Por Víctor Almoacid.- Blog Nosoloaytos. Ya ha llegado el temido día 25 de mayo, y por eso
en Nosoloaytos os
informamos de las 25 tareas que, a juicio de los autores del presente documento
(Eduard Chaveli y
un servidor, Víctor Almonacid), debemos llevar a cabo los Ayuntamientos, muy
posiblemente ayudados por otras AAPP, especialmente Diputaciones, Consejos y
Cabildos.
Hay más de 8.000 Ayuntamientos y la casuística es
lógicamente variada. A estas alturas habremos realizado (o no) algo de lo que
exige el RGPD… En el supuesto de que lo hayamos hecho todo (se nos antoja poco
o nada probable) sería un error pensar que ya hemos acabado. En efecto, el
cumplimiento del RGPD y otras normas relacionadas (entre ellas la inminente
LOPD) nos obliga a realizar tareas puntuales, pero también en el día a día.
Máxime a partir del principio de responsabilidad proactiva, que es
uno de los básicos que contempla el RGPD.
Veamos ya, a continuación, esas 25 tareas que a
partir del 25 de mayo debemos realizar o, como mínimo, tener en muy
cuenta:
1.- ACTUALIZAR EL REGISTRO DE TRATAMIENTOS
El registro de actividades de tratamiento no sólo debe
elaborarse sino quedeberá mantenerse.
Ejemplo: Imaginemos que contrato un servicio en cloud que
supone la realización de una transferencia internacional de datos que antes no
llevaba a cabo. Si realizo dicha transferencia deberá registrarla.
2.- ASEGURAR QUE LOS TRATAMIENTOS QUE SE LLEVAN A CABO
DISPONEN DE UNA CAUSA DE LEGITIMACIÓN
Todos los tratamientos que lleva a cabo un ayuntamiento
deben de disponer de la correspondiente legitimación. Lo habitual será que esta
esté basada en el interés público o el cumplimiento de obligación legal. En algunos
casos también se basará en el consentimiento.
3.- RECABAR EL CONSENTIMIENTO CUANDO ESTE SE REQUIERA
Cuando la legitimación tenga su base en el consentimiento
deberemos recabarlo y la carga de la prueba corresponderá al ayuntamiento como
responsable del tratamiento.
4.- INCORPORAR LAS CLÁUSULAS QUE HEMOS ELABORADO EN
CUMPLIMIENTO DEL DEBER DE INFORMACIÓN
Aunque a veces se confunde con el consentimiento, el
deber de información es una obligación diferente. Por ello, incluso en los
tratamientos que no se basan en el consentimiento deberemos incorporar las
cláusulas de consentimiento. En ellas podremos considerar la opción de doble
capa que recoge la AEPD.
5.- REALIZAR UN ANÁLISIS DE RIESGOS (AARR) DE LOS
TRATAMIENTOS NUEVOS QUE SE POGAN EN MARCHA
Todos los tratamientos deben de someterse a un AARR que
analice sus amenazas y establezca los controles oportunos para tratarlas,
mitigándolas y/o eliminándolas. El análisis básico de riesgos es un análisis de
mínimos que tiene como objetivo simplificar el proceso de análisis de riesgos
en aquellas actividades de tratamiento con baja exposición al riesgo. Y esta
obligación no sólo deberá de cumplirse respecto de los tratamientos existentes
el día 25 de mayo ,sino también respecto de los nuevos tratamientos.
6.- EN AQUELLOS CASOS EN QUE SE REQUIERA – POR TRATARSE DE
UN SUPUESTO OBLIGATORIO – LLEVAR A CABO UNA EVALUACIÓN DE IMPACTO (EIPD)
En determinados supuestos en los que los tratamientos
entrañen un elevado riesgo deberá realizarse una evaluación de impacto. A
diferencia del AARR, en la EIPD sí que deberá procederse a evaluarlos.
7.- REVISAR LOS AARR Y EIPD REALIZADOS CUANDO SE PRODUZCAN
CAMBIOS RELEVANTES EN LOS TRATAMIENTOS O EN LOS RIESGOS
Como indica la AEPD: “Los riesgos son variables y pueden
cambiar ante variaciones en las actividades de tratamiento”. Garantizar una
adecuada gestión de riesgos requiere la monitorización continua de los riesgos
y la evaluación periódica de la efectividad de las medidas de control definidas
para reducir el nivel de exposición al riesgo.
Se recomienda revisar el análisis de riesgos realizado
ante cualquier cambio significativo en las actividades de tratamiento que pueda
derivar en la aparición de nuevos riesgos.
8.- ADECUAR LOS CONTROLES A LOS NUEVOS RIESGOS DETECTADOS
EN LOS AARR Y EIPD
Fruto de estos nuevos AARR y EIPD que se lleven a cabo,
aparecerán nuevas amenazas y controles que implantar para tratar los riesgos y
deberemos de implantarlos.
9.- DIVERSAS MEDIDAS RELACIONADAS CON LA “PRIVACIDAD DESDE
EL DISEÑO”. Y EN PARTICULAR:
9.1 APLICARLA EN LOS NUEVOS PRODUCTOS Y SERVICIOS QUE SE
DESARROLLEN EN EL AYUNTAMIENTO
La privacidad desde el diseño debe de tenerse en cuenta
tanto con anterioridad al inicio del tratamiento como también cuando ya se esté
desarrollando y está relacionado con uno de los principios fundamentales del
RGPD: el principio de de responsabilidad proactiva. Por ello, antes de
diseñar un nuevo producto o servicio, y también en el proceso de desarrollo,
deberemos considerar las medidas que garanticen el cumplimiento de los
principios y obligaciones del RGPD.
9.2 TENER ESPECIALMENTE EN CUENTA LA PRIVACIDAD EN
LOS NUEVOS PROYECTOS (SMART, BIG DATA etc..)
Con carácter general, se debe lleva a cabo la aplicación
de políticas de protección de datos en el desarrollo de los proyectos Smart. En
efecto, aunque el análisis de la protección de datos se debe de considerar en
todos los servicios y productos existen nuevos retos en los que se debe de
considerar especialmente. Uno de ellos es el desarrollo de las Smart Cities (u
otros proyectos Smart territoriales), a las que la AEPD dedica especial
referencia en su guía de AALL. Como indica la AEPD, en dichos
proyectos podemos obtener estadísticas por ejemplo del comportamiento de
los ciudadanos que acceden a un centro de ocio, de forma que tengamos
información sobre promedios de tiempo y distribución de los lugares en los que transitan;
a partir de esta información, se puede sugerir a los responsables del centro de
ocio que apliquen horarios de cierre escalonado, de manera que ayuden a
prevenir aglomeraciones de personas en determinados espacios públicos y
gestionar el transporte público en consecuencia. Incluso esta información puede
ser utilizada en tiempo real, de forma coordinada con la distribución de
otros servicios como la seguridad o servicios de emergencia.
9.3 APLICAR PRIVACIDAD, POR DEFECTO, EN TODOS LOS
SERVICIOS QUE SE GESTIONEN Y EN LOS PRODUCTOS QUE SE UTILICEN
Tanto en los casos de gestión directa como indirecta. En
este segundo caso: exigencia de la privacidad en el diseño a los contratistas
de la Administración, en contratos de servicios y suministros, especialmente
los de tecnología (se exige a través de cláusulas en los pliegos). Igualmente
se adoptarán medidas de exigencia de confidencialidad en el tratamiento de datos
a los contratistas de la Administración, especialmente en contratos de
concesión de servicios (igualmente se exige a través de cláusulas en los
pliegos).
10.- TENER EN CUENTA LAS GUÍAS Y DOCUMENTOS DE LA AEPD
Las autoridades de control han publicado diversas guías y
documentos de ayuda que pueden resultar muy útiles. Ténganse en cuenta no sólo
los actuales, sino también las guías, documentos e informes que publiquen:
11.- NOMBRAMIENTO O EXTERNALIZACIÓN DE LA FIGURA DEL DPO Y
OTRAS MEDIDAS EN MATERIA DE RRHH
Debemos recordar que el RGDP precisamente introduce
como obligatoria la figura del Delegado de Protección de Datos (DPO) en
determinados supuestos, entre los que se incluye, la necesidad de nombrar un
DPO cuando “el tratamiento lo lleve a cabo una autoridad u organismo
público” (artículo 37.1.a RGPD) como es el caso de las Administraciones
Públicas en las que sus órganos competentes son de composición política (y
tienen la condición de autoridad) y en todo caso son organismos públicos. De
forma concreta, en las Entidades Locales, dicha obligatoridad se extiende por
este motivo a sus entes dependientes de carácter público. Y esto desde una
óptica simple, ya que en nuestra opinión se puede asimilar perfectamente
el concepto organismo público del RGPD al de sector público de las últimas
leyes de Derecho público (la de régimen jurídico, la de contratos…), en cuyo
caso la obligación abarcaría a cualquier tipo de entidad dependiente, incluidas
fundaciones y sociedades mercantiles, lo cual no se puede negar que sería más
coherente en tanto que incluye en un régimen uniforme cualquier tratamiento que
proceda, directa o indirectamente, de una entidad responsable de prestar un
servicio público.
Una vez reconocida la apuntada obligatoriedad de disponer
de un DPO, debemos considerar dos aspectos distintos en cuanto a su
configuración en las EELL. Siguiendo en este punto a Eduard Chaveli, tenemos:
a) Por un lado la obligación de nombrar un DPO, en
todo caso, para las entidades de tipo provincial (Diputaciones, Consejos y
Cabildos) y Ayuntamientos “grandes”; y en su caso para Ayuntamientos
“medianos”.
b) Y por otro lado la posibilidad de que las citadas
entidades supramunicipales (y quizá otras, como Mancomunidades y Comarcas)
puedan prestar el servicio de DPO de modo externo a todos los Ayuntamientos
“pequeños” dentro de su ámbito, y en su caso al resto.
Respecto a la primera cuestión (a), no nos cabe duda de
que las citadas entidades, por tamaño y/o volumen de gestión, precisan
incorporar a su Plantilla esta figura. Dice la norma que el DPO actuará de
forma independiente, por lo que su posición orgánica no debería someterse al
principio de jerarquía (o su casi sinónimo “jerarquización”). Quizá debería ser
no un Delegado, sino todo un Departamento si tenemos en cuenta la segunda
cuestión (b), ya que precisamente aún reconociendo la existencia, también, de
Diputaciones “pequeñas”, no es menos cierto que estas deben dar cobertura a
numerosos municipios obviamente aún mucho más pequeños desde el punto de vista
de sus recursos. Obviamente se pueden articular las funciones propias de un DPO
a través de una figura unipersonal, al menos en un primer momento y sobre todo
para el cumplimiento inmediato del Reglamento (que en realidad ya entró en
vigor mucho antes del famoso 25 de mayo), pero la creación, a medio o largo
plazo, de un Departamento, supone la ventaja de que podría integrarse por
especialistas de distintas áreas de la gestión (jurídica, auditoría, financiera,
recursos humanos), abarcando un mayor y mejor conocimiento (Eduard Chaveli).
Recientemente, el Ayuntamiento de Alzira ha elevado a la AEPD la cuestión
preguntando por escrito si el Secretario de la Corporación puede ser
nombrado y ejercer como DPO.Adjuntamos como Anexo de la presente entrada la
contestación.
En todo caso, más allá de la figura del DPO, quizá
sea el momento de crear un Departamento de Seguridad y Protección de Datos en
las AAPP. No olvidemos el ENS en el fragor de esta nueva batalla.
13.- ANALIZAR LA LEGITIMACIÓN DE LA INFORMACIÓN QUE SE
PUBLICA. ESPECIAL REFERENCIA A LA QUE SE PUBLICA POR TRANSPARENCIA
Ya hemos hecho referencia a la legitimación que es uno de
los puntales en protección de datos, pero en el ámbito público deberemos buscar
y encontrar el equilibrio entre protección de datos y transparencia. Como
sabemos, sin perjuicio de lo que establezcan las leyes autonómicas, la Ley
estatal de Transparencia establece en su artículo 15 reglas para realizar este
análisis.
14.- ACTUALIZAR LOS CONTRATOS CON LOS ENCARGADOS QUE YA
TENÍA EL AYUNTAMIENTO
Es muy habitual que las administraciones locales tengan
proveedores que traten datos de los que son responsables las AALL. Hasta ahora
se deben haber firmado contratos de encargados del tratamiento con ellos a
tenor de lo que exige el artículo 12 de la LOPD del 99. Dichos contratos deben
de ser actualizados para recoger las nuevas previsiones que dispone el artículo
28 del RGPD, no siendo válidas simples remisiones genéricas al artículo del
RGPD que los regula.
CONTENIDO MÍNIMO DE LOS CONTRATOS CON ENCARGADOS DEL
TRATAMIENTO SEGÚN RGPD
-Objeto, duración y naturaleza
-Finalidad del tratamiento/s que se autoriza al encargado
-Tipo de datos personales y categorías de interesados
-Que el encargado tratará los datos personales únicamente
siguiendo instrucciones documentadas del responsable
-Deber de confidencialidad, secreto profesional
-Medidas de seguridad, técnicas y organizativas.
-Régimen de subcontratación (condiciones para que el
responsable pueda dar su autorización previa, específica o general, a las
subcontrataciones)
-Colaboración en el cumplimiento de obligaciones del
Responsable
-Correcta elección y vigilancia sobre el encargado
-Finalización de la relación: supresión o devolución de
datos
15.- “FIRMAR” CONTRATOS CON LOS NUEVOS ENCARGADOS QUE
TENGA EL AYUNTAMIENTO
Y obviamente también deberán firmarse dichos contratos
con los nuevos proveedores que traten datos del ayuntamiento.
Pero aquí hay una importante NOVEDAD que contempla la
AEPD: “La posibilidad de regular esta relación a través de un acto jurídico
unilateral del responsable del tratamiento es una novedad del RGPD”.
Pero matiza que “en cualquier caso debe tratarse de un
acto jurídico que establezca y defina la posición del encargado del
tratamiento, siempre y cuando ese acto vincule jurídicamente al encargado del
tratamiento”.
Ejemplo: una resolución administrativa que conste
notificada al encargado del tratamiento.
16.- SER DILIGENTE EN LA ELECCIÓN DE LOS NUEVOS ENCARGADOS
DEL TRATAMIENTO
Aunque las obligación del responsable de ser diligente en
la elección del encargado es un tema que ya estaba previsto en el RD 1720/2007
el RGPD da un paso más y le obliga al responsable a poder acreditar que ello es
así. Por tanto el responsable debe de realizar un chequeo sobre la salud en
protección de datos de sus proveedores que traten datos de carácter personal
del Ayuntamiento.
Una buena forma que contempla el RGPD (aunque no tiene
porqué ser la única) es que los encargados exhiban la adhesión a códigos de
conducta o que estén certificados. Esta exigencia habrá que relacionarla con el
tratamiento que realice el encargado.
17.- GUARDAR EL DEBER DE VIGILANCIA EN RELACIÓN CON LOS
ENCARGADOS DEL TRATAMIENTO
Pero ese deber de diligencia no sólo se proyecta en el
momento de la elección o contratación del encargado, sino también
posteriormente en el deber de vigilancia posterior. Pensemos que es posible que
un encargado que era inicialmente confiable puede haber cambiado en sus
circunstancias (imaginemos que ha variado su situación financiera, o
localización, o…) y ello puede impactar en las garantías que ofrece para
proteger los datos de los que es responsable el Ayuntamiento, y que aunque está
tratando los datos un tercero no por ello deja de ser responsable el
Ayuntamiento.
18.- ATENDER LAS SOLICITUDES DE DERECHOS ARCOPL QUE SE
PLANTEEN
El RGPD ha supuesto cambios en los derechos ARCO clásicos
añadiendo nuevos derechos como la portabilidad o la limitación en el uso de los
datos; así como la referencia al derecho al olvido. También se han producido
cambios relacionados con el procedimiento para atenderlos: plazo, vías,
gratuidad/canon etc.
Por tanto deberemos tener en cuenta dichos cambios en las
nuevas solicitudes de derechos que se planteen.
19.- REALIZAR FORMACIÓN CONTINUA
19.1 A QUIENES TENGAN RESPONSABILIDADES EN MATERIA DE
PROTECCIÓN DE DATOS
Cumplir con el RGPD supone también disponer de los
perfiles que se requiere. Y estos roles y responsabilidades encontrarán
intersecciones con los que el ENS exige. Asimismo existe un nuevo rol de
necesario nombramiento en las AAPP: el citado DPD. Dichos responsables deberán
ser formados en (y para) el cumplimiento de sus tareas, y reciclarse.
19.2 A TODO EL PERSONAL
Debemos formar, en general, a toda la plantilla, y
también a los concesionarios de servicios públicos. Todos ellos deben formarse
y ampliar su cultura en materia de protección de datos.
19.3 A LOS USUARIOS
No debemos olvidar que el eslabón más débil de la cadena
de seguridad/privacidad es el usuario, el ciudadano. Podemos cumplir con el
resto de obligaciones e incluso “tener un búnker de seguridad”, pero si los
interesados no conocen bien sus derechos y obligaciones y no están
concienciados todo puede haber sido en balde.
20.- GESTIONAR CORRECTAMENTE LAS VIOLACIONES DE
SEGURIDAD
Uno de los principales cambios del RGPD en materia de
seguridad es la obligación que incorpora de notificar (a las autoridades de
control y/o interesados, según el caso), en ciertos supuestos, las violaciones
de seguridad. Ello obligará no sólo a disponer de dichos procedimientos sino
incluso a “simularlos”.
21.- COMUNICAR CUANDO CORRESPONDA LAS VIOLACIONES DE
SEGURIDAD Y PROTECCIÓN DE DATOS A LAS AUTORIDADES COMPETENTES E INTERESADOS
En el caso de que se produzcan dichas violaciones habrá
que:
a) Analizar muy bien si existe o no obligación de
comunicarlas.
b) Y en caso afirmativo realizarlo de la forma correcta.
22.- REALIZAR REVISIONES PARA VERIFICAR QUE LOS CONTROLES
(TÉCNICOS, JURÍDICOS Y ORGANIZATIVOS) PLANIFICADOS HAN SIDO INCORPORADOS
Cumplir con el RGPD es trazar un sistema de gestión de
protección de datos (integrado con el ENS) y basado en un PDCA. No sólo se
trata de planificar e implantar sino que hay que realizar controles y
revisiones para verificar que los controles han sido implantados y también para
detectar nuevos posibles riesgos que tratar.
23.- PROCEDER A LA SUPERVISIÓN POR PARTE DEL DPO AL QUE SE
ASIGNEN ESTAS TAREAS
Pero ese Sistema de gestión de protección de datos debe
de estar supervisado por el DPO al que se asigne esta función. Para ello deben
estar claras las tares que el DPO tiene asignada. El esquema de certificación
de DPO y el Documento de AAPP y DPO de la AEPD realizan una
aproximación que hay que “aterrizar”.
24. REALIZAR AUDITORÍAS DE PROTECCIÓN DE DATOS INTEGRADAS
CON LAS DEL ENS
Aunque no es un tema nuevo porque la intersección entre
ENS y protección de datos ya estaba prevista en el propio RD 3/2010 (y así
también se contemplaba en la guía STIC 802 en relación con las auditorías
integradas), lo cierto es que esta relación se está viendo favorecida con el
RGPD.
25. MIRAR DE REOJO EL PROYECTO DE NUEVA LOPD…
Y esto, que no es poco, es prácticamente todo. Ya es 25
de mayo, sí. Hay 25 cosas que usted aún no ha hecho para adaptarse al #RGPD. No
importa, pero hay que hacerlas ¿Nos ponemos manos a la obra?
© Todos los derechos reservados. Nosoloaytos.
Web oficial de Víctor Almonacid Lamelas 2018. Aviso legal.
Más información:
“25
TAREAS DEL RGPD QUE TENDRÁ QUE REALIZAR UN AYUNTAMIENTO DESPUÉS DEL 25 DE MAYO”
(DOCUMENTO
VERSIÓN EXTENDIDA), por Eduard Chaveli y Víctor Almonacid
¿Puede
el Delegado de Protección de Datos ser también Compliance Officer ?, vía
Concepción Campos Acuña
Se
busca delegado-mediador de Protección de Datos , por Borja Adsuara Varela,
para Retina – El País
“Datos
abiertos: guía estratégica para su puesta en marcha y conjuntos de datos
mínimos a publicar” (Guía de la FEMP)
Los
“guardianes de los Tratados”, por Josep Jover y Víctor Almonacid
Anexo. Informe de la AEPD sobre escrito del Ayuntamiento
de Alzira preguntando si el Secretario de la Corporación puede ejercer de DPO. Resumen:
Puede ser nombrado siempre que cumpla con los requisitos legales relativos a
competencias profesionales y conflicto de intereses. Para poder ejercer
como DPD no es necesario estar certificado.
En relación a su escrito ponemos en su conocimiento lo
siguiente:
Como seguro ya conocen, según el artículo 37.1 .a) del Reglamento (UE) 2016/679
de Protección de Datos (RGPD) el responsable del tratamiento designará un
delegado de protección de datos (DPD) siempre que dicho tratamiento lo lleve a
cabo una autoridad u organismo público, excepto los tribunales que actúen en
ejercicio de su función judicial; como se trata en su caso concreto al tratarse
de un ayuntamiento.
El DPD es uno de los elementos clave del RGPD, como garante del cumplimiento de
la normativa de protección de datos en las organizaciones. Conocido también
como DPO (en inglés, Data Protection Officer), deberá contar con conocimientos
especializados del Derecho y la práctica de la protección de datos y actuará de
forma independiente. Se le atribuyen una serie de funciones reguladas en el
artículo 39 del RGPD, entre las que destacan informar y asesorar; así como
supervisar el cumplimiento del citado RGPD por parte del responsable o
encargado. No obstante, lo anterior conviene precisar que el RGPD no exige que
deba ser un jurista, pero sí que cuente con ese conocimiento en Derecho
anteriormente citado; pudiendo ser interno o externo, persona física o persona
jurídica especializada en esta materia.
La función del DPD puede ejercerse por lo tanto también en el marco de un
contrato de servicios suscrito con una persona física o con una organización
ajena a la organización del responsable o del encargado del tratamiento. En el
caso de un DPD interno es fundamental que cada miembro de la organización que
ejerza las funciones de DPD cumpla todos los requisitos aplicables de la
sección 4 del RGPD, siendo fundamental que nadie tenga un conflicto de
intereses.
Es igualmente importante que cada uno de estos miembros esté protegido por las
disposiciones del RGPD, como las que impiden la rescisión injustificada del
contrato de servicios motivada por las actividades del DPD o la destitución
improcedente del miembro de la organización que realice las funciones del DPD.
Al mismo tiempo, es posible combinar capacidades y puntos fuertes individuales
para que varios individuos que trabajen en equipo puedan servir de forma más
eficaz; pudiendo realizarse a tiempo completo o parcial (un DPD compartido
entre varias entidades o, en su caso, un servicio prestado por la correspondiente
Diputación).
En cualquier caso, se puede realizar el trámite de
notificación a esta AEPD de su designación en la siguiente dirección:
Sobre cómo realizarlo puede consultar la guía rápida publicada por la AEPD al
respecto en el siguiente enlace:
Por último, en relación con la obligatoriedad o no de la certificación en el
supuesto de un DPD (ya sea interno o externo), precisar que para poder ejercer
como DPD no es necesario estar certificado. Puede consultar el siguiente enlace
con información al respecto:
También pude serles de utilidad la siguiente información disponible en estos
enlaces:
Sobre el DPD en las Administraciones públicas:
Y de manera especial, para la Administración Local:
No hay comentarios:
Publicar un comentario