caes

Administració electrònica

Guia de novetats sobre la protecció de dades al Sector Públic

A hores d’ara, la protecció de dades personals és una tema ben conegut per tothom, o si més no, ja sabem que han entrat en vigor noves normatives que ha incorporat novetats en l’ordenament jurídic al respecte d’aquesta matèria. Però el que potser no ens resulta tan familiar és quines són les novetats que s’han introduït per la Llei Orgànica 3/2018 del 5 de desembre de protecció de dades personals i garantia de drets digitals, com a conseqüència del RGPD.

Publicat el

A continuació us farem un resum de les principals novetats que s’han establert pel Sector Públic que detalla l’AEPD:

  • Obligació dels òrgans i organisme del Sector Públic de publicar a la seva pàgina web el registre d’activitats de tractament, és a dir, l’inventari de les activitats de tractament de dades personals que realitzen, identificant qui tracta les dades, amb quina finalitat i quina base jurídica legitima aquest tractament.
  • Obligació d’informar de manera clara i precisa a la ciutadania sobre l’exercici dels seus drets. És a dir, els drets d’accés, rectificació, supressió, limitació del tractament, portabilitat i oposició.
  • Potestat de verificat les dades personals de la ciutadania sense necessitat de consentiment de l’interessat per a comprovar l’exactitud de les dades aportades i que obren en poder de les administracions públiques.
  • Modificació de l’article 28 de la llei 39/2015 en el referent a l’aportació de documents per part de la ciutadania. S’elimina el consentiment com a base jurídica que legitima el tractament de les dades passant a ser la legitimació del tractament el compliment d’una missió d’interès públic o l’exercici de poders públics. Per tant, per a exercir el dret de la ciutadania a no aportar documents que ja obren en poder de les Administracions Públiques, ja no és necessari recopilar el consentiment de l’interessat (ni tan sols tàcit) tot i que es reconeix la possibilitat de l’interessat a oposar-se a que aquestes dades siguin consultades. Tot i així, en aquest cas, l’interessat haurà d’aportar-los necessàriament per a poder tramitat el procediment del que es tracti. En cas contrari, no es podrà estimar la sol·licitud donat que s’hauran demostrat que concerneixen els requisits sol·licitats al no haver-los pogut comprovar. S’exceptuen d’aquesta regla els suposats de potestats de verificació o inspecció. En aquests casos, no és possible l’oposició.
  • Identificació dels membres de la ciutadania a les notificacions. Als actes administratius que es publiquen o notifiquen mitjançant anuncis, no es pot identificar a la persona amb nom, cognoms i número complet de DNI conjuntament. Les regles d’identificació són les següents:                                                                                     --> Publicació d’actes administratius. S’identificarà mitjançant nom i cognoms més quatre xifres numèriques aleatòries del document d’identificació.                                                                                                                                                                                                                                                                                                                                                                                      --> Notificació mitjançant un anunci. S’identificarà exclusivament amb el número del document identificatiu.                                                                                               En els dos casos, si la persona no disposa del document d’identificació, s’identificarà tan sols amb el nom i els cognoms.
  • Comunicació de dades personals a subjectes privats. Les entitats públiques podran comunicar dades personals dels administrats a entitats de dret privat que ho sol·licitin en els següents supòsits:

                                          --> Quan contin amb el consentiments dels afectats.

                                         --> Quan el subjecte privat sol·licitant de les dades tingui un interès legítim que prevalgui sobre els drets i interessos dels administrats.

  • Obligació de designar un Delegat de Protecció de dades (DPD) i comunicar dita designació a l’AEPD per a ser inclosos en el Registre Públic de DPD. El Delgat de Protecció de Dades atendrà les reclamacions que els interessats dirigeixin a les AAPP abans de reclamar davant l’AEPD així com aquelles reclamacions que l’AEPD li traslladi amb caràcter previ a l’inici d¡un expedient sancionador. El DPD comunicarà la decisió adoptada i si es resol la reclamació, no s’iniciarà expedient de declaració d’infracció d’aquesta Administració Pública.
  • Major transparència de les sancions imposades al Sector Públic. Les infraccions que comentin les entitats públiques seran sancionades amb un apercebiment amb mesures correctores i no tindran sanció econòmica però la resolució sancionadora de l’AEPD identificarà el càrrec responsable de la infracció, es notificarà a l’infractor, al seu superior jeràrquic, al Defensor del Poble i es publicarà a la pàgina web de l’AEPD i al diari oficial corresponent.La resolució sancionadora podrà proposar a l’òrgan o organisme la iniciació d’actuacions disciplinàries, dita resolució haurà de ser comunicada per l’òrgan o organisme del Sector Públic a l’AEPD. A més a més, les infraccions que siguin imputables a autoritats i directius del Sector Públic i s’acrediti l’existència d’informes tècnics o recomanacions que no haguessin estat atesos per aquests, la resolució sancionadora inclourà una amonestació amb la identificació del càrrec responsable i es publicarà al diari oficial corresponent.
  • Tractament de dades personals a la notificació d’incidents de seguretat. Les autoritats públiques, els equips de resposta a emergències informàtiques (CERT), els equips de resposta a incidents de seguretat informàtics (CSIRT), els proveïdors de xarxes i serveis de comunicacions electròniques i els proveïdors de tecnologies i serveis de seguretat poden tractar les dades personals de les notificacions d’incidents de seguretat exclusivament durant els temps i l’abast necessaris pel seu anàlisi, detecció, protecció i resposta, adoptant sempre les mesures de seguretat adequades i proporcionades al nivell de risc.
  • Legitimació del tractament de les dades de Registres de personal del sector públic. La base legitimadora del tractament de dades personals que realitzen els registres de personal del sector públic és l’exercici de potestats públiques. Aquests registres poden tractar les dades personals que siguin estrictament necessàries pel compliment dels seus fis relatius a infraccions i condemnes penals i infraccions i sancions administratives, dels que hauran de ser informats de manera expressa, clara i inequívoca.
  • Drets dels treballadors públics: major intimitat. La Llei Orgànica garanteix el dret a la intimitat dels treballadors públics en el lloc de feina davant l’ús de dispositius de vídeo vigilància i de gravació de sons, així com davant l’ús de dispositius digitals i sistemes de geolocalització.
  • Adaptació a la Llei Orgànica dels contractes d’encàrrec de tractament de dades personals. Els contractes d’encàrrec de tractament de dades personals entre les entitats del sector públic (en qualitat de responsables són responsables del tractament), i altres òrgans o organismes del sector públic o tercers (en qualitat d’encarregats de tractament) subscrits abans del 25 de maig de 2018 mantindran la seva vigència com a màxim fins al 25 de maig de 2022.
  • Tractament de dades personals per concessionaris de serveis públics. Els òrgans i organismes del Sector Públic mantindran el control sobre les dades personals dels usuaris dels serveis públics tot i que hagi finalitzat la vigència del contracte de concessió de serveis. Al Sector Públic, un concessionari de serveis, encarregat del tractament de dades personals, no es converteix mai en responsable tot i que estableixi relacions amb les persones de qui les dades ha accedit en virtut de la prestació del servei.
  • Educació per a la digitalització. En el termini d’un any des de l’entrada en vigor de la Llei Orgànica, el Govern ha de remetre un projecte de llei dirigit a garantir un ús dels mitjans digitals que sigui segur i adequat.Les comunitats autònomes disposaran del mateix termini per a incloure als currículums els continguts precisos per tal de garantir la plena inserció de l’alumnat a la societat digital i assegurar una formació adequada de tot el personal docent.
  • Tractament de dades personals en investigació sanitària. La nova Llei Orgànica flexibilitza el tractament de dades per a la investigació en salut:

             -->Amplia les finalitats per les que es pot atorgar el consentiment al tractament.

             -->Recull la possibilitat de reutilitzar la informació sobre la que ja s’hagi prestat consentiment amb anterioritat.

            -->Recull l’ús de dades pseudonimitzades amb una opció per a facilitar la investigació sanitària incloent garanties per a evitar la reidentificació dels afectats.

            -->Regula les garanties d’aquest tractament, incloent la intervenció dels Comités d’Ètica de la Investigació o, en el seu defecte, del Delegat de Protecció de Ddaes o d’un expert en protecció de dades personals.

Tota aquesta informació així com consells pel compliment d’aquesta matèria, es pot trobar a la pàgina web de l’AEPD: https://www.aepd.es/