Por Víctor Almonacid.- Nosoloaytos. Ya está
en vigor la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales (BOE 6 de diciembre; en vigor desde
el 7 de diciembre). Llamémosla LOPDGDD por cierto, y no simplemente LOPD.
Podremos decir que no estamos adaptados a esta Ley, pero no que represente una
sorpresa, salvo para los que no vieran venir la jugada de lejos con la
jurisprudencia del TJUE de los últimos tiempos en materia de
protección de datos y sobre todo con el RGPD (REGLAMENTO (UE) 2016/679 DEL
PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la
protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos), el cual ha sido objeto de
nuestra consideración en diversas ocasiones (véase por todas “Ya
es 25 de mayo: las 25 tareas que debe realizar un Ayuntamiento para cumplir
el #RGPD”).
Es el momento ahora de completar lo ya dicho por diversos
expertos en diversas ocasiones (consultar documentación anexa a la presente
entrada) con el análisis de la incidencia de la LOPDGDD en el ámbito concreto
de la Administración Local, que es de la que hablamos en Nosoloaytos. Y para ello
desarrollaremos los siguientes ítems:
Adiós a la LOPD (un nuevo régimen jurídico)
Ante todo, la nueva LOPDGDD deroga la Ley Orgánica 15/1999,
de 13 de diciembre, de Protección de Datos de Carácter Personal. Esto era muy
necesario vista la antigüedad de la anterior Ley (anterior a la transparencia,
al desarrollo del mundo digital, a la administración electrónica, al ENS) y
sobre todo tras la aprobación del RGPD (Reglamento UE 2016/679 del Parlamento
Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las
personas físicas en lo que respecta al tratamiento de sus datos personales y a
la libre circulación de estos datos). Cierto es que el RGPD no necesitaba
transposición al no ser una Directiva, pero las normas europeas siempre
necesitan adaptación al ordenamiento jurídico interno, por razones de seguridad
jurídica, del mismo modo que las Leyes del Estado suelen necesitar de
adaptación a la realidad local a través de su desarrollo mediante Ordenanzas y
Reglamentos locales, respecto de los cuales se nos ha dicho que no abusemos (Ley
39/2015), pero no que no los usemos. Faltaría más. Algunos ya estamos
adaptando los reglamentos municipales a la LOPDGDD, matizando también los
documentos derivados del ENS. Asimismo queda derogado el Real Decreto-ley
5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho
español a la normativa de la Unión Europea en materia de protección de datos (que
analizamos aquí), el cual obviamente nació con vocación de transitoriedad.
Modificación de la Ley de procedimiento
La LOPDGDD modifica los apartados 2 y 3 del artículo 28 de
la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas, que pasan a tener la siguiente redacción (ojo a la
negrita):
2. Los interesados tienen derecho a no aportar
documentos que ya se encuentren en poder de la Administración actuante o hayan
sido elaborados por cualquier otra Administración. La administración actuante
podrá consultar o recabar dichos documentos salvo que el interesado se
opusiera a ello. No cabrá la oposición cuando la aportación del documento
se exigiera en el marco del ejercicio de potestades sancionadoras o de inspección.
Las Administraciones Públicas deberán recabar los documentos
electrónicamente a través de sus redes corporativas o mediante consulta a las
plataformas de intermediación de datos u otros sistemas electrónicos
habilitados al efecto.
Cuando se trate de informes preceptivos ya elaborados por un
órgano administrativo distinto al que tramita el procedimiento, éstos
deberán ser remitidos en el plazo de diez días a contar desde su
solicitud. Cumplido este plazo, se informará al interesado de que puede aportar
este informe o esperar a su remisión por el órgano competente.
3. Las Administraciones no exigirán a los interesados la
presentación de documentos originales, salvo que, con carácter
excepcional, la normativa reguladora aplicable establezca lo contrario.
Asimismo, las Administraciones Públicas no requerirán a
los interesados datos o documentos no exigidos por la normativa
reguladora aplicable o que hayan sido aportados anteriormente por el
interesado a cualquier Administración. A estos efectos, el interesado
deberá indicar en qué momento y ante qué órgano administrativo presentó
los citados documentos, debiendo las Administraciones Públicas recabarlos
electrónicamente a través de sus redes corporativas o de una consulta a
las plataformas de intermediación de datos u otros sistemas electrónicos
habilitados al efecto, salvo que conste en el procedimiento la
oposición expresa del interesado o la ley especial aplicable requiera su
consentimiento expreso. Excepcionalmente, si las
Administraciones Públicas no pudieran recabar los citados documentos,
podrán solicitar nuevamente al interesado su aportación.»
Entonces… ¿El tratamiento de datos necesario para la
tramitación de los expedientes precisa de consentimiento del afectado? Sí,
con los matices apuntados. Lo más importante es que se sustituye la necesidad,
salvo excepciones, del consentimiento expreso, por la oposición expresa (véase
al respecto este
informe de la AEPD). Es difícil que se dé esta oposición, pues de lo que se
trata es precisamente de hacer efectivo un derecho de las personas como es el
de no presentar dos veces el mismo documento o bien simplemente de no presentar
certificados que emanan de la administración, aunque la administración sea
distinta de la actuante. La administración debe recabar esos datos o documentos
en nombre del ciudadano. Es un tratamiento de datos, por tanto, que se hace en
beneficio del mismo. Y cuando no existe tal beneficio, por ejemplo porque el
expediente administrativo que se tramita es de tipo sancionador, el interesado
no puede oponerse ya que obviamente esto supondría un bloqueo de este tipo de
procedimientos. Todo ello sin perjuicio de lo dispuesto en la D.A.8ª (Potestad
de verificación de las Administraciones Públicas).
Consentimiento del afectado
En todo caso parece adecuado referirnos al consentimiento
del afectado, toda vez que va a ser necesario recabarlo en diversos casos de
“tratamiento”. El art. 6 de la LOPDGDD regula el Tratamiento
basado en el consentimiento del afectado (ver), si
bien nos parece más didáctico el art. 7 del RGPD cuando establece las
siguientes “Condiciones para el consentimiento” (totalmente aplicable a las
AAPP):
1.- Cuando el tratamiento se base en el consentimiento del
interesado, el responsable deberá ser capaz de demostrar que aquel
consintió el tratamiento de sus datos personales.
2.- Si el consentimiento del interesado se da en el contexto de una declaración
escrita que también se refiera a otros asuntos, la solicitud de
consentimiento se presentará de tal forma que se distinga claramente de los
demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje
claro y sencillo. No será vinculante ninguna parte de la declaración que
constituya infracción del presente Reglamento.
3.- El interesado tendrá derecho a retirar su consentimiento en
cualquier momento. La retirada del consentimiento no afectará a la licitud del
tratamiento basada en el consentimiento previo a su retirada. Antes de dar su
consentimiento, el interesado será informado de ello. Será tan fácil retirar el
consentimiento como darlo.
4.- Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta
en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de
un contrato, incluida la prestación de un servicio, se supedita al
consentimiento al tratamiento de datos personales que no son necesarios para la
ejecución de dicho contrato.
Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos
El artículo 8 LOPDGDD regula estos tres supuestos en sus dos
apartados:
1.- El tratamiento de datos personales solo podrá
considerarse fundado en el cumplimiento de una obligación legal exigible
al responsable, en los términos previstos en el artículo 6.1.c) del Reglamento
(UE) 2016/679 (“el tratamiento será lícito si dicho tratamiento es necesario
para el cumplimiento de una obligación legal aplicable al responsable del
tratamiento“), cuando así lo prevea una norma de Derecho de la Unión Europea o
una norma con rango de ley, que podrá determinar las condiciones generales del
tratamiento y los tipos de datos objeto del mismo así como las cesiones que
procedan como consecuencia del cumplimiento de la obligación legal. Dicha norma
podrá igualmente imponer condiciones especiales al tratamiento, tales como la
adopción de medidas adicionales de seguridad u otras establecidas en el
capítulo IV del Reglamento (UE) 2016/679.
2.- El tratamiento de datos personales solo podrá
considerarse fundado en el cumplimiento de una misión realizada en interés
público o en el ejercicio de poderes públicos conferidos al responsable, en los
términos previstos en el artículo 6.1 e) del Reglamento (UE) 2016/679 (“el
tratamiento será lícito si dicho tratamiento es necesario para el cumplimiento
de una misión realizada en interés público o en el ejercicio de poderes
públicos conferidos al responsable del tratamiento“), cuando derive de una
competencia atribuida por una norma con rango de ley.
Transparencia y protección de datos
Modificaciones en la Ley de transparencia. La
protección de datos siempre se ha visto, e incluso se ha utilizado, como la
contrapartida de la transparencia. Pero este aparente conflicto es más sencillo
de resolver de lo que parece si simplemente aplicamos el ordenamiento jurídico
de forma coordinada (ver “LOPD
y transparencia: dos caras de la misma moneda”). En palabras de Borja
Adsuara, la transparencia consiste en una serie de derechos sobre los datos;
mientras que la protección de datos contiene derechos sobre nuestros datos,
de modo que son disciplinas absolutamente emparentadas. Precisamente la
LOPDGDD modifica la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a
la información pública y buen gobierno, en los siguientes términos:
Uno. Se añade un nuevo artículo 6 bis, con la siguiente
redacción:
«Artículo 6 bis. Registro de actividades de tratamiento.
Los sujetos enumerados en el artículo 77.1 de la Ley Orgánica de Protección de
Datos
Personales y Garantía de los Derechos Digitales, publicarán su inventario de
actividades de tratamiento en aplicación del artículo 31 de la citada Ley
Orgánica.»
Dos. El apartado 1 del artículo 15 queda redactado como
sigue:
«1. Si la información solicitada contuviera datos personales que revelen la
ideología, afiliación sindical, religión o creencias, el acceso únicamente
se podrá autorizar en caso de que se contase con el consentimiento
expreso y por escrito del afectado, a menos que dicho afectado
hubiese hecho manifiestamente públicos los datos con anterioridad a que se
solicitase el acceso.
Si la información incluyese datos personales que hagan referencia al origen
racial, a la salud o a la vida sexual, incluyese datos genéticos o
biométricos o contuviera datos relativos a la comisión de infracciones
penales o administrativas que no conllevasen la amonestación pública al
infractor, el acceso solo se podrá autorizar en caso de que se cuente con
el consentimiento expreso del afectado o si aquél estuviera amparado
por una norma con rango de ley.»
Información al afectado. El artículo 11 LOPDGDD debe
ser interpretado en este caso de manera conjunta con los artículos 13 y 14 del
RGPD, y por supuesto la Ley 19/2013, de 9 de diciembre, de transparencia,
acceso a la información pública y buen gobierno. Dicho artículo 11 contiene
tres apartados:
1.- Cuando los datos personales sean obtenidos del afectado
el responsable del tratamiento podrá dar cumplimiento al deber de información
establecido en el artículo 13 del Reglamento (UE) 2016/679 (“Información que
deberá facilitarse cuando los datos personales se obtengan del interesado“)
facilitando al afectado la información básica a la que se refiere el apartado
siguiente e indicándole una dirección electrónica u otro medio que permita
acceder de forma sencilla e inmediata a la restante información.
2.- La información básica a la que se refiere el apartado
anterior deberá contener, al menos: a) La identidad del responsable del
tratamiento y de su representante, en su caso; b) La finalidad del
tratamiento; c) La posibilidad de ejercer los derechos establecidos en los
artículos 15 a 22 del Reglamento (UE) 2016/679. Si los datos obtenidos del
afectado fueran a ser tratados para la elaboración de perfiles, la información
básica comprenderá asimismo esta circunstancia. En este caso, el afectado
deberá ser informado de su derecho a oponerse a la adopción de decisiones
individuales automatizadas que produzcan efectos jurídicos sobre él o le
afecten significativamente de modo similar, cuando concurra este derecho de
acuerdo con lo previsto en el artículo 22 del Reglamento (UE) 2016/679.
3.- Cuando los datos personales no hubieran sido obtenidos
del afectado, el responsable podrá dar cumplimiento al deber de información
establecido en el artículo 14 del Reglamento (UE) 2016/679 (“Información que
deberá facilitarse cuando los datos personales no se hayan obtenido del
interesado”) facilitando a aquel la información básica señalada en el apartado
anterior, indicándole una dirección electrónica u otro medio que permita
acceder de forma sencilla e inmediata a la restante información. En estos
supuestos, la información básica incluirá también: a) Las categorías de datos
objeto de tratamiento; b) Las fuentes de las que procedieran los datos.
Identificación de los interesados en las notificaciones por
medio de anuncios y publicaciones
La D.A.7ª regula exactamente esta cuestión (Identificación
de los interesados en las notificaciones por medio de anuncios y publicaciones
de actos administrativos). A este respecto indicar que precisamente la
Agencia Estatal Boletín Oficial del Estado acaba de emitir el siguiente
comunicado:
“El 7 de diciembre de 2018 se ha producido la entrada en vigor
de la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos
Personales y Garantía de los Derechos Digitales. Entre otros contenidos,
esta norma regula la forma en que deben identificarse los interesados en los
anuncios de notificación que se publican en el Tablón Edictal Único del BOE:
Esta identificación se realizará exclusivamente mediante el
número completo de su documento nacional de identidad, número de identidad de
extranjero, pasaporte o documento equivalente.
Cuando el afectado careciera de cualquiera de los documentos
mencionados, se identificará al afectado únicamente mediante su nombre y
apellidos.
En ningún caso debe publicarse el nombre y apellidos de
manera conjunta con el número completo del documento.
Dado el carácter automatizado del sistema de remisión y
gestión telemática de los anuncios de notificación, se recuerda que las
unidades remisoras son responsables del contenido del anuncio a publicar, por
lo que deben garantizar que su redacción responde a lo dispuesto por la nueva
ley”.
El Delegado de
Protección de Datos
La LOPDGDD consolida la figura del DPO regulada en el
Reglamento General de Protección de Datos. Personalmente me alegro, porque yo
soy el DPO de mi organización y esto me crea seguridad jurídica. Es una figura,
por tanto, obligatoria (que se puede articular no obstante de diferentes modos,
tal y como explicamos en el audio insertado unas líneas más abajo).
Obligatorio, ojo, como también lo es el responsable
y el encargado del tratamiento, los cuales vamos a dar por sentado que los
tienen ustedes “ubicados” en cada organización. Volviendo al DPO, es una
responsabilidad importante. No olvidemos que el DPO es el interlocutor de la
entidad ante la AEPD, teniendo facultades de inspección de los procedimientos;
y que “Cuando el delegado de protección de datos aprecie la existencia de una
vulneración relevante en materia de protección de datos lo documentará y lo
comunicará inmediatamente a los órganos de administración y dirección del
responsable o el encargado del tratamiento” (que en nuestro caso podría ser el
Alcalde y la Junta de Gobierno).
Como señala
Rafael Jiménez Asensio, “La figura del Delegado de Protección de Datos reitera
algunas de las características recogidas en el RGPD (artículos 37 a 39), pero
con algunas exigencias adicionales:
La comunicación a la autoridad de control en el plazo de
diez días del nombramiento y cese del DPD (artículo 34.3)
La dedicación a tiempo completo o parcial del DPD, en
función del tipo de datos que se traten (artículo 34.5)
La “obtención de titulación universitaria” (¿se refiere a
postgrados?) para demostrar a través de mecanismos de certificación el
cumplimiento de los requisitos del artículo 37.5 RGPD
La garantía, siempre que se trate de persona física, de no
remoción y de independencia, evitando cualquier conflicto de intereses del DPD
(Art. 36.2), lo que puede poner en duda algunos nombramientos en función del
tipo de tareas que se desarrollen (dedicación parcial).
La facultad del DPD de inspeccionar los procedimientos
relacionados con el objeto de la Ley y emitir recomendaciones (artículo 36)
La facultad de documentar y comunicar a los órganos
competentes la existencia de una vulneración relevante en materia de protección
de datos.
Y el régimen de intervención del DPD en los supuestos de
reclamaciones ante las autoridades de control (artículo 37)”.
Por lo demás nos remitimos a la lectura de los aludidos
arts. 34 a 37 LOPDGDD (“Delegado
de protección de datos”) y sobre todo a nuestro estudio
monográfico “El
Delegado de Protección de Datos en la Administración Local #DPO”.
Derechos digitales
Ya hemos indicado que esta no es una nueva LOPD, sino una
LOPDGDD. Ahora bien, los derechos digitales son los derechos digitales y la
protección de datos es la protección de datos. Yo los habría separado. Nos
parece muy bien que se reconozcan unos nuevos derechos “de la Era digital”,
como el derecho de acceso universal a Internet, el derecho a la educación
digital o el derecho al olvido en búsquedas de Internet, pero podrían haberse
recogido en otra Ley. Obviamente todo está relacionado, pero también estaba
relacionado el Buen Gobierno con la transparencia y en su momento también lo
habríamos sacado de la Ley de transparencia. En todo caso, hablando de la GDD,
como poderes públicos que somos los entes que conforman la Administración
Local, nos corresponde, en gran medida, la garantía de su ejercicio.
Esquema Nacional de Seguridad
Aquí seremos muy breves: si una Administración cumple
totalmente con el Esquema Nacional de Seguridad también cumplirá la normativa
sobre protección de datos, porque esta se encuentra incluida en aquel, aunque
la LOPDGDD sea una Ley Orgániza y el ENS un simple Real Decreto desarrollado
por las NTI. Esta inclusión es de tipo conceptual, no jerárquica normativa. En
todo caso es
incompatible la figura del DPO con la del responsable de seguridad de la
información del ENS. A mayor abundamiento véase “Seguridad
jurídica y seguridad informática: dos caras de la misma moneda”. Fuente: CCN-CERT
Otros impactos en la Administración Local
Potestad de verificación de las Administraciones
Públicas. En la aludida Disposición Adicional 8ª se reconoce esta potestad
de verificación en el sentido de que “Cuando se formulen solicitudes por
cualquier medio en las que el interesado declare datos personales que obren en
poder de las Administraciones Públicas, el órgano destinatario de la solicitud
podrá efectuar en el ejercicio de sus competencias las verificaciones
necesarias para comprobar la exactitud de los datos”.
Nuevos derechos de los trabajadores. Se añade en el
Estatuto del empleado público el derecho de dichos empleados a la intimidad en
el uso de dispositivos digitales puestos a su disposición y frente al uso de
dispositivos de videovigilancia y geolocalización, así como a la desconexión
digital. Téngase en cuenta en todo caso los siguientes derechos que
afectan al entorno laboral(arts. de la LOPDGDD):
Tratamientos de los registros de personal del sector
público. Otra disposición digamos “de RRHH” es la adicional 12ª, que
establece que “Los tratamientos de los registros de personal del sector público
se entenderán realizados en el ejercicio de poderes públicos conferidos a sus
responsables, de acuerdo con lo previsto en el artículo 6.1.e) del Reglamento
(UE) 2016/679”. Además “Los registros de personal del sector público podrán
tratar datos personales relativos a infracciones y condenas penales e
infracciones y sanciones administrativas, limitándose a los datos estrictamente
necesarios para el cumplimiento de sus fines”.
Modificación de la LOREG. La LOPDGDD modifica la Ley
Orgánica 5/1985, de 19 de junio, del Régimen Electoral General añadiendo un
artículo especialmente desafortunado en mi opinión, como es el nuevo 58 bis,
que permite a los partidos políticos a acceder a nuestros datos, y utilizarlos
por ejemplo enviándonos propaganda electoral en base a nuestro perfil
ideológico (algo que tiene un enorme margen de error) mediante sistemas de
mensajería instantánea. Llámenme miope pero no veo el interés público. Sé que
ya hay voces autorizadas que están defendiendo la oportunidad este precepto
(por ejemplo la
propia AEPD), mientras que otras lo critican con fuerza (véase este
artículo de Borja Adsuara y alguno más que recogemos en la
documentación anexa a la presente entrada). Yo me encuentro mucho más cerca de
los segundos, y me permito añadir, por ejemplo, que este precepto podría chocar
con la Ley 12/2018, de 24 de mayo, de la Generalitat, de publicidad
institucional para el interés ciudadano.
Datos
de las personas fallecidas. El nuevo art. 3 obviamente afecta a la
Administración Local, donde se gestionan y tratan datos de las personas
fallecidas del municipio, así como de otros interesados.
GDD. No olvidemos tampoco que la Administración debe
hacer efectivos los derechos
de las personas contenidos en los arts. 12 a 18 de la nueva LOPDGDD, que se
corresponden con los artículos 15 a 22 del Reglamento (UE) 2016/679, unos
derechos que van más allá de los clásicos “ARCO”; y también, con los matices
indicados, los derechos digitales del Título X.
Otras modificaciones legales. Por último, también se
modifica La Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción
Contencioso-administrativa, y algunas leyes sectoriales como la Ley
14/1986, de 25 de abril, General de Sanidad. Seguiremos informando.
“Si piensas que la tecnología puede solucionar tus problemas
de seguridad, está claro que ni entiendes los problemas ni entiendes la
tecnología” (Bruce Schneier)
© Todos los derechos reservados. Nosoloaytos. Web
oficial de Víctor Almonacid Lamelas 2018. Aviso legal.
Para saber más:
Informe
de la AEPD sobre tratamiento de datos por parte de las AAPP (art. 28
LPAC y otras cuestiones).
Informe
de la AEPD sobre (in)compatibilidad entre la figura del delegado de
protección de datos del Reglamento general de protección de datos y el
responsable de seguridad de la información del Esquema Nacional de Seguridad.
Reglamento (UE)
2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre
de 2018, relativo a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales por las instituciones, órganos y
organismos de la Unión, y a la libre circulación de esos datos, y por el
que se derogan el Reglamento (CE) nº 45/2001 y la Decisión
nº 1247/2002/CE.
“10
puntos que debes conocer (YA) de la nueva LOPD y GDD”, por Concepción
Campos Acuña.
“(ALGUNAS)
IDEAS-FUERZA DE LA NUEVA LEY DE PROTECCIÓN DE DATOS EN SU APLICACIÓN AL
SECTOR PÚBLICO”, por Rafael Jiménez Asensio.
“Protección de datos y Derechos digitales”, por Rafael
Jiménez Asensio.
#NoConMisDatos,
por Borja Adsuara.
“La
PDLI, la Asociación de Internautas y expertos juristas lanzan un formulario
para impedir que los partidos puedan crear bases de datos con las opiniones
políticas de los ciudadanos”, vía internautas.org. Nota: el documento
ha sido elaborado por los letrados: Carlos Sánchez Almeida, David Bravo,
Borja Adsuara, Samuel Parra (451.legal), Sergio Carrasco y Ofelia
Tejerina (consulte
la misma noticia en Europa Press).
Entradas en el blog Nosoloaytos:
No hay comentarios:
Publicar un comentario