Derecho.com. I.- Introducción.- El viernes 25 de mayo de 2018 comienza
a desplegar sus efectos el Reglamento (UE) 2016/679 del Parlamento Europeo y
del Consejo, de 27 de abril de 2016, relativo a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos -RGPD- (EDL 2016/48900), en vigor desde el 24 de mayo de
2016.
Para esa fecha las
Administraciones Públicas deberán estar preparadas para el cambio radical de
modelo que supone dicho Reglamento, sin que quepa lugar a moratoria para la
aplicación de la norma.
II. Conclusiones de la Jornada
celebrada en el INAP el 4 de abril de 2018
El Instituto Nacional de Administración
Pública -INAP- y la Agencia Española de Protección de Datos -AEPD- se han
volcado en la difusión y formación derivadas de la entrada en vigor del RGPD y
han impartido jornadas dirigidas a los diferentes sectores afectados. En
concreto, el pasado 4 de abril el INAP celebró en su Aula Magna la jornada “Proceso
para la adaptación al reglamento general de protección de datos en las
Administraciones públicas” que consideramos de gran interés en el
ámbito local y de la cual pasamos a destacar los aspectos más relevantes.
Abrió la jornada D. Manuel
Arenilla Sáez, Director del INAP, exponiendo que en los últimos años la gestión
pública se ha complicado puesto que los ciudadanos cada vez tienen más derechos
que la Administración debe proteger y garantizar, de manera que se generan
nuevos trámites y procesos cuya gestión debe ser sencilla y orientada un fin
que es garantizar esos derechos.
A continuación, Dª Mar España,
Presidente de la AEPD, llevó a cabo un análisis de la situación actual en el
ámbito local, señalando que el 80% de la planta municipal son municipios con
menos de 5.000 habitantes. En este sentido, tanto el INAP como la Federación
Española de Municipios y Provincias -FEMP- y el Consejo General de Secretarios,
Interventores y Tesoreros de Administración Local -COSITAL- son aliados
estratégicos de la AEPD para poder llegar a todos los municipios en materia de
protección de datos. Asimismo, destacó el papel de las Diputaciones
Provinciales, Cabildos y Consejos Insulares, que va a ser fundamental para que
los pequeños ayuntamientos puedan cumplir con las exigencias sobre tratamiento
de datos que establece el RGPD.
Si hasta ahora la
Administración, en materia de protección de datos, funcionaba de manera
reactiva cuando llegaba una denuncia, ahora el gestor público debe aplicar
el principio de responsabilidad activa que implica que antes de
empezar un tratamiento de datos debe tener hecho un análisis de riesgos y, en
su caso, una evaluación de impacto.
Para ello, la Presidente de la
AEPD señaló la importancia del Delegado de Protección de Datos y sus
funciones de asesoramiento, supervisión y control. Esta figura debe estar
presente en todas las Administraciones Públicas ya sea por medio de personal
propio de la entidad, externalizando el servicio o compartiendo el Delegado de
Protección de Datos de la Diputación Provincial.
Por otro lado, Dª Mar España
destacó que con el RGPD desaparecen las ordenanzas de creación o supresión de
ficheros y, en su lugar, las Administraciones Públicas deben crear un Registro
de Actividades de Tratamiento, realizar un análisis de riesgo de los
tratamientos de datos y llevar a cabo una evaluación de impacto en aquellos
casos que impliquen un alto riesgo para los derechos y libertades de los
interesados.
Análisis de riesgos
Para facilitar esta tarea y
que las Administraciones Locales no dupliquen sus esfuerzos, conviene aplicar
medidas técnicas, organizativas y de seguridad que permitan a las
Administraciones Locales compartir recursos, de manera que, por ejemplo, cada
uno de los 8.000 municipios no tenga que realizar el análisis de riesgos a la
hora de la gestión de nóminas de los empleados públicos.
Por lo que respecta a
los derechos de los ciudadanos, la Presidente de la AEPD señaló que el
RGPD recoge los derechos ARCO que ya existían (acceso, rectificación,
cancelación y oposición), contempla por primera vez el derecho al olvido e
introduce dos nuevos derechos: el derecho a la limitación del tratamiento y el
derecho a la portabilidad. Al mismo tiempo, amplía el control respecto a la
información que deben suministrar las Administraciones Pública a los
ciudadanos, por lo que éstas deberán adaptar los formularios púbicos a las
nuevas obligaciones de información y tener preparados los modelos de solicitud
de los nuevos derechos.
En materia de notificaciones y
publicaciones de actos administrativos, la ponente hizo referencia al
nuevo régimen de identificación de los interesados, que se minimiza en el
RGPD. Así, cuando la publicación de un acto administrativo contuviese datos de
carácter personal del afectado, se identificará al mismo mediante su nombre y
apellidos, añadiendo las cuatro últimas cifras numéricas del documento nacional
de identidad o documento equivalente. Si se trata de la notificación por medio
de anuncios, particularmente en los supuestos a los que se refiere el art. 44
de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de
las Administraciones Públicas -LPACAP- (EDL 2015/166690), se identificará al afectado
exclusivamente mediante el número completo de su documento nacional de
identidad o documento equivalente. En ningún caso debe publicarse el nombre y
apellidos de manera conjunta con el número completo del documento nacional de
identidad o documento equivalente.
Por otro lado, se señaló que
la gestión pública desde el punto de vista de seguridad debe hacerse en el
marco del Esquema Nacional de Seguridad -ENS-. El Centro Criptológico Nacional
ha adaptado la herramienta PILAR y se ha creado la versión 7.1 que incluye un
módulo para validar el cumplimiento del RGPD y adaptarla a los nuevos
requerimientos en materia de seguridad y de protección de datos.
Seguidamente intervino D.
Francisco Javier Sempere, Responsable del Área de atención al ciudadano de la
AEPD, con la ponencia “Delegado de Protección de Datos, principios,
legitimación, derechos y Proyecto de Ley Orgánica de Protección de Datos”.
El ponente señaló que la
figura del Delegado de Protección de Datos -DPD- es obligatoria en las
Administraciones Públicas y sus funciones son: asesoramiento, supervisión y
control en materia de tratamiento de datos, apoyo al ciudadano que ejercita
algún derecho de protección de datos, apoyo al análisis de riesgos, enlace o
contacto con la AEPD y formación del personal. El DPD es independiente en el
ejercicio de dichas funciones (véase el punto 2.9 GPDAL).
Se podrá designar un único DPD
para varias de Administraciones u organismos dependientes de éstas, teniendo en
cuenta su estructura organizativa y tamaño, y si se trata de municipios de
menos de 20.000 habitantes la figura del DPD se puede prestar a través de
Diputaciones Provinciales, Cabildos y Consejos Insulares.
El RGPD establece que el DPD
debe tener conocimientos especializados de Derecho y experiencia práctica en
protección de datos pero no tiene porqué ser abogado e incluso puede ser un
empleado público que además desarrolle otras funciones. La configuración del
DPD dependerá de cada Administración. Si lo tiene que nombrar el Pleno o el
Alcalde o si tiene que ser elegido por concurso o por libre designación son
cuestiones que forman parte de la auto-organización de cada Administración.
Entre los principios del RGPD,
D. Fco. Javier Sempere destacó los principios de responsabilidad proactiva,
limitación de la finalidad, minimización de datos y limitación del plazo de
conservación (véase el punto 1.5 GPDAL).
La legitimación para el
tratamiento de datos es una de las materias que ha variado sustancialmente
con el RGPD (véase el punto 2.2 GPDAL). Tal y como señaló el Responsable de
la AEPD, el RGPD contempla varios supuestos que legitiman el tratamiento de
datos de carácter personal:
- el consentimiento: ya no se permite el consentimiento
tácito. Ahora el RGPD exige que exista una acción por parte del interesado
(marcar una casilla, por ejemplo). No obstante, va a ser bastante excepcional
que opere el consentimiento en las Administraciones Públicas, que fundamentarán
el tratamiento de datos principalmente en los dos supuestos siguientes,
- el cumplimiento de una obligación legal,
- el ejercicio de una función de interés público o un
poder público,
- una relación contractual: este supuesto puede ser
aplicado con el personal laboral al servicio de una Administración Pública o
extendido de forma amplia a los funcionarios,
- intereses vitales del interesado o de otras personas,
- el interés legítimo del responsable o de un tercero que
no perjudique los derechos del titular de los datos: este es un supuesto que
hay que ponderar y que en el caso de las Administraciones Públicas es bastante
excepcional.
Por lo que respecta a los
derechos, el ponente destacó como uno de los principales derechos que recoge el
RGPD el derecho a la información al que se aplica el principio de la
transparencia que implica que las clausulas para el cumplimiento del derecho de
información a los interesados deben ser concisas, transparentes, inteligibles y
de fácil acceso, con un leguaje claro y sencillo (véase el punto 2.7 GPDAL).
El RGPD ha modificado el
derecho de información vigente hasta la fecha. La cláusula que hasta ahora se
fundamentaba en el art. 5 de la LO 15/1999, de 13 de diciembre, de Protección
de Datos de Carácter Personal -LOPD- (EDL 1999/63731) ya no es suficiente porque ahora el
RGPD amplía la información que hay que facilitar al ciudadano con los
siguientes datos:
- los datos de contacto del DPD: sólo hay que dar los
datos de contacto, no su nombre; se recomienda que sea un correo institucional,
- los fines del tratamiento de datos: hay que
especificarlos de forma detallada,
- el plazo de conservación de datos,
- la base jurídica o legitimación para el tratamiento de
los datos,
- el derecho que tiene el ciudadano a reclamar ante la
AEPD,
- si los datos no se han obtenido del interesado, el
origen de los datos.
El RGPD mantiene los derechos
ARCO pero añade dos nuevos: derecho a la limitación de tratamiento y
derecho a la portabilidad (véase el punto 2.11 GPDAL). El plazo para informar al
ciudadano que ejerza alguno de estos derechos es de un mes que se puede ampliar
dos meses más si se trata de una cuestión compleja. El ejercicio es gratuito,
salvo en los casos de reclamaciones infundadas o excesivas.
Tal y como indicó D. Fco.
Javier Sempere, el derecho a la portabilidad supone que el ciudadano puede
pedir al responsable del tratamiento una copia de sus datos personales y
transmitirlos a otro responsable, o que los datos personales del interesado se
transmitan directamente de un responsable a otro, siempre y cuando eso datos
estén en un formato estructurado, de uso común y de lectura mecánica. No
obstante, para aplicar este derecho es necesario que sean tratamientos
automatizados, es decir, no en papel, y que la legitimación para el tratamiento
sea el consentimiento o la ejecución de un contrato; por ello, el ejercicio de
este derecho será bastante excepcional en las Administraciones Públicas donde las
bases de legitimación son otras.
Por su parte, el derecho a la
limitación de tratamiento supone que, a petición del interesado, no se
aplicarán a sus datos personales las operaciones de tratamiento que
correspondan cuando:
- el interesado haya ejercido su derecho de rectificación
u oposición, hasta que no se resuelva su petición,
- el tratamiento sea ilícito pero el interesado se oponga
a que se borren sus datos personales,
- los datos ya no son necesarios para el tratamiento, lo
que determinaría su borrado, pero el interesado los necesita para el ejercicio
o la defensa de reclamaciones.
Nueva Ley orgánica
Como colofón a su ponencia, D.
Fco. Javier Sempere hizo referencia al Proyecto de Ley Orgánica de Protección de Datos, que
se encuentra en tramitación parlamentaria, destacando dos aspectos:
Por un lado, la edad de
los menores: si bien el RGPD dispone que el tratamiento de los datos personales
de un niño se considerará lícito cuando tenga como mínimo 16 años, permite a
los Estados miembros establecer una edad inferior a tales fines, siempre que
ésta no sea inferior a 13 años, de modo que el Proyecto de Ley Orgánica
establece que “el tratamiento de los datos personales de un menor de
edad únicamente podrá fundarse en su consentimiento cuando sea mayor de trece
años”. Si no se aprueba el Proyecto de Ley Orgánica, a partir del 25
de mayo de 2018 la edad de los menores que legitime el tratamiento de los datos
personales será de 14 años que es la edad que se recoge en el RD 1720/2007, de
21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD (EDL 2007/241465).
Por otro lado, la transitoriedad de
los contratos de encargo del tratamiento suscritos con anterioridad al 25 de
mayo de 2018 al amparo de la LOPD: la Disp. Trans. 5ª del Proyecto de Ley
Orgánica establece que:
“…mantendrán su vigencia hasta la fecha de vencimiento
señalada en los mismos y, en caso de haberse pactado de forma indefinida, hasta
transcurridos cuatro años desde la citada fecha. En caso de que los contratos
previesen su prórroga al término de su vencimiento deberá producirse su
adaptación con anterioridad al momento en que estuviera prevista dicha
prórroga.”
Finalmente, D. Manuel
Villaseca, Delegado de Protección de Datos de la AEPD, presentó su ponencia
“Adaptación de las Administraciones Públicas al Reglamento General de
Protección de Datos”.
El ponente comenzó su
exposición indicando las tareas básicas que las Administraciones Públicas
deben acometer antes del 25 de mayo de 2018, fecha en será efectivo el RGPD:
- designar Delegado de Protección de Datos (véase el punto 2.9 GPDAL),
- crear el Registro de Actividades de Tratamiento,
identificando finalidades y bases jurídicas (véase el punto 2.3 GPDAL),
- llevar a cabo un análisis de riesgos, indicando
activos, amenazas, riesgos, impactos y salvaguardas (para ello se dispone de la
metodología MAGERIT y la herramienta PILAR) (véase el punto 2.4.1 GPDAL),
- revisar las medidas de seguridad a la luz del análisis
de riesgos (véase el punto 2.4.2 GPDAL),
- poner en marcha mecanismos y procedimientos para
notificar las brechas de seguridad (véase el punto 2.4.3 GPDAL),
- valorar si los tratamientos requieren una valoración de
impacto (véase el punto 2.5 GPDAL),
- realizar esa valoración de impacto, en su caso.
Paralelamente, tendrán que:
- adecuar los formularios para cumplir con el derecho y
deber de información,
- adaptar los mecanismos y procedimientos para atender el
ejercicio de los derechos de las personas,
- valorar si los prestadores de servicios y los
encargados del tratamiento ofrecen las garantías adecuadas en el marco del RGPD
y adaptar los contratos, en su caso,
- elaborar o adaptar la política de privacidad,
- y, fundamentalmente, tendrán que documentar todas esas
tareas.
En este modelo implantado por
el RGPD lo importante es que el responsable esté en disposición de demostrar
que el tratamiento es conforme con dicho Reglamento y para ello un factor
fundamental es documentar todos y cada uno de los pasos.
Delegado de Protección de Datos
Respecto a las implicaciones
del Esquema Nacional de Seguridad, el ponente indicó que, de alguna manera, las
Administraciones Públicas van a tener que trabajar con el Departamento de
Seguridad de la Información de las organizaciones. El Delegado de Protección de
Datos no tendrá que estar involucrado en estas tareas pero sí al tanto de esas
políticas.
En cuanto al régimen de
autorizaciones para las transferencias internacionales de datos, parece una
cuestión poco habitual en los organismos públicos, pero las Administraciones
Públicas pueden tener externalizado en la nube el correo electrónico o las
plataformas colaborativas, de manera que es importante saber que estos
prestadores de servicios tienen que proporcionar las garantías que las entidades
públicas consideren adecuadas, por ejemplo, asegurar que los servidores en los
que se alojan los datos de las organizaciones se encuentran en la Unión
Europea, de manera que en ese caso no se producirían transferencias
internacionales de datos (véase el punto 2.10 GPDAL).
Para D. Manuel
Villaseca, la seguridad total no existe: el objetivo de este nuevo modelo
que tienen que implementar las Administraciones Públicas es disponer de
sistemas, medidas técnicas y organizativas que garanticen que pueden detectar
los ataques, recuperarse y aprender de ello.
Como apunte final, señala que
para que las empresas muy pequeñas cumplan los requisitos que impone el RGPD
tienen a su disposición la herramienta FACILITA, que no está orientada a las
Administraciones Públicas pero en algunos puntos puede servir de modelo.
III.- Guías y directrices de
ayuda para la Administración Local
El INAP ha puesto a
disposición de las Administraciones Locales un servicio de consultoría,
reforzado por COSITAL, para canalizar las dudas que puedan surgir. También ha
publicado en su página web varias Guías y Documentos que resultarán
de utilidad a la hora de implementar las medidas establecidas en el RGPD:
En concreto, la Guía de
Protección de Datos y Administración Local -GPDAL-, a la que hemos hecho
alusión a lo largo de este trabajo y cuya lectura recomendamos vivamente, es un
auténtico manual de primeros auxilios para las Entidades Locales.
En la GPDAL se recogen los
conceptos básicos de las nuevas figuras que surgen con el RGPD (responsable del
tratamiento, encargado del tratamiento, delegado de protección de datos); se
desgranan todos los pasos que debe dar una Entidad Local con definiciones
precisas y ejemplos ilustradores (identificación de la legitimación en el
tratamiento de datos, creación del Registro de Actividades de Tratamiento,
implementación del análisis de riesgos y la evaluación de impacto, aplicación
del principio de transparencia al derecho de información en la recogida de
datos personales, transferencia internacional de datos, etc.); contiene una
sección de consultas frecuentes que pueden resolver las dudas más habituales
que surjan a la hora de adaptarse al RGPD y, finalmente, pone a disposición de
los implicados en esa adaptación diversos materiales que, sin duda, facilitarán
el trabajo.
Este artículo ha sido publicado en la "Revista de Derecho
Local", el 1 de abril de 2018.
No hay comentarios:
Publicar un comentario