caes

Administración electrónica

Guía de novedades sobre la protección de datos en el Sector Público

A estas alturas, la protección de datos personales es un tema ya bien conocido por todos, o al menos, todos sabemos que han entrado en vigor nuevas normativas que han incorporado novedades en el ordenamiento jurídico al respecto de dicha materia. Lo que quizás no nos resulte tan familiar es cuáles son estas novedades que se han introducido por la Ley Orgánica 3/2018 del 5 de diciembre de protección de datos personales y garantía de los derechos digitales, como consecuencia del RGPD.  

Publicado el

A continuación vamos a hacer un resumen de las principales novedades que se han establecido para el Sector Público que detalla la AEPD:

  • Obligación de los órganos y organismo del Sector Público de publicar en su página web el registro de actividades de tratamiento, es decir, el inventario de las actividades de tratamiento de datos personales que realizan, identificando quién trata los datos, con qué finalidad y qué base jurídica legitima ese tratamiento.
  • Obligación de informar de manera clara y precisa a los ciudadanos sobre el ejercicio de sus derechos. Es decir, los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.
  • Potestad de verificar los datos personales de los ciudadanos sin necesidad de consentimiento del interesado para comprobar la exactitud de los datos aportados y que obren en poder de las administraciones públicas.
  • Modificación del artículo 28 de la ley 39/2015 en lo referente a la aportación de documentos por parte de los ciudadanos: se elimina el consentimiento como base jurídica que legitima el tratamiento de los datos pasando a ser la legitimación del tratamiento el cumplimiento de una misión de interés público o el ejercicio  de poderes públicos. Por lo tanto, para ejercer el derecho de los ciudadanos a no aportar documentos que ya obren en poder de las Administraciones públicas, ya no es necesario recabar el consentimiento del interesado (ni siquiera tácito) aunque se reconoce la posibilidad del interesado a oponerse a que estos datos sean consultados. Sin embargo, en ese caso, el interesado deberá aportarlos necesariamente para poder tramitar el procedimiento de que se trate. En caso contrario, no se podrá estimar la solicitud puesto que no se habrán demostrado que concurren los requisitos requeridos al no haber podido comprobarlos. Se exceptúan de esta regla los supuestos de potestades de verificación o inspección. En estos casos, no es posible la oposición.
  • Identificación de los ciudadanos en las notificaciones. En los actos administrativos que se publiquen o notifiquen mediante anuncios, no se puede identificar a la persona con nombre, apellidos y número completo de DNI conjuntamente. Las reglas de identificación son las siguientes:                                            --> Publicación de actos administrativos: se identificará mediante nombre y apellidos más cuatro cifras numéricas aleatorias del documento de identificación                                                                                                                                                                                                                            --> Notificación por medio de anuncio: se identificará exclusivamente con el número del documento identificativo.                                                                                                                                                                                                                                                                                                   En ambos casos, si la persona carece del documento identificativo, se identificará solamente con nombre y apellidos.

  • Comunicación de datos personales a sujetos privados. Las entidades públicas podrán comunicar datos personales de los administrados a entidades de derecho privado que lo soliciten en los siguientes supuestos:

    • O bien cuenten con el consentimiento de los afectados
    • O bien el sujeto privado solicitante de los datos tenga un interés legítimo que prevalezca sobre los derechos e intereses de los administrados.
  • Obligación de designar un Delegado de Protección de Datos (DPD) y comunicar dicha designación a la AEPD para ser incluido en el Registro Público de DPD. El Delegado de Protección de Datos atenderá las reclamaciones que los interesados dirijan a las AAPP antes de reclamar ante la AEPD así como aquellas reclamaciones que la AEPD le traslade con carácter previo al inicio de un expediente sancionador. El DPD comunicará la decisión adoptada y si se resuelve la reclamación, no se iniciará expediente de declaración de infracción de esa Administración Pública.
  • Mayor transparencia de las sanciones impuestas al Sector Público. Las  infracciones  que comentan las entidades públicas serán sancionadas  con  un  apercibimiento  con  medidas  correctoras y  no  tendrán  sanción económica pero la  resolución  sancionadora  de  la  AEPD  identificará  el  cargo  responsable  de  la infracción, se notificará al infractor, a su superior jerárquico, al Defensor del Pueblo y se publicará en la página web de la AEPD y en el diario oficial correspondiente. La  resolución  sancionadora  podrá  proponer  al  órgano  u  organismo  la  iniciación  de actuaciones  disciplinarias,  cuya  resolución  deberá  ser  comunicada  por el  órgano  u organismo del Sector Público a la AEPD. Además, las  infracciones que sean  imputables  a  autoridades  y  directivos  del  Sector  Público  y  se acredite la existencia de informes técnicos o recomendaciones que no hubieran sido atendidos  por  estos,  la  resolución  sancionadora  incluirá  una  amonestación  con  la identificación    del    cargo    responsable    y    se    publicará    en    el    diario    oficial correspondiente.
  • Tratamiento de datos personales en la notificación de incidentes de seguridad. Las  autoridades  públicas,  los  equipos  de  respuesta  a  emergencias  informáticas (CERT),  los  equipos  de  respuesta  a  incidentes  de  seguridad  informática  (CSIRT),  los  proveedores  de  redes  y  servicios  de  comunicaciones  electrónicas  y  los  proveedores de tecnologías   y   servicios   de   seguridad   pueden   tratar los   datos   personales contenidos en las notificaciones de incidentes de seguridad exclusivamente durante el  tiempo y  alcance  necesarios para  su  análisis,  detección,  protección  y  respuesta, adoptando siempre las medidas de seguridad adecuadas y proporcionadas al nivel de riesgo.
  • Legitimación del tratamiento de los datos de Registros de personal del sector público. La base legitimadora del tratamiento de datos personales  que realizan  los  registros  de personal  del  sector  público  es  el  ejercicio  de potestades públicas. Estos  registros  pueden  tratar  los  datos  personales  que  sean  estrictamente  necesarios para  el  cumplimiento  de  sus  fines  relativos  a  infracciones  y  condenas  penales  e infracciones  y  sanciones  administrativas, de  los que  deberán ser  informados  de manera expresa, clara e inequívoca.
  • Derechos de los empleados públicos: mayor intimidad. La Ley Orgánica garantiza el derecho a la intimidad de los empleados públicos en el lugar  de  trabajo  frente  al  uso  de  dispositivos  de video vigilancia  y  de  grabación  de sonidos,   así   como   frente   al   uso   de   los   dispositivos   digitales   y   sistemas   de geolocalización.
  • Adaptación a la Ley Orgánica de los contratos de encargo de tratamiento de datos personales. Los  contratos  de  encargo  de tratamiento  de  datos  personales  entre  las entidades del sector público (en calidad de responsables son responsables del tratamiento), y otros órganos u organismos del sector público o terceros (en calidad de encargados de tratamiento) suscritos antes del 25 de mayo de 2018 mantendrán su vigencia como máximo hasta el 25 de mayo de 2022.
  • Tratamiento de datos personales por concesionarios de servicios públicos. Los  órganos  y  organismos  del  Sector  Público  mantendrán  el  control  sobre  los  datos personales de los usuarios de los servicios públicos aunque haya finalizado la vigencia del contrato de concesión de servicios. En  el  Sector  Público,  un  concesionario  de  servicios,  encargado  del  tratamiento  de datos   personales,   no   se   convierte   nunca   en   responsable   aunque   establezca relaciones con las personas a cuyos datos ha accedido en virtud de la prestación del servicio.
  • Educación para la digitalización. En  el  plazo  de  un  año  desde  la  entrada  en  vigor  de la  Ley Orgánica,  el  Gobierno  debe  remitir  un proyecto de ley dirigido a garantizar un uso de los medios digitales que sea seguro y adecuado. Las   Comunidades   Autónomas   dispondrán   del   mismo   plazo   para   incluir   en   los currículos los contenidos precisos para garantizar la plena inserción del alumnado en la  sociedad  digital  y  asegurar  una  formación  adecuada  de  todo  el  personal docente.

  • Tratamiento de datos personales en investigación sanitaria. La  nueva  Ley  Orgánica  flexibiliza  el  tratamiento  de  datos  para  la  investigación  en salud:

    • Amplía  las  finalidades  para  las  que  se  puede  otorgar  el  consentimiento  al tratamiento.
    • Recoge  la  posibilidad  de  reutilizar  la  información  sobre  la  que  se  ya  se  haya prestado consentimiento con anterioridad.
    • Recoge  el  uso  de  datos  pseudonimizados  como  una  opción  para  facilitar  la investigación  sanitaria  incluyendo  garantías  para  evitar  la reidentificación  de los afectados.
    • Regula  las  garantías  de  este  tratamiento,  incluyendo  la  intervención  de    los Comités  de  Ética  de  la  Investigación  o,  en  su  defecto,  del  Delegado  de Protección de Datos o de un experto en protección de datos personales.

Toda esta información así como consejos para el cumplimiento de esta materia, se puede encontrar en la página web de la AEPD: https://www.aepd.es/