Las Administraciones Públicas (AAPP) actúan como responsables y encargados de tratamientos de datos personales en el desarrollo de muchas de sus actividades. Consecuentemente, se van a ver afectadas por el Reglamento General de Protección de Datos (RGPD). En muchos casos, los efectos del RGPD serán los mismos que para cualquier otro responsable o encargado del tratamiento. Sim embargo, en ciertos aspectos existen especificidades para el sector público.

 

¿Cuáles son los principales aspectos del RGPD en una AAPP?

El impacto del RGPD sobre las AAPP puede sintetizarse en los siguientes puntos:

 

  1. Necesidad de identificar con precisión las finalidades y la base jurídica de los tratamientos que llevan a cabo.

En el caso de la actividad de las AAPP será muy habitual que la base jurídica de los tratamientos sea el cumplimiento de una tarea en interés público o el ejercicio de poderes públicos que deben estar establecidos en una norma de rango legal. Residualmente y para aspectos más puntuales, la base legítima para el tratamiento de datos por parte de las AAPP será el consentimiento. Dicho consentimiento deberá ser libre, específico, informado e inequívoco. Además, para el caso en que se traten datos especialmente protegidos, deberá ser explícito.

 

  1. Cumplimiento del principio de transparencia: el derecho de información en la recogida de datos personales.

El Principio de Transparencia hace referencia al requerimiento de que cualquier información y comunicación relacionadas con el procesamiento de datos personales sea de fácil acceso y fácil de entender por los interesados, usando un lenguaje claro y sencillo.

El RGPD recoge dos supuestos diferenciados a la hora de cumplir con esta obligación:

Cuando se obtengan los datos personales directamente del propio interesado el responsable del tratamiento debe informar de la identidad y los datos de contacto del responsable y los datos de contacto del DPO, de los fines y la base jurídica del tratamiento, de las categorías de datos personales y los destinatarios, del plazo de conservación, de los derechos de los interesados y del derecho a presentar una reclamación ante una autoridad de control. Cuando los datos personales no hayan sido obtenidos del propio interesado, el responsable del tratamiento, además de lo anterior, también deberá informar de la fuente de la que proceden los datos personales.

Existen supuestos en que no será necesario el cumplimiento de la obligación de informar al interesado, entre los que se incluye el hecho de que la obtención o la comunicación está expresamente establecida por normas de derecho aplicables.

 

  1. Registro de Actividades y Evaluaciones de Impacto

El Registro de actividades es el instrumento primordial para demostrar el cumplimiento y facilitar la supervisión de los tratamientos. El RGPD establece un contenido mínimo de ese Registro, tanto para responsable como para encargados del tratamiento. Como medida de transparencia, las AAPP harán público su registro de actividades de tratamiento, accesible por medios electrónicos.

En el caso de tratamientos basados en la consecución de fines de interés público o vinculados al ejercicio de poderes públicos, el RGPD prevé que pueda no llevarse a cabo la Evaluación de Impacto, pese a tratarse de tratamientos de alto riesgo, cuando la norma de base regule la operación o conjunto de operaciones de tratamiento y ya se haya realizado una evaluación de impacto relativa a la protección de datos como parte de una evaluación de impacto general en el contexto de la adopción de esa norma de base.

 

  1. Organismo público y sus encargados de tratamiento

El RGPD establece la obligación de que el responsable del tratamiento sea diligente a la hora de elegir un encargado del tratamiento que cumpla con los códigos de conducta que, en general, cumpla con las medidas de seguridad que establece el RGPD.

 

  1. Transferencias internacionales de datos

Las AAPP como responsables y/o encargados del tratamiento podrán realizar transferencias internacionales de datos sin necesidad de una autorización de la Agencia Española de Protección de Datos siempre que el tratamiento de datos observe lo dispuesto en el RGPD y siempre que el país u organización internacional al que se transfiera los datos haya sido declarado de nivel de protección adecuado por la Comisión Europea o, y a falta de decisión de adecuación se cumplan una serie de garantías establecidas por el RGPD.

 

  1. Los derechos de los interesados

La normativa de protección de datos permite que los interesados puedan ejercer ante el responsable del tratamiento los derechos de acceso, rectificación, oposición, supresión (“derecho al olvido”), limitación del tratamiento, portabilidad y de no ser objeto de decisiones individualizadas.

En el caso concreto de las AAPP, resulta necesario tener en cuenta una serie de cuestiones en relación a los derechos de portabilidad y oposición.

El ejercicio del derecho de oposición no es aplicable al tratamiento necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, en este sentido habrá muchas situaciones en las que el ejercicio de este derecho ante las AAPP no sea posible.

Del mismo modo, el interesado podrá por norma general ejercitar su derecho de oposición, cuando el tratamiento de los datos personales se base en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, si bien existen excepciones.

 

  1. Seguridad en el tratamiento de los datos personales

El RGPD exige que las medidas de seguridad se adecúen a las características de los tratamientos, sus riesgos, el contexto en el que se desarrollan, el estado de la técnica y sus costes. En el caso de las AAPP, la aplicación de las medidas de seguridad estará marcada por los criterios establecidos en el Esquema Nacional de Seguridad (ENS).

El ENS es la normativa aprobada por el Real Decreto 3/2010 y establece una serie de reglas y principios que aseguran el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos utilizados en medios electrónicos en el ejercicio de las competencias de las AAPP.

 

La figura del DPO

EL nombramiento de un DPO por parte de las AAPP es en todo caso obligatorio.

El RGPD establece los criterios para la designación, la posición en la organización y las funciones del PDO.

Prevé, igualmente, que las autoridades u organismos públicos, puedan nombrar un único DPD para varias de ellas, teniendo en cuenta su tamaño y estructura organizativa.

Las AAPP tendrán que identificar, en primer lugar, las unidades en que se habrá de integrar el DPO dentro de cada órgano u organismo, su posición en la estructura administrativa y los mecanismos para asegurar que los DPO designados reúnen los requisitos establecidos en el RGPD y su configuración para asegurar su criterio independiente y en ausencia de conflictos de interés.

Una vez el PDO haya sido designado, deberá comunicarse tal circunstancia a la autoridad de control, así como facilitar a los interesados en contacto con el DPO.

Por último, y en cuanto a sus principales funciones, el DPO será el encargado de informar y asesorar al responsable o al encargado del tratamiento, supervisar el cumplimiento del RGPD, asesorar acerca de las evaluaciones de impacto y supervisar su aplicación, y cooperar y actuar como punto de contacto con la autoridad de control.

 

¿Cómo notificar una violación de seguridad en la protección de datos?

En caso de que se produzca una brecha de seguridad, el RGPD exige el establecimiento de mecanismos para identificarlas con rapidez y reaccionar ante ellas, en particular para evaluar el riesgo que puedan suponer para los derechos y libertades de los afectados y para notificar esas violaciones de seguridad a las autoridades de protección de datos (la Agencia Española de Protección de Datos en el caso español) y, si fuera necesario, a los interesados. El RGPD establece, asimismo, la obligación de mantener un registro de todos los incidentes de seguridad, sean o no objeto de notificación.

 

Letslaw

En Letslaw contamos con un equipo de profesionales altamente especializados en materia de protección de datos, derecho digital y nuevas tecnologías. Si necesitas más información pincha contacta con nosotros.