Protección de datos. Acceso a datos sensibles del departamento de personal del ayuntamiento por el resto de empleados municipales

Planteamiento

En un ayuntamiento el programa para la gestión de los expedientes electrónicos permite que más de veinte personas puedan tener acceso a los expedientes personales de los empleados municipales. Es decir, otros empleados que no están destinados en el área de personal, como por ejemplo el área de obras públicas, urbanismo, medio ambiente, registro general, etc., y que nada tienen que gestionar en los expedientes personales de los empleados municipales, sin embargo, pueden ver las nóminas, la documentación relativa a la gestión de Seguridad Social, control de asistencia, bajas médicas, visitas médicas, régimen disciplinario.

A nuestro modo de ver, este estado de cosas podría estar vulnerando la legislación de protección de datos, derechos del paciente, entre otras.

¿Cuál es opinión al respecto? En caso de que, tras una petición al ayuntamiento, esta no sea atendida ¿qué podríamos hacer: denuncia a la AEPD, queja al defensor del pueblo, etc.?

Respuesta

El art. 5.1.f) del Reglamento General de Protección de Datos -RGPD- recoge el llamado principio de integridad y confidencialidad, el cual determina que los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.

Adicionalmente, el art. 32 RGPD manifiesta que:

“Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

a) la seudonimización y el cifrado de datos personales;

b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;

d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”

En virtud de lo anterior, el ayuntamiento debería aplicar medidas de seguridad adecuadas para impedir accesos no autorizados a los datos personales como, por ejemplo, estableciendo perfiles de acceso, de tal manera que únicamente los usuarios autorizados que lo necesiten para el desarrollo de sus funciones puedan acceder a la información indicada en el planteamiento de la consulta, impidiendo dicho acceso al resto de usuarios del ayuntamiento.

En el supuesto de que el ayuntamiento no cumpla las medidas de seguridad adecuadas, esto implicaría una infracción del RGPD, pudiendo presentar una reclamación ante la Agencia Española de Protección de Datos, dando lugar a la correspondiente sanción que, en el caso de las administraciones públicas, consistiría en un apercibimiento.

Conclusiones

1ª. El ayuntamiento está obligado a implementar medidas de seguridad que garanticen, entre otras cosas, que únicamente acceden a la información los usuarios autorizados que necesitan conocerla para el desarrollo de sus funciones.

2ª. Si el ayuntamiento no aplica medidas de seguridad adecuadas, se podrá presentar una reclamación ante la Agencia Española de Protección de Datos que dará lugar, en su caso, a un apercibimiento.

agenda del interventor

30
abr

Ejecución trimestral del Presupuesto (primer trimestre de 2024)
Informe de seguimiento del Plan de Ajuste (primer trimestre de 2024)
Información sobre tipos impositivos de las Entidades Locales (esfuerzo fiscal 2024)
Remisión de informe resumen de control financiero 2023
Liquidación del Presupuesto de 2023. Entes con presupuesto limitativo
Remisión al Tribunal de Cuentas de información sobre estructura del órgano de intervención y ejercicio del control interno de la entidad local
Remisión al Tribunal de Cuentas de los acuerdos de gastos contrarios a reparos de intervención
Remisión al Tribunal de Cuentas de los acuerdos y resoluciones con omisión del trámite de fiscalización previa
Remisión al Tribunal de Cuentas de las anomalías en la gestión de ingresos
Información sobre retribuciones salariales del personal en 2023
Período Medio de Pago Mensual (marzo 2024) y Trimestral (primer trimestre 2024)
Informe de morosidad (primer trimestre de 2024)
15
may

Rendición de la Cuenta General de 2023

DEMOSTRACIÓN ONLINE

Normativa básica

Revista Derecho local

PRODUCTO DESTACADO

Enlaces de interés

Servicio de soporte

Asistencia telefónica

Mail Atención al Cliente

Chat Online

Centro de ayuda

Protección de datos. Acceso a datos sensibles del departamento de personal del ayuntamiento por el resto de empleados municipales

Planteamiento

Respuesta

Conclusiones