siguientes derechos:
Derecho a la portabilidad
El derecho a la portabilidad de los datos implica que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado podrá solicitar recuperar esos datos en un formato que le permita su traslado a otro responsable. Cuando ello sea técnicamente posible, el responsable deberá trasferir los datos directamente al nuevo responsable designado por el interesado.
Derecho de supresión, conocido como «Derecho al Olvido»
Las EELL han de facilitar a los ciudadanos la posibilidad de solicitar, y obtener de los responsables, la supresión de sus datos personales cuando, entre otros casos, éstos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita. Respecto a esta cuestión, recordar que fue la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, la que reconoció por primera vez el derecho al olvido recogido ahora en el RGPD, que implica que el interesado puede solicitar que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos.
Derecho a la limitación del tratamiento
El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones siguientes:
- a) el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos;
- b) el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;
- c) el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;
- d) el interesado se haya opuesto al tratamiento en virtud del artículo 21, apartado 1, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.
Como veremos, el responsable del tratamiento estará obligado a informar al afectado sobre los medios a su disposición para ejercer los derechos que le corresponden. Los medios deberán ser fácilmente accesibles para el afectado. El ejercicio del derecho no podrá ser denegado por el solo motivo de optar el afectado por otro medio.
2. Adaptación de formularios y trámites en el procedimiento ¿Cómo recoger los datos?
Los correos electrónicos que se envían cada día, los modelos de solicitudes a disposición de los ciudadanos, formularios varios y diversos que las AAPP manejan diariamente en el marco de su gestión administrativa. Todos ellos deberán ser objeto de adaptación en sus avisos de privacidad y en la información que se proporciona a los ciudadanos acerca del nuevo régimen de derechos que les asisten y en el modo correcto de ejercerlos.
En relación al modelo actual, el RGPD (arts. 13 y 14) amplía el objeto de la información a proporcionar, en particular:
- – Los datos de contacto del Delegado de Protección de Datos, en su caso,
- – La base jurídica o legitimación para el tratamiento,
- – El plazo o los criterios de conservación de la información,
- – La existencia de decisiones automatizadas o elaboración de perfiles,
- – La previsión de transferencias a Terceros Países
- – El derecho a presentar una reclamación ante las Autoridades de Control
Y en el supuesto de que los datos no se obtengan del propio interesado:
- – El origen de los datos
- – Las categorías de los datos
Información de tipo legal pero que debe hacerse comprensible porque el Reglamento exige de forma expresa que la información que se proporcione sea fácil de entender y presentarse en un lenguaje claro y conciso, pronunciándose asimismo la LOPDGDD en su artículo 11.
Por tanto, los procedimientos, modelos o formularios diseñados de conformidad con la derogada LOPD deberán ser revisados y adaptados por los Responsables de Tratamientos con anterioridad a la fecha de plena aplicación del RGPD y LOPDGDD, sobre todo teniendo en cuenta que los medios y las vías a través de los cuales se procede a la recogida de datos son múltiples y variados, en particular, gracias a las posibilidades que ofrece el funcionamiento electrónico: formularios en papel, entrevista telefónica, navegación o formularios Web, registro de aplicaciones móviles, datos de actividad personal y datos de sensores (IoT), entre otros.
Sobre esta materia resulta de utilidad la consulta a la Guía del Deber de Informar de la AEPD, la Agencia Catalana de Protección de Datos y la Autoridad Vasca de Protección de datos:
Guía para el cumplimiento del deber de informar
3. Cómo recabar el consentimiento: de forma expresa e inequívoca
Uno de los objetivos para garantizar la seguridad en el tratamiento de los datos son las mayores exigencias legales en torno a la prestación del consentimiento. Para ser válido, el consentimiento tendrá que ser verificable, de tal modo que quienes recopilen datos personales puedan ser capaces de demostrar que el afectado les otorgó su consentimiento, por lo que será necesario arbitrar los sistemas y mecanismos que permitan dicha comprobación posterior.
En particular, este tema adquiere especial relevancia porque, en muchos casos, la base del tratamiento que realice la entidad local será el consentimiento, por lo que a dicho fin no servirá cualquier forma de acreditación del consentimiento, sino que será necesario que éste se ajuste a las características del RGPD, es decir, que sea informado, libre, específico y otorgado por los interesados mediante una manifestación que muestre una voluntad clara de consentir (inequívoca) o mediante una clara acción afirmativa. De este modo desaparecen las referencias a las clásicas «casillas».
Sobre esta cuestión, una de las mayores dudas se planteaban en relación con la aplicación de la previsión recogida en el artículo 28 Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas (LPAC) que cambiaba la presunción de la norma anterior de no prestación del consentimiento por una presunción que para entender ajustada al RGPD, habría que legitimar en la propia existencia de la norma. La LPAC señala que la consulta a los datos de los interesados en el marco del principio «once-only» es autorizada por los interesados, salvo que conste en el procedimiento su oposición expresa o la ley especial aplicable requiera consentimiento expreso, debiendo, en ambos casos, ser informados previamente de sus derechos en materia de protección de datos de carácter personal. Este precepto ha sido modificado por la Disposición Final Duodécima para ajustar su redacción a la conformidad con el RGPD, en combinación con la Disposición Adicional Octava, que contempla expresamente la legitimación de la potestad de verificación de las AAPP.
4. Cambios en el modelo organizativo. Adaptando la relación entre el responsable y el encargado
El modelo de protección diseñado por el RGPD actúa desde la prevención y exige la adopción de decisiones organizativas para garantizar su cumplimiento, en particular, desde el diseño. El Delegado de Protección de Datos es la estrella del nuevo modelo organizativo, como veremos en el siguiente punto, pero no debemos olvidar que los aspectos organizativos implican más niveles de gestión, en particular, el responsable y el encargado del tratamiento.
Con la derogada LOPD, las responsabilidades en materia de protección de datos se gestionaban en cada administración pública básicamente con el responsable del fichero o del tratamiento, entendiendo como tal a toda persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente.
Ahora, tanto el RGPD como la LOPDGDD contemplan las figuras de responsable y encargado del tratamiento y la del delegado de protección de datos, que por su configuración y funciones asignadas se presenta como más novedosa. En cuanto a los primeros, a los responsables y encargados, teniendo en cuenta los elementos enumerados en los artículos 24 y 25 del RGPD, les corresponde determinar las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la LOPDGDD , sus normas de desarrollo y la legislación sectorial aplicable.
En este sentido la relación entre el responsable y encargado del tratamiento se encuentra regulada en un contrato o acto jurídico similar, cuyo contenido mínimo es el objeto, la duración, la naturaleza y finalidad del tratamiento, el tipo de datos personales y categorías de afectados, y las obligaciones y derechos del responsable. La Disposición Transitoria Quinta LOPDGDD establece que los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la LOPDGDD mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022. No obstante, durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 RGPD y en el Capítulo II del Título V de la LOPDGDD.
Para adecuar los nuevos contratos o la prórroga de los existentes al RGPD, pueden consultarse las Directrices para la elaboración de contratos entre responsables y encargados de tratamiento:
Directrices para la elaboración de contratos entre responsables y encargados de tratamiento
5. ¿Cómo nombrar un Delegado de Protección de Datos en el ámbito de la administración pública?
El RGPD de la Unión Europea dispone que los responsables y encargados de tratamiento, deberán designar un Delegado de Protección de Datos (DPD) en los supuestos que el propio RGPD establece, así como en otros casos en que la legislación de los Estados Miembro lo considere también obligatorio. ¿Y las Administraciones Públicas? El artículo 37.1.a) RGPD contempla, entre dichos supuestos el de que «el tratamiento lo lleve a cabo una autoridad u organismo público», tanto en calidad de responsable como en funciones de encargado de tratamiento. Es decir, desde el 25 de mayo de 2018 todas las EELL deberían contar con un DPO para el desarrollo de las funciones previstas en el artículo 39 RGPD.
Sobre este tema en el sector público se ha pronunciado la AEPD: El Delegado de Protección de Datos en las Administraciones Públicas
Requisitos del DPO en el sector público
La desginación del DPD en el ámbito de las AAPP y el desempeño de sus funciones deberá cumplir los requisitos establecidos en el artículo 37.5 RGPD y, para ello, demostrar reconocida competencia en la materia, pudiendo acreditar el cumplimiento de los requisitos por la vía de mecanismos de certificación, entre los esquemas contemplados por la propia autoridad de control. Sobre esta materia se ha pronunciado la propia AEPD, según la cual:
- – ¿Debe ser empleado público? El DPO podrá estar integrado o no en la organización de la respectiva administración. Según la AEPD para el ejercicio de estas funciones puede contarse con personal integrado en la plantilla del responsable o del encargado del tratamiento, pero también en el marco de un contrato de servicios en los términos establecidos en la normativa sobre contratación pública (Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público).
- – ¿Cómo configurar su posición en la organización? A la vista de las funciones asignadas, su adscripción dentro de la estructura de la organización debe hacerse a órganos o unidades con competencias y funciones de carácter horizontal y el nivel del puesto de trabajo debe ser el adecuado para poder relacionarse con la dirección del órgano u organismo en el que desempeñe sus funciones.
- – ¿Debe desempeñar únicamente estas funciones? No es necesario que el objeto del respectivo puesto desempeñe en exclusiva, sino que se permite el desarrollo de la actividad a tiempo parcial, será el tamaño y dimensión de la entidad el que determine las condiciones de dedicación necesarias para el desarrollo de sus funciones. Según la LOPDGDD la dedicación completa o a tiempo parcial del DPD, entre otros criterios, podrá determinarse en función del volumen de los tratamientos, la categoría especial de los datos tratados o de los riesgos para los derechos o libertades de los interesados.
- – ¿Qué titulación debe tener? El RGPD establece que, con independencia de que sea una persona física o jurídica el DPD será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar sus funciones.
- – ¿Pueden las Diputaciones o CCAA prestar este servicio a los Ayuntamientos? El RGPD prevé que cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público se pueda designar un único delegado de protección de datos para varios de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño. En el ámbito local, podrían las Diputaciones Provinciales o las CCAA uniprovinciales desarrollar esta tarea, en ejercicio de su competencia de asistencia y cooperación técnica, en particular respecto a los municipios de menor tamaño.
A estos efectos, la AEPD ha presentado el Esquema de certificación de Delegados de Protección de Datos, que prevé que la certificación únicamente pueda ser realizada por entidades que hayan sido acreditadas por ENAC
6. Adiós ficheros de datos protegidos, bienvenido Registro de tratamientos
El modelo anterior de protección de datos de la derogada LOPD se sustenta sobre la arquitectura de los ficheros de tratamiento de datos, tanto de titularidad pública como privada, ficheros que podemos definir como todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Se trata de un esquema desconocido en el RGPD y que, en consecuencia, ha sido objeto de supresión también en la normativa interna, LOPDGDD .
El nuevo sistema da paso al Registro de las actividades de tratamiento en el artículo 31 LOPDGDD, en relación con lo establecido en el artículo 30 del RGPD, que prevé que cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad, que deberá contener toda la información indicada en el apartado 1 del mismo. Del mismo modo, cada encargado y, en su caso, el representante del encargado, llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable con los contenidos previstos en su apartado 2.
Este nuevo sistema conlleva que las AAPP tengan la obligación de inventariar los tratamientos que estén llevando a cabo, con la inclusión de los datos que, conforme a la normativa, constituyen el contenido mínimo del registro, a cuyos efectos resultará práctica y eficaz la utilización de los ficheros ya inscritos.
Para facilitar esa labor la AEPD, permite, a través de su sede electrónica, descargar los ficheros inscritos:
Sede.electrónic@ AEPD
7. Mapa de riesgos: obligación de evaluación de impacto
El RGPD, incorpora una nueva obligación para los responsables de tratamientos: evaluar el impacto de las operaciones de tratamiento en la protección de los datos personales, cuando sea probable que el tratamiento comporte un riesgo significativo para los derechos y las libertades de las personas.
De conformidad con el principio de responsabilidad activa, el RGPD permite autonomía y flexibilidad en la forma de desarrollar esta evaluación de impacto, es decir, es posible optar por un método desarrollado por terceros (una autoridad de control, un organismo de estandarización, un sector empresarial, una asociación, etc.) o bien por un método propio, siempre que el resultado de la evaluación cumpla con los requisitos, los contenidos mínimos y las finalidades que prevé el RGPD.
¿Cuándo debe realizarse una evaluación de impacto? Según el considerando 84, para mejorar el cumplimiento del RGPD, el responsable del tratamiento debe realizar una evaluación de impacto (EIPD) relativa a la protección de datos cuando un tratamiento, por su naturaleza, alcance, contextos o finalidades, y especialmente si utiliza nuevas tecnologías, puede comportar un alto riesgo para los derechos y las libertades de las personas físicas. La evaluación se debe hacer antes de iniciar el tratamiento y tiene que valorar el origen, la naturaleza, la particularidad y la gravedad del riesgo.
Para su ejecución las actividades de gestión de riesgos vinculadas a la evaluación de riesgos, se pueden dividir en las siguientes fases: la identificación, el análisis y la valoración. Para su realización puedes consultar la Guía Práctica: Evaluación de impacto protección de datos personales de la Autoridad Catalana de Protección de Datos:
Evaluación de impacto protección de datos personales de la Autoridad Catalana de Protección de Datos
En definitiva, las novedades del modelo de gobernanza de los datos personales derivado del RGPD e integrado en nuestro ordenamiento jurídico vía LOPDGDD son muchas más y exigen la adopción de múltiples decisiones y actuaciones de adaptación , pero simplemente apuntar que a pesar de la posibilidad de aplicar un régimen sancionador severo a las entidades del sector público que pueda servir de incentivo al adecuado cumplimiento de las previsiones normativas, ésta no ha sido la opción del legislador español en la LOPDGDD,, manteniéndose la opción del apercibimiento como única sanción exigible a las entidades del artículo 77. 1 LOPDGDD (Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos, los órganos jurisdiccionales, la Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local, los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas, las autoridades administrativas independientes, el Banco de España, las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público, las fundaciones del sector público, las Universidades Públicas, los consorcios, los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales.), en una línea continuista con la derogada LOPD.
8. Garantía de los derechos digitales y su impacto en los empleados públicos
Una de las novedades destacadas de la LOPDGD es la incorporación de un nuevo Título X, con una novedosa regulación, relativa a la "Garantía de los derechos digitales", en la que se recogen derechos que introducen en el ordenamiento jurídico aspectos necesarios para adaptar la norma a la sociedad actual cuya actividad pivota en gran medida en un entorno digital, tal y como se puede ver a continuación
Artículo 79 | Los derechos en la Era digital |
Artículo 80 | Derecho a la neutralidad de Internet |
Artículo 81 | Derecho de acceso universal a Internet |
Artículo 82 | Derecho a la seguridad digital |
Artículo 83 | Derecho a la educación digital |
Artículo 84 | Protección de los menores en Internet |
Artículo 85 | Derecho de rectificación en Internet |
Artículo 86 | Derecho a la actualización de informaciones en medios de comunicación digitales |
Artículo 87 | Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral |
Artículo 88 | Derecho a la desconexión digital |
Artículo 89 | Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo |
Artículo 90 | Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral |
Artículo 91 | Derechos digitales en la negociación colectiva |
Artículo 92 | Protección de datos de los menores en Internet. |
Artículo 93 | Derecho al olvido en búsquedas de Internet. |
Artículo 94 | Derecho al olvido en servicios de redes sociales y servicios equivalentes. |
Artículo 95 | Derecho de portabilidad en servicios de redes sociales y servicios equivalentes |
Artículo 96 | Derecho al testamento digital. |
De este conjunto abordamos, sintéticamente, aquéllos con mayor impacto en los empleados públicos y en su relación con la entidad
8.1.- Derecho a la desconexión digital en el ámbito laboral
Constituye uno de los derechos digitales y más novedosos, cuya finalidad es la de garantizar a los trabajadores, fuera del tiempo de trabajo legal o convencionalmente establecido, el respeto de su tiempo de descanso, permisos y vacaciones, así como de su intimidad personal y familiar.
No obstante, resulta de compleja articulación a efectos de garantizar su eficacia en los distintos puestos. En todo caso, la entidad local elaborará una política interna dirigida a trabajadores, también los que ocupen puestos directivos, en la que definirán las modalidades de ejercicio del derecho a la desconexión y las acciones de formación y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática.
8.2.- Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo.
Con el reconocimiento de este derecho se pretende proteger a los trabajadores frente a la utilización de imágenes obtenidas a través de sistemas de cámaras o videocámaras para el ejercicio de las funciones de control de los trabajadores o los empleados públicos previstas. Para ello, los empresarios están obligados a informar con carácter previo, y de forma expresa, clara y concisa, a los trabajadores y, en su caso, a sus representantes, acerca de esta medida.
8.3.- Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral
Ante la indefensión que supone la indebida utilización de los sistemas de geolocalización para el ejercicio de las funciones de control de los trabajadores, resulta preciso arbitrar contrapesos para garantizar el derecho a la intimidad, facilitando información clara, expresa e inequívoca acerca de la existencia y características de estos dispositivos e igualmente deberán informarles acerca del posible ejercicio de los derechos de acceso, rectificación, limitación del tratamiento y supresión.
8.4.- Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral
Se reconoce este derecho a los empleados públicos en relación al uso de los dispositivos digitales puestos a su disposición por su empleador, estableciendo como límite que el empleador podrá acceder a los contenidos derivados del uso de medios digitales facilitados a los trabajadores a los solos efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos.
Asimismo, la entidad local deberá establecer criterios de utilización de los dispositivos digitales respetando en todo caso los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente
8.5.- Derechos digitales en la negociación colectiva
Los convenios colectivos podrán establecer garantías adicionales de los derechos y libertades relacionados con el tratamiento de los datos personales de los trabajadores y la salvaguarda de derechos digitales en el ámbito laboral, por lo que en el marco de la negociación colectiva, tanto convenios como acuerdos marco se irán incorporando las condiciones necesarias para garantizar la eficacia de estos derechos.
9. Bloqueo de datos en la LOPDGDD
La LOPDGDD impone en su artículo 32 una obligación adicional al responsable: la de bloquear los datos cuando proceda al ejercicio de sus derechos de rectificación o supresión. El bloqueo de los datos consiste en la identificación y reserva de los mismos, adoptando medidas técnicas y organizativas, para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas, sin que los datos bloqueados no podrán ser tratados para ninguna finalidad distinta. Transcurrido ese plazo deberá procederse a la destrucción de los datos.
Cuando, para el cumplimiento de esta obligación, la configuración del sistema de información no permita el bloqueo o se requiera una adaptación que implique un esfuerzo desproporcionado, se procederá a un copiado seguro de la información de modo que conste evidencia digital, o de otra naturaleza, que permita acreditar la autenticidad de la misma, la fecha del bloqueo y la no manipulación de los datos durante el mismo.
No obstante, este deber de bloqueo de los datos podrá excepcionarse cuando así lo determine la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos, dentro del ámbito de sus respectivas competencias, cuando, atendida la naturaleza de los datos o el hecho de que se refieran a un número particularmente elevado de afectados, su mera conservación, incluso bloqueados, pudiera generar un riesgo elevado para los derechos de los afectados, así como en aquellos casos en los que la conservación de los datos bloqueados pudiera implicar un coste desproporcionado para el responsable del tratamiento.
10. Derechos de las personas fallecidas
Aunque algunas CCAA ya se habían adentrado a explorar la gestión de los datos de las personas fallecidas en el entorno digital, carecíamos todavía de un marco legal básico que permita dar una respuesta adecuada a esta problemática. A tal fin se incorpora en el art. 3, relativo a los "Datos de las personas fallecidas", que contempla que las personas vinculadas al fallecido por razones familiares o de hecho así como sus herederos podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión.
Como excepción, las personas a las que se refiere el párrafo anterior no podrán acceder a los datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley. Esta prohibición no afectará al derecho de los herederos aacceder a los datos de carácter patrimonial del causante. Las personas o instituciones a las que el fallecido hubiese designado expresamente para ello podrán también solicitar, con arreglo a las instrucciones recibidas, el acceso a los datos personales de éste y, en su caso su rectificación o supresión.
También se contemplan las especialidades en el caso de fallecimiento de menores y de personas con discapacidad. A su lado y como uno de los derechos digitales en el art. 96, el "Derecho al testamento digital".
ANEXOS
I. Áreas sensibles de protección de datos en la gestión pública local
Por último, simplemente apuntar, sin perjuicio de que nos encontramos ante una obligación generalizada a todos los ámbitos de la actividad local, como Áreas sensibles en las que debe ser objeto de especial atención la adecuación de la gestión de protección de datos a los términos del RGPD las siguientes:
- 1. Servicios sociales
- 2. Padrón municipal
- 3. Gestión tributaria
- 4. Publicación de actas de Pleno y acuerdos de Junta de Gobierno Local
- 5. Policía local (videovigilancia)
- 6. Portal de Transparencia y acceso a la información pública
- 7. Gestión del personal municipal
- 8. Acceso a la información por los miembros Corporación
II. El nuevo RGPD y su impacto sobre la actividad de las Administraciones Locales
Para facilitar la tarea de adaptación de las EELL al marco normativo definido por el RGPD, la Agencia Española de Protección de Datos acaba de publicar El nuevo RGPD y su impacto sobre la actividad de las Administraciones Locales cuyas principales recomendaciones se resumen a continuación:
- 1. Necesidad de identificar con precisión las finalidades y la base jurídica de los tratamientos que llevan a cabo.
- 2. En el caso de la actividad de las AALL será muy habitual que la base jurídica de los tratamientos sea el cumplimiento de una tarea en interés público o el ejercicio de poderes públicos.
- 3. En los casos en que la base jurídica de los tratamientos sea el consentimiento, éste deberá tener las características previstas por el RGPD, que exige que sea informado, libre, específico y otorgado por los interesados mediante una manifestación que muestre su voluntad de consentir o mediante una clara acción afirmativa.
- 4. Necesidad de adecuar la información que se ofrece a los interesados cuando se recogen sus datos a las exigencias del RGPD (arts. 13 y 14).
En este sentido, La Agencia Española de Protección de Datos publicó en enero de 2017 una Guía para el cumplimiento del deber de informar, en que se proponía esta información en sucesivas capas.
- 5. Necesidad de establecer mecanismos visibles, accesibles y sencillos, incluidos los medios electrónicos, para el ejercicio de derechos.
- 6. Necesidad de establecer procedimientos que permitan responder a los ejercicios de derechos en los plazos previstos por el RGPD.
- 7. Necesidad de valorar si los encargados con los que se hayan contratado o se vayan a contratar operaciones de tratamiento ofrecen garantías de cumplimiento del RGPD.
- 8. Necesidad de adecuar los contratos de encargo a las previsiones del RGPD.
- 9. Necesidad de establecer un Registro de Actividades de Tratamiento.
La importancia del registro en el momento en que comience a ser de aplicación el RGPD radica en que obliga a inventariar todos los tratamientos de datos que esté llevando a cabo cada entidad local.
- 10. Necesidad de hacer un análisis de riesgo para los derechos y libertades de los ciudadanos de todos los tratamientos de datos que se desarrollen.
- 11. Necesidad de revisar las medidas de seguridad que se aplican a los tratamientos a la luz de los resultados del análisis de riesgo de los mismos.
En el caso de las AAPP, incluidas las AALL, la aplicación de las medidas de seguridad, estará marcada por los criterios establecidos en el Esquema Nacional de Seguridad (ENS), que está siendo revisado para adaptarlo a las exigencias del RGPD.
- 12. Necesidad de establecer mecanismos para identificar con rapidez la existencia de violaciones de seguridad de los datos y reaccionar ante ellas.
- 13. Necesidad de valorar si los tratamientos que se realizan requieren una Evaluación de Impacto sobre la Protección de Datos porque supongan un alto riesgo para los derechos y libertades de los interesados y de disponer de una metodología para la llevarla a cabo.
En el caso de tratamientos basados en la consecución de fines de interés público o vinculados al ejercicio de poderes públicos, el RGPD prevé que pueda no llevarse a cabo la Evaluación de Impacto, pese a tratarse de tratamientos de alto riesgo
- 14. Necesidad de designar un Delegado de Protección de Datos (DPD).
- 15. Necesidad de adaptar los instrumentos de transferencia internacional de datos personales a las previsiones del RGPD.
III. Documentos de interés y utilidad
- – Guía para el cumplimiento del deber de informar. AEPD, APDCAT y AVPD
- – Guía Agencia Catalana de Protección de Datos. Guía Práctica: Evaluación de impacto protección de datos personales
- – Directrices para la elaboración de contratos entre responsables y encargados de tratamiento. AEPD
- – Guía del Reglamento General de Protección de Datos para responsables de tratamiento. AEPD
- – Guía práctica para las evaluaciones de impacto en la protección de los datos sujetas al RGPD. AEPD