26 abr
2018

Adaptación al Reglamento General de Protección de Datos en la Administración Local


Redacción Lefebvre-El Derecho (Área Derecho Local)

  • I. Introducción

    El 25 de mayo de 2018 comienza a desplegar sus efectos el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos -RGPD-, en vigor desde el 24 de mayo de 2016.

    Para esa fecha las Administraciones Públicas deberán estar preparadas para el cambio radical de modelo que supone dicho Reglamento, sin que quepa lugar a moratoria para la aplicación de la norma.

  • II. Conclusiones de la Jornada celebrada en el INAP el 4 de abril de 2018

    El Instituto Nacional de Administración Pública -INAP- y la Agencia Española de Protección de Datos -AEPD- se han volcado en la difusión y formación derivadas de la entrada en vigor del RGPD y han impartido jornadas dirigidas a los diferentes sectores afectados. En concreto, el pasado 4 de abril el INAP celebró en su Aula Magna la jornada “Proceso para la adaptación al reglamento general de protección de datos en las Administraciones públicas” que consideramos de gran interés en el ámbito local y de la cual pasamos a destacar los aspectos más relevantes.

    Abrió la jornada D. Manuel Arenilla Sáez, Director del INAP, exponiendo que en los últimos años la gestión pública se ha complicado puesto que los ciudadanos cada vez tienen más derechos que la Administración debe proteger y garantizar, de manera que se generan nuevos trámites y procesos cuya gestión debe ser sencilla y orientada un fin que es garantizar esos derechos.

    A continuación, Dª Mar España, Presidente de la AEPD, llevó a cabo un análisis de la situación actual en el ámbito local, señalando que el 80% de la planta municipal son municipios con menos de 5.000 habitantes. En este sentido, tanto el INAP como la Federación Española de Municipios y Provincias -FEMP- y el Consejo General de Secretarios, Interventores y Tesoreros de Administración Local -COSITAL- son aliados estratégicos de la AEPD para poder llegar a todos los municipios en materia de protección de datos. Asimismo, destacó el papel de las Diputaciones Provinciales, Cabildos y Consejos Insulares, que va a ser fundamental para que los pequeños ayuntamientos puedan cumplir con las exigencias sobre tratamiento de datos que establece el RGPD.

    Si hasta ahora la Administración, en materia de protección de datos, funcionaba de manera reactiva cuando llegaba una denuncia, ahora el gestor público debe aplicar el principio de responsabilidad activa que implica que antes de empezar un tratamiento de datos debe tener hecho un análisis de riesgos y, en su caso, una evaluación de impacto.

    Para ello, la Presidente de la AEPD señaló la importancia del Delegado de Protección de Datos y sus funciones de asesoramiento, supervisión y control. Esta figura debe estar presente en todas las Administraciones Públicas ya sea por medio de personal propio de la entidad, externalizando el servicio o compartiendo el Delegado de Protección de Datos de la Diputación Provincial.

    Por otro lado, Dª Mar España destacó que con el RGPD desaparecen las ordenanzas de creación o supresión de ficheros y, en su lugar, las Administraciones Públicas deben crear un Registro de Actividades de Tratamiento, realizar un análisis de riesgo de los tratamientos de datos y llevar a cabo una evaluación de impacto en aquellos casos que impliquen un alto riesgo para los derechos y libertades de los interesados.

    Para facilitar esta tarea y que las Administraciones Locales no dupliquen sus esfuerzos, conviene aplicar medidas técnicas, organizativas y de seguridad que permitan a las Administraciones Locales compartir recursos, de manera que, por ejemplo, cada uno de los 8.000 municipios no tenga que realizar el análisis de riesgos a la hora de la gestión de nóminas de los empleados públicos.

    Por lo que respecta a los derechos de los ciudadanos, la Presidente de la AEPD señaló que el RGPD recoge los derechos ARCO que ya existían (acceso, rectificación, cancelación y oposición), contempla por primera vez el derecho al olvido e introduce dos nuevos derechos: el derecho a la limitación del tratamiento y el derecho a la portabilidad. Al mismo tiempo, amplía el control respecto a la información que deben suministrar las Administraciones Pública a los ciudadanos, por lo que éstas deberán adaptar los formularios púbicos a las nuevas obligaciones de información y tener preparados los modelos de solicitud de los nuevos derechos.

    En materia de notificaciones y publicaciones de actos administrativos, la ponente hizo referencia al nuevo régimen de identificación de los interesados, que se minimiza en el RGPD. Así, cuando la publicación de un acto administrativo contuviese datos de carácter personal del afectado, se identificará al mismo mediante su nombre y apellidos, añadiendo las cuatro últimas cifras numéricas del documento nacional de identidad o documento equivalente. Si se trata de la notificación por medio de anuncios, particularmente en los supuestos a los que se refiere el art. 44 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas -LPACAP-, se identificará al afectado exclusivamente mediante el número completo de su documento nacional de identidad o documento equivalente. En ningún caso debe publicarse el nombre y apellidos de manera conjunta con el número completo del documento nacional de identidad o documento equivalente.

    Por otro lado, se señaló que la gestión pública desde el punto de vista de seguridad debe hacerse en el marco del Esquema Nacional de Seguridad -ENS-. El Centro Criptológico Nacional ha adaptado la herramienta PILAR y se ha creado la versión 7.1 que incluye un módulo para validar el cumplimiento del RGPD y adaptarla a los nuevos requerimientos en materia de seguridad y de protección de datos.

    Seguidamente intervino D. Francisco Javier Sempere, Responsable del Área de atención al ciudadano de la AEPD, con la ponencia “Delegado de Protección de Datos, principios, legitimación, derechos y Proyecto de Ley Orgánica de Protección de Datos”.

    El ponente señaló que la figura del Delegado de Protección de Datos -DPD- es obligatoria en las Administraciones Públicas y sus funciones son: asesoramiento, supervisión y control en materia de tratamiento de datos, apoyo al ciudadano que ejercita algún derecho de protección de datos, apoyo al análisis de riesgos, enlace o contacto con la AEPD y formación del personal. El DPD es independiente en el ejercicio de dichas funciones (véase el punto 2.9 GPDAL).

    Se podrá designar un único DPD para varias de Administraciones u organismos dependientes de éstas, teniendo en cuenta su estructura organizativa y tamaño, y si se trata de municipios de menos de 20.000 habitantes la figura del DPD se puede prestar a través de Diputaciones Provinciales, Cabildos y Consejos Insulares.

    El RGPD establece que el DPD debe tener conocimientos especializados de Derecho y experiencia práctica en protección de datos pero no tiene porqué ser abogado e incluso puede ser un empleado público que además desarrolle otras funciones. La configuración del DPD dependerá de cada Administración. Si lo tiene que nombrar el Pleno o el Alcalde o si tiene que ser elegido por concurso o por libre designación son cuestiones que forman parte de la auto-organización de cada Administración.

    Entre los principios del RGPD, D. Fco. Javier Sempere destacó los principios de responsabilidad proactiva, limitación de la finalidad, minimización de datos y limitación del plazo de conservación (véase el punto 1.5 GPDAL).

    La legitimación para el tratamiento de datos es una de las materias que ha variado sustancialmente con el RGPD (véase el punto 2.2 GPDAL). Tal y como señaló el Responsable de la AEPD, el RGPD contempla varios supuestos que legitiman el tratamiento de datos de carácter personal:

    • - el consentimiento: ya no se permite el consentimiento tácito. Ahora el RGPD exige que exista una acción por parte del interesado (marcar una casilla, por ejemplo). No obstante, va a ser bastante excepcional que opere el consentimiento en las Administraciones Públicas, que fundamentarán el tratamiento de datos principalmente en los dos supuestos siguientes,
    • - el cumplimiento de una obligación legal,
    • - el ejercicio de una función de interés público o un poder público,
    • - una relación contractual: este supuesto puede ser aplicado con el personal laboral al servicio de una Administración Pública o extendido de forma amplia a los funcionarios,
    • - intereses vitales del interesado o de otras personas,
    • - el interés legítimo del responsable o de un tercero que no perjudique los derechos del titular de los datos: este es un supuesto que hay que ponderar y que en el caso de las Administraciones Públicas es bastante excepcional.

    Por lo que respecta a los derechos, el ponente destacó como uno de los principales derechos que recoge el RGPD el derecho a la información al que se aplica el principio de la transparencia que implica que las clausulas para el cumplimiento del derecho de información a los interesados deben ser concisas, transparentes, inteligibles y de fácil acceso, con un leguaje claro y sencillo (véase el punto 2.7 GPDAL).

    El RGPD ha modificado el derecho de información vigente hasta la fecha. La cláusula que hasta ahora se fundamentaba en el art. 5 de la LO 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal -LOPD- ya no es suficiente porque ahora el RGPD amplía la información que hay que facilitar al ciudadano con los siguientes datos:

    • - los datos de contacto del DPD: sólo hay que dar los datos de contacto, no su nombre; se recomienda que sea un correo institucional,
    • - los fines del tratamiento de datos: hay que especificarlos de forma detallada,
    • - el plazo de conservación de datos,
    • - la base jurídica o legitimación para el tratamiento de los datos,
    • - el derecho que tiene el ciudadano a reclamar ante la AEPD,
    • - si los datos no se han obtenido del interesado, el origen de los datos.

    El RGPD mantiene los derechos ARCO pero añade dos nuevos: derecho a la limitación de tratamiento y derecho a la portabilidad (véase el punto 2.11 GPDAL). El plazo para informar al ciudadano que ejerza alguno de estos derechos es de un mes que se puede ampliar dos meses más si se trata de una cuestión compleja. El ejercicio es gratuito, salvo en los casos de reclamaciones infundadas o excesivas.

    Tal y como indicó D. Fco. Javier Sempere, el derecho a la portabilidad supone que el ciudadano puede pedir al responsable del tratamiento una copia de sus datos personales y transmitirlos a otro responsable, o que los datos personales del interesado se transmitan directamente de un responsable a otro, siempre y cuando eso datos estén en un formato estructurado, de uso común y de lectura mecánica. No obstante, para aplicar este derecho es necesario que sean tratamientos automatizados, es decir, no en papel, y que la legitimación para el tratamiento sea el consentimiento o la ejecución de un contrato; por ello, el ejercicio de este derecho será bastante excepcional en las Administraciones Públicas donde las bases de legitimación son otras.

    Por su parte, el derecho a la limitación de tratamiento supone que, a petición del interesado, no se aplicarán a sus datos personales las operaciones de tratamiento que correspondan cuando:

    • - el interesado haya ejercido su derecho de rectificación u oposición, hasta que no se resuelva su petición,
    • - el tratamiento sea ilícito pero el interesado se oponga a que se borren sus datos personales,
    • - los datos ya no son necesarios para el tratamiento, lo que determinaría su borrado, pero el interesado los necesita para el ejercicio o la defensa de reclamaciones.

    Como colofón a su ponencia, D. Fco. Javier Sempere hizo referencia al Proyecto de Ley Orgánica de Protección de Datos, que se encuentra en tramitación parlamentaria, destacando dos aspectos:

    Por un lado, la edad de los menores: si bien el RGPD dispone que el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años, permite a los Estados miembros establecer una edad inferior a tales fines, siempre que ésta no sea inferior a 13 años, de modo que el Proyecto de Ley Orgánica establece que “el tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de trece años”. Si no se aprueba el Proyecto de Ley Orgánica, a partir del 25 de mayo de 2018 la edad de los menores que legitime el tratamiento de los datos personales será de 14 años que es la edad que se recoge en el RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD.

    Por otro lado, la transitoriedad de los contratos de encargo del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de la LOPD: la Disp. Trans. 5ª del Proyecto de Ley Orgánica establece que:

    • “…mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y, en caso de haberse pactado de forma indefinida, hasta transcurridos cuatro años desde la citada fecha. En caso de que los contratos previesen su prórroga al término de su vencimiento deberá producirse su adaptación con anterioridad al momento en que estuviera prevista dicha prórroga.”

    Finalmente, D. Manuel Villaseca, Delegado de Protección de Datos de la AEPD, presentó su ponencia “Adaptación de las Administraciones Públicas al Reglamento General de Protección de Datos”.

    El ponente comenzó su exposición indicando las tareas básicas que las Administraciones Públicas deben acometer antes del 25 de mayo de 2018, fecha en será efectivo el RGPD:

    • - designar Delegado de Protección de Datos (véase el punto 2.9 GPDAL),
    • - crear el Registro de Actividades de Tratamiento, identificando finalidades y bases jurídicas (véase el punto 2.3 GPDAL),
    • - llevar a cabo un análisis de riesgos, indicando activos, amenazas, riesgos, impactos y salvaguardas (para ello se dispone de la metodología MAGERIT y la herramienta PILAR) (véase el punto 2.4.1 GPDAL),
    • - revisar las medidas de seguridad a la luz del análisis de riesgos (véase el punto 2.4.2 GPDAL),
    • - poner en marcha mecanismos y procedimientos para notificar las brechas de seguridad (véase el punto 2.4.3 GPDAL),
    • - valorar si los tratamientos requieren una valoración de impacto (véase el punto 2.5 GPDAL),
    • - realizar esa valoración de impacto, en su caso.

    Paralelamente, tendrán que:

    • - adecuar los formularios para cumplir con el derecho y deber de información,
    • - adaptar los mecanismos y procedimientos para atender el ejercicio de los derechos de las personas,
    • - valorar si los prestadores de servicios y los encargados del tratamiento ofrecen las garantías adecuadas en el marco del RGPD y adaptar los contratos, en su caso,- elaborar o adaptar la política de privacidad,
    • - y, fundamentalmente, tendrán que documentar todas esas tareas.

    En este modelo implantado por el RGPD lo importante es que el responsable esté en disposición de demostrar que el tratamiento es conforme con dicho Reglamento y para ello un factor fundamental es documentar todos y cada uno de los pasos.

    Respecto a las implicaciones del Esquema Nacional de Seguridad, el ponente indicó que, de alguna manera, las Administraciones Públicas van a tener que trabajar con el Departamento de Seguridad de la Información de las organizaciones. El Delegado de Protección de Datos no tendrá que estar involucrado en estas tareas pero sí al tanto de esas políticas.

    En cuanto al régimen de autorizaciones para las transferencias internacionales de datos, parece una cuestión poco habitual en los organismos públicos, pero las Administraciones Públicas pueden tener externalizado en la nube el correo electrónico o las plataformas colaborativas, de manera que es importante saber que estos prestadores de servicios tienen que proporcionar las garantías que las entidades públicas consideren adecuadas, por ejemplo, asegurar que los servidores en los que se alojan los datos de las organizaciones se encuentran en la Unión Europea, de manera que en ese caso no se producirían transferencias internacionales de datos (véase el punto 2.10 GPDAL).

    Para D. Manuel Villaseca, la seguridad total no existe: el objetivo de este nuevo modelo que tienen que implementar las Administraciones Públicas es disponer de sistemas, medidas técnicas y organizativas que garanticen que pueden detectar los ataques, recuperarse y aprender de ello.

    Como apunte final, señala que para que las empresas muy pequeñas cumplan los requisitos que impone el RGPD tienen a su disposición la herramienta FACILITA, que no está orientada a las Administraciones Públicas pero en algunos puntos puede servir de modelo.