Plan de control e inspección sobre protección de datos en el sector público de Andalucía 2023-2025

El artículo 82 de la Ley Orgánica 2/2007, de 19 de marzo, de reforma del Estatuto de Autonomía para Andalucía, establece que «corresponde a la Comunidad Autónoma de Andalucía la competencia ejecutiva sobre protección de datos de carácter personal, gestionados por las instituciones autonómicas de Andalucía, Administración autonómica, Administraciones locales, y otras entidades de derecho público y privado dependientes de cualquiera de ellas, así como por las universidades del sistema universitario andaluz».

El artículo 43 de la Ley 1/2014, de 24 de junio, de Transparencia Pública de Andalucía (en adelante, LTPA), crea el Consejo de Transparencia y Protección de Datos de Andalucía (en adelante, el Consejo) como autoridad independiente de control en materia de protección de datos y de transparencia en la Comunidad Autónoma de Andalucía.

El artículo 48 de la LTPA asigna a la Dirección del Consejo, entre otras funciones, desempeñar las previstas en la legislación sobre protección de datos para su ejercicio por las agencias autonómicas.

En tal sentido, el artículo 57 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD) establece que:

«1. Las autoridades autonómicas de protección de datos personales podrán ejercer, las funciones y potestades establecidas en los artículos 57 y 58 del Reglamento (UE) 2016/679, de acuerdo con la normativa autonómica, cuando se refieran a:

a) Tratamientos de los que sean responsables las entidades integrantes del sector público de la correspondiente Comunidad Autónoma o de las Entidades Locales incluidas en su ámbito territorial o quienes presten servicios a través de cualquier forma de gestión directa o indirecta.

b) Tratamientos llevados a cabo por personas físicas o jurídicas para el ejercicio de las funciones públicas en materias que sean competencia de la correspondiente Administración Autonómica o Local.

c) Tratamientos que se encuentren expresamente previstos, en su caso, en los respectivos Estatutos de Autonomía.»

Así, entre las funciones atribuidas al Consejo en virtud del artículo 57 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, en adelante RGPD), se establecen la de controlar la aplicación del RGPD y llevar a cabo investigaciones sobre la aplicación del RGPD, así como la de promover la sensibilización de los responsables y encargados del tratamiento acerca de las obligaciones que les incumben en virtud del mismo.

Este Plan de Control e Inspección sobre Protección de Datos en el sector público andaluz, abarcará los ejercicios 2023, 2024 y 2025, y se divide en cuatro líneas básicas de actuación:

- La Línea 1 estará dirigida al control del cumplimiento de la obligación de designación del delegado de protección de datos por parte de los organismos públicos, preferentemente en los Ayuntamientos andaluces, ya que debido a su ámbito territorial y competencial, los tratamientos de datos personales que los mismos llevan a cabo afectan a la totalidad de la población andaluza.

- La Línea 2 tiene como objetivo verificar el cumplimiento de los principales elementos de responsabilidad proactiva en proyectos que traten datos personales haciendo un uso intensivo de nuevas tecnologías y que, por su naturaleza, alcance, contexto o fines, pudieran entrañar un alto riesgo para los derechos y libertades de las personas físicas.

- La Línea 3 pretende verificar el cumplimiento de las obligaciones legales en materia de protección de datos por parte de los portales web institucionales del sector público en el uso de cookies, dadas las importantes implicaciones en relación con la privacidad y el amplio uso que realiza la ciudadanía de los mismos.

- La Línea 4 controlará la realización de análisis de riesgos y, en su caso, de evaluaciones de impacto relativas a la protección de datos por parte de los responsables del tratamiento, dado que este análisis constituye uno de los elementos centrales en torno al cual se fundamenta el principio de responsabilidad proactiva.

Por todo lo expuesto, esta Dirección, en ejercicio de las funciones atribuidas por el artículo 10.3.a) de los Estatutos del Consejo de Transparencia y Protección de Datos de Andalucía, aprobados por Decreto 434/2015, de 29 de septiembre,

RESUELVE:

Primero. 
Aprobación y vigencia del Plan de Control e Inspección sobre Protección de Datos en el Sector Público Andaluz 2023-2025.

Se aprueba el Plan de Control e Inspección sobre Protección de Datos en el Sector Público Andaluz 2023-2025, cuyo contenido se incluye como anexo a esta resolución. La vigencia del Plan será desde su publicación en el Boletín Oficial de la Junta de Andalucía hasta el 31 de diciembre de 2025, si bien en sucesivos Planes se podrán prorrogar o complementar líneas de actuación incluidas en el mismo.

Segundo. 
Planificación y desarrollo del Plan.

1. Para el adecuado desarrollo de cada una de las líneas de actuación del Plan, se elaborará un protocolo en el que se describan los objetivos generales y detallados de las mismas, los criterios para la selección de las entidades directamente afectadas, la metodología a emplear para su desarrollo y el calendario previsto para su realización.

2. El Área de Protección de Datos podrá ampliar la muestra de entidades a inspeccionar en cada una de las Líneas, de acuerdo con los criterios de selección fijados en los correspondientes protocolos.

3. El presente Plan tiene un carácter eminentemente sensibilizador y preventivo. Sin embargo, su aplicación no limitará los poderes de investigación y correctivos que el artículo 58 del RGPD atribuye al Consejo, que siempre podrá realizar actuaciones de oficio así como las que deriven de la presentación de reclamaciones o de las notificaciones de brechas de seguridad de datos personales.

Tercero. 
Seguimiento del Plan.

1. Tras la finalización del Plan, el Área de Protección de Datos elevará una propuesta de informe a la Dirección del Consejo donde consten los resultados por cada una de las líneas de actuación y que incluya posibles propuestas para incluir en planes posteriores, en base a la información y las conclusiones obtenidas.

2. Sin perjuicio de lo anterior, durante el desarrollo del Plan la Dirección del Consejo informará semestralmente a la Comisión Consultiva de la Transparencia y la Protección de Datos sobre la ejecución del Plan, para lo que podrá requerir al Área de Protección de Datos la información que considere necesaria.

3. Teniendo en cuenta los resultados del Plan y de los procedimientos que pudieran haberse iniciado como consecuencia del mismo, la Dirección del Consejo podrá dictar circulares de carácter general para el mejor cumplimiento de las obligaciones en materia de protección de datos en el sector público andaluz, en virtud del artículo 57.2 LOPDGDD.

Cuarto. 
Colaboración de los sujetos obligados en materia de protección de datos.

El Consejo, en su condición de autoridad independiente de control en materia de protección de datos en la Comunidad Autónoma de Andalucía, y en virtud de los poderes de investigación otorgados a las autoridades de control por el artículo 58.1 RGPD, así como de lo dispuesto en el artículo 16.5 del Decreto 434/2015, de 29 de septiembre, por el que se aprueban los Estatutos del Consejo, podrá solicitar la colaboración de los sujetos obligados al cumplimiento de las obligaciones en materia de protección de datos, a los efectos de que aporten cualquier información o documentación que les sea requerida para el desarrollo y cumplimiento del Plan. Ante la falta de colaboración, el Consejo podrá incoar procedimiento sancionador por una infracción muy grave, de acuerdo con lo establecido en el artículo 72.1 letra o) de la LOPDGDD, por la resistencia u obstrucción del ejercicio de la función inspectora por la autoridad de protección de datos competente.

Quinto. 
Publicación en el Boletín Oficial de la Junta de Andalucía.

Se ordena la remisión de la presente resolución al Boletín Oficial de la Junta de Andalucía para su publicación.

Sevilla, 20 de septiembre de 2023.- El Director, Jesús Jiménez López.

ANEXO. 
PLAN DE CONTROL E INSPECCIÓN SOBRE PROTECCIÓN DE DATOS EN EL SECTOR PÚBLICO ANDALUZ 2023-2025

El Plan de Control e Inspección sobre Protección de Datos en el sector público andaluz 2023-2025 consta de las siguientes líneas:

Línea 1. Control del cumplimiento de la obligación de designación del delegado de protección de datos en el sector público andaluz.

Descripción: El RGPD establece la figura de Delegado de Protección de Datos (DPD) como un elemento clave dentro del modelo de responsabilidad proactiva propugnado por la citada norma. Su función es prestar al responsable del tratamiento la asistencia y asesoramiento sobre las obligaciones del RGPD y demás normativa aplicable en protección de datos, así como supervisar su cumplimiento.

Los artículos 37, 38 y 39 RGPD regulan la designación del delegado de protección de datos, su posición en la organización y sus funciones.

En particular, el artículo 37.1 RGPD establece los casos en que un responsable del tratamiento debe designar un DPD, siendo uno de estos casos el descrito en la letra a) de dicho apartado: «siempre que el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial». La LOPDGDD abunda en la regulación de esta figura y en su artículo 34.3 establece que «los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria».

Dichos preceptos obligan, por tanto, a los organismos del sector público andaluz a designar un delegado de protección de datos y a comunicarlo a este Consejo.

La normativa vigente no gradúa, en atención a criterios poblacionales y de recursos, estas obligaciones, que resultan exigibles a cada entidad del sector público andaluz. Esta línea se centrará preferentemente en los Ayuntamientos, dada la repercusión que tiene en toda la población andaluza los tratamientos de datos personales que realizan los mismos, sin descartar otras entidades incluidas en el ámbito de actuación del Consejo y el importante papel de los DPD en la información y asesoramiento al responsable del tratamiento y en la supervisión del cumplimiento de la normativa en materia de protección de datos. El objetivo será alcanzar el 100% de los Ayuntamientos.

Ámbito: Ayuntamientos de todos los municipios de la Comunidad Autónoma Andaluza, Diputaciones provinciales andaluzas, Administración de la Junta de Andalucía y organismos autónomos, entidades públicas empresariales, agencias y demás entes públicos vinculados o dependientes de la Administración autonómica.

Línea 2. Verificación del cumplimiento del principio de responsabilidad proactiva en proyectos con uso intensivo de nuevas tecnologías.

Descripción: En los últimos tiempos, los avances tecnológicos han provocado un impacto significativo en la protección de los datos personales. Tecnologías como el machine learning, la inteligencia artificial, el análisis de big data, el internet de las cosas (IoT), el reconocimiento facial u otras tecnologías biométricas y el blockchain han experimentado un crecimiento exponencial, siendo utilizadas en una amplia variedad de sectores y contextos. La Administración Pública no es ajena a esta transformación e incorpora una fuerte componente tecnológica en multitud de proyectos con repercusión directa en la ciudadanía. Sin embargo, esta rápida evolución plantea nuevos desafíos en términos de privacidad y seguridad de los datos personales.

El RGPD desempeña un papel fundamental en el control de este impacto. El Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales desde una perspectiva tecnológicamente neutral. La tecnología en sí misma no es un tratamiento de datos, sino un medio utilizado por los responsables para implementar operaciones de datos personales en un tratamiento. Esto implica que las organizaciones deben seleccionar cuidadosamente las tecnologías que utilizan, teniendo en cuenta los riesgos que entraña el tratamiento de datos para los derechos y libertades de las personas físicas.

En este contexto de profundos cambios tecnológicos, juega un papel fundamental el modelo basado en la responsabilidad proactiva introducido por el RGPD. Este Reglamento, en lugar de simplemente exigir el cumplimiento normativo, promueve que los responsables y encargados del tratamiento realicen una valoración previa de los riesgos asociados al tratamiento de datos personales, para, a partir de dicha valoración, adoptar las medidas técnicas y organizativas que procedan.

Este hecho justifica la inclusión de esta Línea de control, ya que además se trata de un tema de notable relevancia e interés para la población andaluza.

En esta Línea se controlarán específicamente los siguientes aspectos:

• Nivel de participación del delegado de protección de datos, de acuerdo con sus funciones de asesoramiento y supervisión, en el diseño e implantación del proyecto.

• Características del tratamiento y medidas técnicas y organizativas adoptadas para garantizar un nivel de seguridad adecuado al riesgo.

• Actualización de datos en el Inventario de actividades de tratamiento del responsable.

• Información a facilitar a los interesados sobre la existencia del tratamiento y el ejercicio de sus derechos.

• Análisis de riesgos, así como, en su caso, la evaluación de impacto relativa a la protección de datos, conforme al artículo 35 del RGPD.

Los proyectos se seleccionarán atendiendo al empleo de nuevas tecnologías tales como las mencionadas anteriormente, al alcance poblacional previsto, así como a los mayores riesgos que podrían producirse, considerando los supuestos del artículo 28.2 de la LOPDGDD. Se utilizarán como fuentes de información para su elección, los anuncios de licitaciones públicas, reclamaciones de la ciudadanía, notificaciones de brechas de seguridad de datos personales y noticias en medios de comunicación que se hagan eco de este tipo de iniciativas.

Ámbito: Esta actuación afectará a una muestra de, al menos, doce proyectos anuales, gestionados por el sector público andaluz, que cumplan con los requisitos arriba indicados.

Línea 3. Comprobación del cumplimiento de las obligaciones en materia de protección de datos por parte de los portales web institucionales del sector público andaluz en el uso de cookies.

Descripción: Las cookies son pequeños archivos de texto que se almacenan en el dispositivo de un usuario cuando visita un sitio web y se utilizan para recopilar información sobre su comportamiento en línea. Las cookies pueden recopilar una gran variedad de información personal, como la dirección IP, la ubicación geográfica, las preferencias de navegación o el comportamiento en línea. El empleo de cookies contrario a la normativa puede dar lugar a una experiencia en línea intrusiva y molesta para los usuarios, además de no respetar sus derechos fundamentales a la privacidad y a la protección de datos.

Esta Línea pretende comprobar el cumplimiento, por el sector público andaluz, de las dos obligaciones principales en la materia:, la transparencia y el consentimiento. En el primer caso, la información sobre las cookies debe ser suficientemente completa y clara para permitir a los usuarios entender sus finalidades y el uso que se les dará. Esta información se debe facilitar antes de la utilización de las cookies no necesarias, a través de un banner que sea visible para el usuario y que deberá mantenerse hasta el momento en que éste realice la acción requerida para la obtención del consentimiento o su rechazo. En cuanto al consentimiento, éste debe ser proporcionado por el usuario de forma expresa.

Ámbito: Esta actuación afectará a una muestra aleatoria de, al menos, veinte portales web institucionales de la Administración de la Junta de Andalucía y organismos autónomos, entidades públicas empresariales, agencias y demás entes públicos vinculados o dependientes de la Administración autonómica; Universidades del sistema universitario andaluz; Diputaciones provinciales andaluzas; municipios que sean capitales de las provincias andaluzas y municipios que, sin ser capitales de provincia, tengan una población superior a 100.000 habitantes.

Línea 4. Comprobación de realización de análisis de riesgos y evaluaciones de impacto relativas a la protección de datos por parte de los responsables del tratamiento.

Descripción: El análisis de los riesgos que derivan del tratamiento de los datos personales desempeña un papel fundamental en la protección de los derechos y libertades de las personas físicas en el contexto del RGPD, y constituye uno de los elementos centrales en torno al cual se fundamenta el principio de responsabilidad proactiva. No en vano, la exposición de motivos de la LOPDGDD señala que: «la mayor novedad que presenta el Reglamento (UE) 2016/679 es la evolución de un modelo basado, fundamentalmente, en el control del cumplimiento a otro que descansa en el principio de responsabilidad activa, lo que exige una previa valoración por el responsable o por el encargado del tratamiento del riesgo que pudiera generar el tratamiento de los datos personales para, a partir de dicha valoración, adoptar las medidas que procedan».

El análisis de riesgos permite a los responsables del tratamiento identificar y comprender los posibles riesgos que pueden afectar a los derechos y libertades de las personas, derivados del tratamiento de los datos personales. El riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto. En concreto, el análisis debe considerar factores como la correcta identificación de los tratamientos que se llevan a cabo, la naturaleza de los datos personales, la forma en que se recopilan y procesan y las posibles amenazas o vulnerabilidades en términos de origen, naturaleza, probabilidad y gravedad.

Una vez evaluados los riesgos inherentes al tratamiento, el responsable aplicará medidas para mitigarlos a fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el RGPD.

Además, cuando sea probable que el tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable deberá realizar una evaluación de impacto relativa a la protección de datos. El resultado de la evaluación debe tenerse en cuenta cuando se decidan las medidas adecuadas que deban tomarse.

Esta línea comprobará el cumplimiento, por parte de los responsables del tratamiento, de la obligación de realizar análisis de riesgos de los tratamientos de datos personales, y, en su caso, de evaluaciones de impacto relativas a la protección de datos, así como verificar la metodología empleada y el plan de tratamiento de riesgos adoptado en el marco de la responsabilidad proactiva.

Ámbito: Esta actuación afectará a una muestra aleatoria de, al menos, veinte Inventarios de actividades de tratamiento de responsables del tratamiento de la Administración de la Junta de Andalucía y organismos autónomos, entidades públicas empresariales, agencias y demás entes públicos vinculados o dependientes de la Administración autonómica; Universidades del sistema universitario andaluz; Diputaciones provinciales andaluzas; municipios que sean capitales de las provincias andaluzas y municipios que, sin ser capitales de provincia, tengan una población superior a 100.000 habitantes.