23 jun
2020

Ayuntamientos: obligaciones para cumplir con la normativa de protección de datos


Jorge de Diego Retuerta

I. Introducción

Los ayuntamientos, como cualquier otra entidad pública, están obligados al cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos -RGPD-, por el que se deroga la Directiva 95/46/CE y de la LO 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales -LOPDGDD- con respecto a los tratamientos de datos de carácter personal que realicen, entendiendo por dato de carácter personal, “toda información sobre una persona física identificada o identificable”. Se considera persona física identificable aquella cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

Asimismo, debe entenderse por tratamiento “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.

Teniendo en cuenta lo anterior, los ayuntamientos prestan una serie de servicios públicos, para los cuales tratan datos de carácter personal de sus ciudadanos. A modo de ejemplo, podemos identificar los siguientes tratamientos de datos que realizan los ayuntamientos: Gestión del padrón municipal de habitantes; subvenciones y ayudas; sanciones; obras y licencias; policía local; gestión de tributos; bolsas de trabajo; recaudación ejecutiva; registro de documentos; cementerio municipal; recursos humanos; biblioteca municipal; servicios sociales; educación infantil; gestión económica, etc.

Los ayuntamientos son responsables del tratamiento de los datos personales que manejen, entendiendo por responsable del tratamiento la "persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento”. Si cuentan con Administración Institucional, es responsable cada uno de los entes que formen parte de la misma respecto a los tratamientos que lleven a cabo.

Por otra parte, hay muchas circunstancias en las que un ayuntamiento contrata con un tercero un servicio que implica que éste pueda acceder a datos de su responsabilidad, por lo que este tercero se configura como encargado del tratamiento, entendiendo por tal “la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos por cuenta del responsable del tratamiento”. Por ejemplo, cuando un ayuntamiento encarga a un tercero la elaboración de las nóminas de su personal, la destrucción de documentación, el control de las cámaras de videovigilancia, gestión del cobro de impuestos o el mantenimiento de los equipos informáticos

Como veremos más adelante (Apartado III, letra I), la relación entre responsable y encargado debe estar regulada mediante la firma de un contrato que recoja todas las exigencias reflejadas en el art. 28 RGPD.

II. Principios

Todos los tratamientos de datos efectuados por los ayuntamientos deben efectuarse respetando, en todo momento, los principios recogidos en el RGPD, a saber:

A) Licitud, lealtad y transparencia 

Los datos han de ser tratados de manera lícita, leal y transparente en relación con el interesado. El interesado debe ser previa y claramente informado de qué se va a hacer con sus datos, estando prohibido obtenerlos de manera fraudulenta o mediante engaño. El tratamiento solo es lícito si se cumple al menos una de las siguientes condiciones:

  • El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos.
  • El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales.
  • El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.
  • El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física.
  • El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
  • El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Como se verá más adelante, en el ámbito de los ayuntamientos la base jurídica que legitima los tratamientos es, con carácter general, el cumplimiento de una tarea en interés público o el ejercicio de poderes públicos, así como el cumplimiento de una obligación legal.

B) Limitación de la finalidad

Los datos han de ser recogidos con fines determinados, explícitos y legítimos, y no tratados después de manera incompatible con dichos fines. Es decir, los datos recabados para un fin concreto no pueden utilizarse para un fin distinto del inicialmente autorizado.

C) Minimización de datos

Sólo deben tratarse datos personales cuando sea necesario para las finalidades pretendidas y, aun en este caso, sólo deben tratarse los datos absolutamente imprescindibles para ese fin, no más.Teniendo en cuenta lo anterior y a modo de ejemplo, la LOPDGDD prohíbe el uso conjunto de apellidos, nombre y número completo del documento de identificación oficial de las personas en aquellos actos administrativos que vayan a ser objeto de publicación o notificación por medio de anuncios:

  • Cuando un acto administrativo se deba publicar, se ha de identificar a la persona mediante su nombre y apellidos, añadiendo cuatro cifras numéricas aleatorias de su documento identificativo oficial.
  • Cuando se trate de notificaciones por medio de anuncios, se debe identificar a la persona exclusivamente con el número de su documento identificativo.

En ambos casos, si la persona carece de documento identificativo, se la debe identificar sólo mediante su nombre y apellidos.

D) Exactitud

Los datos deben ser exactos y estarán actualizados; se han de suprimir o rectificar sin dilación los datos inexactos.

E) Limitación del plazo de conservación

Los datos han de ser mantenidos durante no más tiempo del necesario para la finalidad para la que se estén tratando. Cuando los datos dejen de ser necesarios o pertinentes, deben ser suprimidos.

F) Integridad y Confidencialidad

Los datos deben ser tratados de tal manera que se garantice su seguridad, incluida la protección contra el acceso o tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.

G) Responsabilidad proactiva

Se debe ser capaz de demostrar que se cumplen con las obligaciones recogidas en los principios mencionados.Los ayuntamientos han de tener la capacidad de demostrar y proporcionar evidencias de dicho cumplimiento.

La Agencia Española de Protección de Datos -AEPD- ya ha sancionado a ayuntamientos por el incumplimiento de los principios indicados anteriormente. En concreto, el Procedimiento Nº: PS/00376/2019 impone una sanción de apercibimiento a un ayuntamiento por incumplimiento del principio de “integridad y confidencialidad”, requiriéndole que actúe de conformidad con dicho principio y con el principio de “limitación de la finalidad”. Adicionalmente, se le requiere para que actualice su Política de Privacidad para informar adecuadamente a los interesados sobre el tratamiento de sus datos personales.

También destaca el PS/00012/2019, por el que se sanciona con apercibimiento una vulneración del principio de confidencialidad e integridad en el tratamiento de los datos personales, como consecuencia de la publicación en la sede electrónica del ayuntamiento, en acceso libre a cualquier persona, de las actas de la Junta de Gobierno Local. En las mismas se hacen referencia en el apartado de “personal indefinido, pero no fijo” a sentencias judiciales pendientes de incluir en las ofertas de empleo público, con sus nombres y apellidos.

III. Obligaciones a cumplir por los ayuntamientos

A) Designación de un Delegado de Protección de Datos

El RGPD introduce como obligatoria en el ámbito de las Administraciones Públicas la figura del Delegado de Protección de Datos -DPD-, por lo que los ayuntamientos deben proceder a su designación y comunicar su nombramiento a la AEPD para su inclusión en el Registro público de Delegados de Protección de Datos.

En este punto es importante mencionar el Procedimiento Nº: PS/00001/2020 de la AEPD, a través del cual impone la sanción de apercibimiento a un ayuntamiento por carecer de DPD, requiriéndole para que proceda a nombrar uno e informar a dicho organismo de dicho nombramiento.

Tal y como manifiesta la AEPD en el documento denominado “Protección de datos y Administración Local. Guías sectoriales AEPD”, en los ayuntamientos con población superior a 20.000 habitantes, atendiendo al volumen de datos tratados, el DPD podría contar con un departamento de apoyo. Por otra parte, en los ayuntamientos con población inferior a 20.000 habitantes, podrían designar su DPD o articularlo a través de las Diputaciones Provinciales o Comunidad Autónoma respectiva.

En el caso de que se designe a secretarios, interventores y tesoreros, podrían actuar como delegados de protección de datos siempre que no exista conflicto de intereses en relación con el ejercicio de sus respectivas funciones en la gestión ordinaria del ente local en cuestión y tengan un conocimiento especializado en protección de datos.

En cualquier caso, las funciones de DPD se pueden externalizar en una empresa privada experta, que actuaría como encargado del tratamiento del ayuntamiento (véase definición de encargado del tratamiento realizada en el apartado Introducción de este artículo).

El DPD debe desempeñar sus tareas y funciones con total independencia. En concreto, el nombramiento del DPD debe respetar las siguientes premisas:

1. Es posible designar un único DPD para un ayuntamiento. No obstante, no parece aconsejable que ese único DPD actúe respecto de grandes unidades u órganos con entidad y tareas claramente diferenciadas, por mucho que orgánicamente puedan depender de un ayuntamiento.

Dadas las funciones del DPD, su adscripción dentro de la estructura del ayuntamiento debe hacerse a órganos o unidades con competencias y funciones de carácter horizontal.

2. El DPD puede desarrollar su actividad a tiempo completo o a tiempo parcial y también puede formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.

En un ayuntamiento de gran tamaño en que exista un único DPD lo habitual es que desempeñe sus funciones a tiempo completo. En ayuntamientos de menor tamaño será posible que el DPD compagine sus funciones con otras. Si éste es el caso, debe tenerse en cuenta la necesidad de evitar conflictos de intereses entre las diversas ocupaciones. El DPD actúa como asesor y supervisor interno, por lo que ese puesto no puede ser ocupado por personas que, a la vez, tengan tareas que impliquen decisiones sobre la existencia de tratamientos de datos o sobre el modo en que van a ser tratados los datos (p.ej.: responsables de seguridad de la información).

3. La posición del DPD debe conllevar:

  • La participación de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
  • Recibir el apoyo del responsable o encargado, que deberán facilitarle los recursos necesarios para el desempeño de sus funciones.
  • No recibir ninguna instrucción en lo que respecta al desempeño de dichas funciones y no ser destituido ni sancionado por el responsable o el encargado por causas relacionadas con ese desempeño de funciones.
  • Rendir cuentas directamente al más alto nivel jerárquico del responsable o encargado. Esta característica debe interpretarse en el sentido de que el DPD debe poder relacionarse con niveles jerárquicos que tengan la capacidad de adoptar o promover decisiones basadas en las recomendaciones, propuestas o evaluaciones que realice el DPD.

4. El DPD debe ser designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar sus funciones. Teniendo en cuenta lo anterior, no se puede nombrar como DPD a una persona que carezca de la formación y conocimientos pertinentes en materia de protección de datos de carácter personal. Lo anterior excluye la práctica de designar como DPD a personal sin formación adecuada en protección de datos. El RGPD señala entre las funciones del DPD las de:

  • Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del RGPD y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
  • Supervisar el cumplimiento de lo dispuesto en el RGPD, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales.

Estas funciones genéricas del DPD se pueden concretar en tareas de asesoramiento y supervisión en las siguientes áreas:

  • Cumplimiento de principios relativos al tratamiento, como los de limitación de finalidad, minimización o exactitud de los datos.
  • Identificación de las bases jurídicas de los tratamientos.
  • Valoración de compatibilidad de finalidades distintas de las que originaron la recogida inicial de los datos.
  • Existencia de normativa sectorial que pueda determinar condiciones de tratamiento específicas distintas de las establecidas por la normativa general de protección de datos.
  • Diseño e implantación de medidas de información a los afectados por los tratamientos de datos.
  • Establecimiento de mecanismos de recepción y gestión de las solicitudes de ejercicio de derechos por parte de los interesados.
  • Valoración de las solicitudes de ejercicio de derechos por parte de los interesados.
  • Contratación de encargados de tratamiento, incluido el contenido de los contratos o actos jurídicos que regulen la relación responsable-encargado.
  • Identificación de los instrumentos de transferencia internacional de datos adecuados a las necesidades y características de la organización y de las razones que justifiquen la transferencia.
  • Diseño e implantación de políticas de protección de datos.
  • Establecimiento y gestión de los registros de actividades de tratamiento.
  • Análisis de riesgo de los tratamientos realizados.
  • Implantación de las medidas de protección de datos desde el diseño y protección de datos por defecto adecuadas a los riesgos y naturaleza de los tratamientos.
  • Implantación de las medidas de seguridad adecuadas a los riesgos y naturaleza de los tratamientos.
  • Establecimiento de procedimientos de gestión de violaciones de seguridad de los datos, incluida la evaluación del riesgo para los derechos y libertades de los afectados y los procedimientos de notificación a las autoridades de supervisión y a los afectados.
  • Determinación de la necesidad de realización de evaluaciones de impacto sobre la protección de datos.
  • Realización de evaluaciones de impacto sobre la protección de datos.
  • Relaciones con las autoridades de control.
  • Implantación de programas de formación y sensibilización del personal en materia de protección de datos.

El DPD debe recibir las reclamaciones que les dirijan los ciudadanos, cuando opten por esta vía antes de plantear una reclamación ante la AEPD, y comunicar la decisión adoptada al afectado en el plazo máximo de dos meses. Asimismo, el DPD debe recibir las reclamaciones que la AEPD decida trasladarle con carácter previo al inicio de un expediente sancionador. El DPD debe comunicar la decisión adoptada al afectado y a la AEPD en el plazo máximo de un mes. De esta forma, con carácter general, si el DPD consigue que el responsable resuelva por cualquiera de estas dos vías la reclamación, y sin perjuicio de que el interesado posteriormente se dirija a la AEPD, no se iniciaría expediente de declaración de infracción al ayuntamiento correspondiente.

En cualquier caso, el DPD no tiene responsabilidad a título personal por las posibles infracciones en materia de protección de datos cometidas por su organización.

B) Elaborar el Registro de Actividades de tratamiento (RAT)

Como ya es sabido por todos, con el RGPDdesaparece la obligación de notificar la inscripción de ficheros en el Registro de Ficheros de la AEPD, o registro de la autoridad autonómica competente, considerándose como sustituto de dicha obligación el deber de implementar el Registro de Actividades de Tratamiento recogido en el RGPD.

Los ayuntamientos deben mantener este Registro de Actividades de Tratamiento por escrito, incluso en formato electrónico, en el que se incluya una descripción de los tratamientos de datos que realicen conforme a lo estipulado en el art. 30 RGPD.

Cuando el ayuntamiento actúa como responsable del tratamiento, debe incluirse la siguiente información en su RAT:

Cuando el ayuntamiento actúa como encargado del tratamiento, debe incluirse la siguiente información en su RAT:

  • a) nombre y datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos.
  • b) fines del tratamiento.
  • c) descripción de las categorías de interesados y de las categorías de datos personales.
  • d) categorías de destinatarios a quienes se comunicarán los datos personales.
  • e) En su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el art. 49.1, párrafo 2º, del RGPD, la documentación de garantías adecuadas.
  • f) plazos previstos para la supresión de las diferentes categorías de datos.
  • g) descripción general de las medidas técnicas y organizativas de seguridad.

Cuando el ayuntamiento actúa como encargado del tratamiento, debe incluirse la siguiente información en su RAT:

La implementación de este registro obliga a inventariar todos los tratamientos que esté realizando cada ayuntamiento (en el apartado Introducción de este artículo se reflejaban una serie de ejemplos de tratamientos responsabilidad de los ayuntamientos que deben incorporarse a este RAT).

Este registro debe conservarse internamente por el ayuntamiento, quedando a disposición de la autoridad de control si lo solicitase.

Adicionalmente, con la LOPDGDD, se debe publicar en la página web de los ayuntamientos su Registro de Actividades de Tratamiento, incluyendo la base legal de cada tratamiento.

  • a) nombre y los datos de contacto del encargado y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos.
  • b) categorías de tratamientos efectuados por cuenta de cada responsable.
  • c) en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el art. 49.1, párrafo 2º, del RGPD, la documentación de garantías adecuadas.
  • d) descripción general de las medidas técnicas y organizativas de seguridad.

La implementación de este registro obliga a inventariar todos los tratamientos que esté realizando cada ayuntamiento (en el apartado Introducción de este artículo se reflejaban una serie de ejemplos de tratamientos responsabilidad de los ayuntamientos que deben incorporarse a este RAT).

Este registro debe conservarse internamente por el ayuntamiento, quedando a disposición de la autoridad de control si lo solicitase.

Adicionalmente, con la LOPDGDD, se debe publicar en la página web de los ayuntamientos su Registro de Actividades de Tratamiento, incluyendo la base legal de cada tratamiento.

C) Analizar las bases jurídicas de los tratamientos

El RGPD diseña un sistema de legitimación basado en seis bases jurídicas que no mantienen entre sí ninguna relación de prioridad o prelación. Solo es lícito el tratamiento de datos personales si se cumple al menos una de ellas:

  • El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos.
  • El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales.
  • El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.
  • El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física.
  • El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
  • El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Para el ámbito de los ayuntamientos, la mayoría de los tratamientos de datos que realizan como consecuencia de los servicios públicos que prestan, se fundamentan en una de las siguientes bases legitimadoras:

  • El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.
  • El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

En ambos casos, debe existir una previsión normativa con rango de ley que regule o ampare el tratamiento de los datos.A modo de ejemplo de bases legitimadoras para los tratamientos de datos personales llevados a cabo por un ayuntamiento, en virtud del inventario recogido en su Registro de Actividades de Tratamiento, se pueden indicar los siguientes:

  • Tratamiento de datos del Padrón Municipal: Ley de Bases de Régimen Local.
  • Tratamiento de datos de los impuestos municipales: Texto Refundido de la Ley reguladora de las Haciendas Locales.
  • Tratamiento de datos de recursos humanos: normativa de función pública aplicable.

En los casos en que la base jurídica de los tratamientos sea el consentimiento, éste debe tener las características previstas por el RGPD, que exige que sea informado, libre, específico y otorgado por los afectados. Este consentimiento debe ser “inequívoco”, lo que supone que se preste mediante una manifestación del afectado o mediante una clara acción afirmativa, lo que invalida el consentimiento tácito.Así, no se consideran formas válidas de obtener el consentimiento el uso de casillas ya marcadas o la inacción. En cambio, sí son acordes al RGPD, la utilización de una declaración por escrito, o la marcación de casillas en un sitio web de Internet.A modo de ejemplo de tratamientos de un ayuntamiento fundamentados en el consentimiento, podemos destacar los siguientes:

  • La suscripción, a través de un servicio ofrecido por un ayuntamiento en su página web, para recibir comunicaciones referidas a las actividades culturales.
  • La inscripción en una bolsa de trabajo.

En relación con el consentimiento, los ayuntamientos pueden verificar, sin necesidad de solicitar el consentimiento del interesado, la exactitud de los datos personales manifestados por los ciudadanos que obren en poder de los órganos y organismos del Sector Público.

Adicionalmente, ya la Ley 30/1992 reconocía a los administrados el derecho a no aportar a los procedimientos administrativos los documentos que obrasen en poder de la Administración, o que hubiesen sido elaborados por ésta. La base jurídica del tratamiento de los datos personales por la Administración era el consentimiento del administrado, que se entendía tácitamente concedido si el interesado no se oponía expresamente.

Tanto el RGPD como la LOPDGDD eliminan la necesidad de recabar el consentimiento del ciudadano, al establecer como base jurídica legitimadora principal del tratamiento de datos personales por órganos y organismos del Sector Público el cumplimiento de una misión en interés público o, particularmente, el ejercicio de poderes públicos. Asimismo, la nueva redacción otorgada por la LOPDGDD reconoce al interesado la posibilidad de oponerse a que órganos y organismos del Sector Público consulten o recaben los citados documentos, pero en ese caso el administrado debe aportarlos necesariamente para que la Administración pueda conocer que concurren en él los requisitos establecidos por la norma. En caso contrario, no podrán estimar su solicitud, precisamente porque no habría demostrado los requisitos requeridos.

En todo caso, dicho derecho de oposición no juega en los casos de potestades de verificación o inspección.

Es importante destacar que la LOPDGDD establece que la base legitimadora del tratamiento de datos personales que realizan los registros de personal del sector público es el ejercicio de potestades públicas. Estos registros pueden tratar los datos personales que sean estrictamente necesarios para el cumplimiento de sus fines relativos a infracciones y condenas penales e infracciones y sanciones administrativas, de los que deberán ser informados de manera expresa, clara e inequívoca.

Por último, el tratamiento de categorías especiales de datos, que incluyen, entre otros, los datos sobre salud, ideología, religión o pertenencia étnica está, con carácter general, prohibido, y sólo puede llevarse a cabo si es aplicable alguna de las excepciones previstas en el art. 9.2 RGPD, junto con una de las bases legitimadoras indicadas. Entre ellas pueden destacarse, a los efectos de los ayuntamientos, que el tratamiento sea necesario para satisfacer un interés público esencial, el que sea necesario para fines de prevención, asistencia sanitaria o salud pública, o que sea necesario para la gestión de los servicios de asistencia social, en todos los casos en los términos que establezca la legislación española o de la Unión Europea.

D) Efectuar un análisis de riesgos

El RGPD hace depender la aplicación de todas las medidas de cumplimiento que prevé para responsables y encargados de un previo análisis de riesgos en el tratamiento de datos personales. Por ello, todo tratamiento, tanto los ya existentes como los que se pretenda iniciar, deben ser objeto de un análisis de riesgos. Del resultado de dicho análisis de riesgos se determinarán las medidas de seguridad que deben aplicarse.

El análisis de riesgos es un estudio metódico y sistemático en el que se utilizan métricas que ayudan a cuantificar comprensivamente el grado de riesgo. Para llevar a cabo este estudio es necesario utilizar una metodología que nos ayude a trazar los niveles de riesgo aceptables en cada caso, ya que sin la ayuda de una metodología no podrá realizarse un análisis de riesgo de forma objetiva. En el contexto de las AAPP se dispone de metodologías de análisis de riesgos focalizadas principalmente en la seguridad de la información. Esas metodologías deben ampliarse para incluir riesgos asociados al incumplimiento de las disposiciones del RGPD.

En los ayuntamientos con población inferior a 20.000 habitantes el análisis de riesgo podría llevarse a cabo con el soporte de la correspondiente Diputación Provincial. Para facilitar el análisis de riesgo se pueden utilizar las guías y herramientas habilitadas por la AEPD, así como las herramientas de análisis de riesgos proporcionadas por el Centro Criptológico Nacional o una herramienta que incorpore una metodología de análisis de riesgo de reconocido prestigio (PILAR).

El RGPD no establece una relación concreta de medidas de seguridad a aplicar, como sí hacía el RD 1720/2007, por lo que corresponde al ayuntamiento determinar aquellas medidas de seguridad que son necesarias para garantizar la confidencialidad, la integridad y la disponibilidad de los datos personales en función de los riesgos detectados.

En cualquier caso, en los ayuntamientos deben aplicarse las medidas de seguridad establecidas en el Esquema Nacional de Seguridad, por lo que se deberán cumplir las obligaciones indicadas en el mismo.

Conforme a lo anterior, cabe destacar el Procedimiento Nº: PS/00365/2018 de la AEPD por el que se sanciona con apercibimiento a un ayuntamiento que no aplica las medidas técnicas y organizativas necesarias para garantizar un nivel de seguridad adecuado que impida la vulneración del principio de confidencialidad en el tratamiento de datos personales de los ciudadanos que son atendidos en despachos y espacios de uso compartido.

E) Gestionar y notificar las quiebras de seguridad

Cuando se produzca una quiebra de seguridad, entendida por tal la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos, el ayuntamiento que la sufra debe registrarla internamente.

Adicionalmente, si dicha brecha de seguridad ha supuesto un riesgo para los derechos y libertades de las personas físicas, debe notificarlo a la AEPD, en un plazo máximo de 72 horas, incluyendo, como mínimo, la siguiente información:

Adicionalmente, se debe comunicar la brecha de seguridad a las personas afectadas (sin dilación indebida) siempre y cuando suponga un alto riesgo para los derechos y libertades de las personas. No obstante, no es necesaria esta comunicación a los afectados si:

  • Descripción la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
  • Comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
  • Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
  • Descripción de las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Adicionalmente, se debe comunicar la brecha de seguridad a las personas afectadas (sin dilación indebida) siempre y cuando suponga un alto riesgo para los derechos y libertades de las personas. No obstante, no es necesaria esta comunicación a los afectados si:

  • Se han adoptado y aplicado medidas sobre los datos personales afectados, particularmente aquellas que hagan ininteligibles los datos para cualquier persona que no esté autorizada a acceder ellos (por ejemplo: se han cifrado los datos personales).
  • El ayuntamiento ha adoptado medidas ulteriores que garanticen que ya no existe un alto riesgo para los derechos y libertades.
  • Que esta comunicación implique un esfuerzo desproporcionado, optándose por una comunicación pública o medida semejante por la que se informe de forma efectiva a los afectados.

Para poder determinar cuándo una violación de seguridad supone un riesgo o un alto riesgo para los derechos y libertades de las personales, la AEPD ha publicado sendos comunicados y guías.En concreto, se puede destacar el documento denominado “Guía para la gestión y notificación de brechas de seguridad”. En el Anexo III de este documento se publica un ejemplo orientativo para la toma de decisiones relacionada con la notificación de brechas de seguridad a la autoridad de control o a los afectados. El ejemplo parte de un modelo de tres parámetros: volumen, tipología de datos e impacto:VOLUMEN (números de registros completos e identificativos)

  • Menos de 100 registros (1)
  • Más 1.000 (2)
  • Entre 1.000 y 100.000 (3)
  • Más de 100.000 (4)
  • Más de 1.000.000 (5)

TIPOLOGÍA DE DATOS (Según GDPR y Sector)

  • Datos no sensibles (x1)
  • Datos sensibles (x2)

IMPACTO (EXPOSICIÓN)

  • Nulo (2)
  • Interno (dentro de la empresa - controlado) - (4)
  • Externo (Perímetro proveedor, atacante) - (6)
  • Pública (Accesible en Internet) - (8)
  • Desconocido (10)

El cálculo del posible riesgo se podría obtener de la siguiente forma: Riesgo = P x I Riesgo = P (Volumen) x Impacto (Tipología x Impacto) Ejemplo Fuga masiva pública: 5 x (2x10) = 100% Una posible política de notificación de brechas a la Autoridad de Control sería la de notificar cualquier brecha que cumpla simultáneamente las siguientes circunstancias:

  • Riesgo con valor cuantitativo en un umbral superior a 20 (más o menos).
  • Ante la coincidencia de dos circunstancias cualitativas (marcadas en rojo).

Se podría recomendar comunicar a los interesados cualquier brecha que cumpla simultáneamente las siguientes circunstancias:

  • Riesgo con valor cuantitativo superior a 40 (más o menos).
  • Ante la coincidencia de dos circunstancias cualitativas (marcadas en rojo).

Lo anterior sin perjuicio de las medidas que establece el Esquema Nacional de Seguridad para notificación y registro de violaciones de seguridad.

F) Realizar evaluación de impacto si el tratamiento es de alto riesgo y, en su caso, consultar previamente a la autoridad de control

El RGPD establece que, con anterioridad a su puesta en marcha, los tratamientos que sea probable que supongan un alto riesgo para los derechos y libertades de los afectados deberán ser objeto de una Evaluación de Impacto sobre la Protección de Datos -EIPD-. El RGPD determina algunos de los casos en que se presume que existe ese alto riesgo:

  • Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
  • Tratamiento a gran escala de las categorías especiales de datos a que se refiere el art. 9.1 RGPD o de los datos personales relativos a condenas e infracciones penales a que se refiere el art. 10.
  • Observación sistemática a gran escala de una zona de acceso público.

Adicionalmente, la AEPD publicó el documento denominado “Listas de tipos de tratamientos de datos que requieren evaluación de impacto relativa a protección de datos (art 35.4)”. Con base en este documento, es necesario realizar una EIPD en la mayoría de los casos en los que un tratamiento cumpla con dos o más criterios de la lista expuesta en el documento referenciado, salvo que el tratamiento se encuentre en la lista de tratamientos que no requieren EIPD a la que se refiere en el art. 35.5 RGPD, lista que también ha publicado la AEPD. Cuantos más criterios reúna el tratamiento en cuestión, mayor será el riesgo que entrañe dicho tratamiento y mayor será la certeza de la necesidad de realizar una EIPD. Esta lista se basa en los criterios establecidos por el Grupo de Trabajo del art. 29 en la guía WP248 “Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del RGPD”, los complementa y debe entenderse como una lista no exhaustiva.

En el caso de tratamientos basados en la consecución de fines de interés público o vinculados al ejercicio de poderes públicos, el RGPD prevé que pueda no llevarse a cabo la Evaluación de Impacto, pese a tratarse de tratamientos de alto riesgo, cuando la norma de base regule la operación o conjunto de operaciones de tratamiento y ya se haya realizado una evaluación de impacto relativa a la protección de datos como parte de una evaluación de impacto general en el contexto de la adopción de esa norma de base.

La EIPD es una herramienta con carácter preventivo que debe realizar el ayuntamiento para poder identificar, evaluar y gestionar los riesgos a los que están expuestas sus actividades de tratamiento con el objetivo de garantizar los derechos y libertades de las personas físicas. En la práctica, la EIPD permite determinar el nivel de riesgo que entraña un tratamiento, con el objetivo de establecer las medidas de control más adecuadas para reducir el mismo hasta un nivel considerado aceptable. Si se trata de operaciones similares que supongan riesgos similares, se podrá realizar una única evaluación.

En el supuesto de que, una vez efectuada la Evaluación de Impacto, el riesgo existente en el tratamiento de los datos siga siendo alto, porque, por ejemplo, no se pueden adoptar medidas para mitigarlo, se debe formular consulta a la AEPD, para que este organismo asesore al ayuntamiento sobre la forma de proceder.

En cualquier caso, la AEPD ha publicado una Guía y herramientas para poder efectuar esta Evaluación de Impacto, así como un modelo de Evaluación de Impacto que podrán utilizar las Administraciones Públicas.

G) Cumplir con el deber de informar a los interesados sobre el tratamiento de sus datos personales

Siempre que se recaben datos personales, el responsable del tratamiento debe informar al interesado de los extremos indicados a continuación, para lo cual es necesario adecuar los formularios que se estén utilizando actualmente en los ayuntamientos para recabar información de los ciudadanos:

Esta obligación de informar se debe cumplir sin necesidad de requerimiento alguno y el responsable debe poder acreditar con posterioridad que ha sido satisfecha.

La AEPD publicó una “Guía para el cumplimiento del deber de informar" donde explica como informar a través de un sistema de información por capas. Con respecto a la primera capa, se recomienda que la información se ponga en forma de tabla y que esté claramente identificada con un título tal como “Información básica sobre protección de datos”, garantizando que dicha información quede dentro del campo de visión del interesado. En esta primera capa se debe incluir una primera información sin entrar en el detalle de la misma. Al final de esta primera capa, se ha de incluir un apartado denominado “Información adicional”, en el que se informe sobre donde se encuentra el resto de información. En un formulario, la tabla con la información en primera capa debe situarse en el mismo campo de visión que el lugar donde haya de manifestarse la conformidad con lo solicitado (la firma, si es en papel, o el botón de “enviar”, si es un formulario electrónico), formando parte de la copia que quede a disposición del interesado. Si, por restricciones del diseño, no fuese factible, debe incorporarse una nota o llamada en el campo de visión de la firma, informando sobre dónde se sitúa la tabla con la información sobre protección de datos. Ejemplo: “antes de firmar la solicitud, debe leer la información básica sobre protección de datos que se presenta en (…el reverso, al pié, etc.).”

Por su parte, la segunda capa de información admite diversas formas de presentación: en el mismo formulario cumplimentado (por ejemplo, en el reverso), como un anexo o separata que se entregue al interesado y que pueda conservar, como información expuesta claramente visible en carteles, paneles, trípticos, etc., de los cuales se pueda solicitar una copia manejable para conservar; en una página web específica a la que se accede mediante un hipervínculo; como un documento disponible para su descarga desde una URL; como información anexa o adjunta a un mensaje electrónico dirigido al interesado; como una locución que se le ofrezca al interesado; como complemento o alternativa a una oferta de disponibilidad de información adicional accesible electrónicamente o remitida, por correo postal o electrónico.

Ejemplos de formularios utilizados por los ayuntamientos a través de los cuales se pueden recabar datos personales y que deben incluir la cláusula legal de información correspondiente conforme a lo indicado son:

  • Los datos de contacto del ayuntamiento y del Delegado de Protección de Datos.
  • Los fines y la base jurídica del tratamiento.
  • Los destinarios de los datos.
  • El plazo o criterios de conservación de la información.
  • La existencia de decisiones automatizadas o elaboración de perfiles.
  • La previsión de transferencias de datos a terceros países.
  • Si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos.
  • Cuando el tratamiento esté basado en el consentimiento, la existencia del derecho a retirar el mismo en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.
  • La existencia a solicitar los derechos que el RGPD reconoce a los ciudadanos.
  • El derecho a presentar una reclamación ante las autoridades de control.

Si los datos no han sido obtenidos del propio afectado, adicionalmente se le debe informar de los siguientes puntos:

  • El origen de los datos.
  • Las categorías de los datos.

La información se ha de proporcionar de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Para ello, el art. 11 LOPDGDD ofrece la posibilidad de informar a través de un sistema de capas. En concreto, este deber de información por capas consiste en facilitar al afectado una primera información básica, junto con la forma de acceder a la restante información. La información en primera capa debe contener, al menos:

Cuando los datos personales no hayan sido obtenidos del afectado, la información básica ha de contener, adicionalmente, la siguiente información:

En el caso de que los datos no se hayan obtenido del propio afectado, el ayuntamiento debe informar a las personas interesadas dentro de un plazo razonable, pero, en cualquier caso:

  • Antes de un mes desde que se obtuvieron los datos personales.
  • Antes o en la primera comunicación con el afectado.
  • Antes de que los datos, en su caso, se hayan comunicado a otros destinatarios.

No es necesario cumplir con el deber de informar indicado en el párrafo anterior siempre y cuando:

  • a) El interesado ya disponga de la información.
  • b) La comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado o en la medida en que la obligación de informar pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento. En tales casos, el responsable adoptará medidas adecuadas para proteger los derechos, libertades e intereses legítimos del interesado, inclusive haciendo pública la información.
  • c) La obtención o la comunicación esté expresamente establecida por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca medidas adecuadas para proteger los intereses legítimos del interesado.
  • d) Cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por el Derecho de la Unión o de los Estados miembros, incluida una obligación de secreto de naturaleza estatutaria.

Esta obligación de informar se debe cumplir sin necesidad de requerimiento alguno y el responsable debe poder acreditar con posterioridad que ha sido satisfecha.

La AEPD publicó una “Guía para el cumplimiento del deber de informar” donde explica como informar a través de un sistema de información por capas. Con respecto a la primera capa, se recomienda que la información se ponga en forma de tabla y que esté claramente identificada con un título tal como “Información básica sobre protección de datos”, garantizando que dicha información quede dentro del campo de visión del interesado. En esta primera capa se debe incluir una primera información sin entrar en el detalle de la misma. Al final de esta primera capa, se ha de incluir un apartado denominado “Información adicional”, en el que se informe sobre donde se encuentra el resto de información. En un formulario, la tabla con la información en primera capa debe situarse en el mismo campo de visión que el lugar donde haya de manifestarse la conformidad con lo solicitado (la firma, si es en papel, o el botón de “enviar”, si es un formulario electrónico), formando parte de la copia que quede a disposición del interesado. Si, por restricciones del diseño, no fuese factible, debe incorporarse una nota o llamada en el campo de visión de la firma, informando sobre dónde se sitúa la tabla con la información sobre protección de datos. Ejemplo: “antes de firmar la solicitud, debe leer la información básica sobre protección de datos que se presenta en (…el reverso, al pié, etc.).”

Por su parte, la segunda capa de información admite diversas formas de presentación: en el mismo formulario cumplimentado (por ejemplo, en el reverso), como un anexo o separata que se entregue al interesado y que pueda conservar, como información expuesta claramente visible en carteles, paneles, trípticos, etc., de los cuales se pueda solicitar una copia manejable para conservar; en una página web específica a la que se accede mediante un hipervínculo; como un documento disponible para su descarga desde una URL; como información anexa o adjunta a un mensaje electrónico dirigido al interesado; como una locución que se le ofrezca al interesado; como complemento o alternativa a una oferta de disponibilidad de información adicional accesible electrónicamente o remitida, por correo postal o electrónico.

Ejemplos de formularios utilizados por los ayuntamientos a través de los cuales se pueden recabar datos personales y que deben incluir la cláusula legal de información correspondiente conforme a lo indicado son:

  • Formularios para darse de alta en el Padrón Municipal de Habitantes.
  • Formularios para solicitar una subvención.
  • Formularios de contacto existentes en la web de un ayuntamiento.

La AEPD ha apercibido a ayuntamientos por el incumplimiento de esta obligación de información. Cabe destacar los siguientes procedimientos sancionadores:

  • Procedimiento Nº: PS/00347/2019, por el cual se sanciona con apercibimiento a un ayuntamiento por la falta de información que se proporcionó a los trabajadores y funcionarios del ayuntamiento cuando se obtuvieron sus datos personales para la elaboración de la relación de puestos de trabajo.
  • Procedimiento Nº: PS/00380/2019, que sanciona con apercibimiento a un ayuntamiento por carecer de una Política de Privacidad en su página web adaptada al RGPD, a través de la cual se informe a los usuarios sobre el tratamiento de sus datos.

Adicionalmente a lo indicado, si un ayuntamiento dispone de un sistema de videovigilancia debe cumplir con el deber de informar sobre el tratamiento de los datos personales con respecto a todas aquellas personas cuya imagen sea captada por el mismo, adaptándolo a las peculiaridades del propio sistema. En este sentido, la LOPDGDD determina que, en los casos en los que exista un sistema de videovigilancia, se debe cumplir con el deber de informar mediante la colocación de un dispositivo informativo en lugar suficientemente visible identificando, al menos, la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercer los derechos previstos en el RGPD (primera capa de información). También puede incluirse en el dispositivo informativo un código de conexión o dirección de internet a esta información. En todo caso, el ayuntamiento debe mantener a disposición de los afectados la información adicional recogida en el art. 13 RGPD (segunda capa de información).

Teniendo en cuenta lo anterior, la AEPD ha facilitado un modelo de cartel informativo a utilizar por los responsables del tratamiento adaptado al RGPD.

Con respecto a los sistemas de videovigilancia, deben tener la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones (si bien podrán utilizarse para el control laboral, siempre y cuando se cumpla lo dispuesto en el art. 89 LOPDGDD), debiéndose borrar las imágenes en el plazo máximo de un mes desde su captación, salvo cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. En tal caso, las imágenes deben ser puestas a disposición de la autoridad competente en un plazo máximo de setenta y dos horas desde que se tuviera conocimiento de la existencia de la grabación.

Con carácter general, las cámaras no pueden captar la vía pública. Solo podrán captarse imágenes de la vía pública en la medida en que resulte imprescindible para la finalidad mencionada en el apartado anterior. No obstante, es posible la captación de la vía pública en una extensión superior cuando sea necesario para garantizar la seguridad de bienes o instalaciones estratégicos o de infraestructuras vinculadas al transporte, sin que en ningún caso pueda suponer la captación de imágenes del interior de un domicilio privado.Con respecto a los sistemas de videovigilancia, la AEPD, en el Procedimiento Nº: PS/00439/2019, apercibe a un ayuntamiento para que acredite la legalidad del sistema de videovigilancia instalado, aportando la documentación necesaria para ello o, en su defecto, demostrar que no existe dispositivo de videovigilancia.

H) Elaborar procedimientos para atender los derechos de los ciudadanos reconocidos en el RGPD

El RGPD introduce varios nuevos derechos. De ellos, el que puede ejercerse más frecuentemente en el ámbito de las Administraciones Locales es el de limitación del tratamiento. Este derecho supone que debe suspenderse el tratamiento de datos cuando los interesados soliciten la rectificación o supresión de sus datos personales hasta que el responsable decida sobre la solicitud.

En cualquier caso, los mecanismos para el ejercicio de derechos deben incluir todos los recogidos en el RGPD, a saber: derecho de acceso, rectificación, supresión, oposición, limitación y portabilidad.

Los ayuntamientos deben responder al ejercicio de los derechos en el plazo de un mes a partir de la recepción de la solicitud. Este plazo puede prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes, si bien se debe informar al ciudadano de la citada prórroga en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación. Si el ciudadano presenta la solicitud por medios electrónicos, la información se debe facilitar por medios electrónicos cuando sea posible, a menos que el ciudadano solicite que se facilite de otro modo.

Teniendo en cuenta lo anterior, los ayuntamientos deben establecer mecanismos visibles, accesibles y sencillos, incluidos los medios electrónicos, para el ejercicio de derechos. Estos mecanismos, en particular cuando se trate del ejercicio por medios electrónicos, deben incorporar procedimientos para verificar la identidad de los interesados que los utilizan. Los ayuntamientos quedan obligados a incluir en su página web información clara y precisa destinada a los ciudadanos sobre el ejercicio de los derechos referenciados, pudiendo incluir los formularios a utilizar por los interesados para ejercerlos.

El RGPD prevé la posibilidad de cobrar un canon en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada, cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo.

Con respecto al ejercicio de derechos, existen varios procedimientos de Tutela de Derechos por parte de la AEPD donde estima las reclamaciones realizadas por los ciudadanos contra los ayuntamientos que no han hecho efectivo los mismos. En este sentido, podemos destacar el Procedimiento TD/00014/2020 de la AEPD, a través del cual se insta a un ayuntamiento a facilitar el acceso a los datos personales de la reclamante, así como el Procedimiento TD/00042/2019, por el que se insta a un ayuntamiento a hacer efectivo el derecho de supresión ejercido por el interesado.

I) Valorar si los encargados de tratamiento ofrecen garantías de cumplimiento del RGPD y adaptar los contratos de tratamiento de datos

El RGPD establece una obligación de diligencia debida en la elección de los encargados de tratamiento que deben cumplir todos los responsables del tratamiento, contratando únicamente encargados que cumplan con las obligaciones recogidas en el RGPD, mediante, por ejemplo, su adhesión a códigos de conducta o esquemas de certificación.

En cualquier caso, la relación entre responsables y encargados debe formalizarse mediante un contrato o un acto jurídico que vincule al encargado, que ha de contener lo dispuesto en el art. 28 RGPD.

Los contratos de tratamiento de datos entre los órganos y organismos del Sector Público (como responsables) y otros órganos u organismos del sector público o terceros (como encargados de tratamiento) suscritos antes del 25 de mayo de 2018 mantienen su vigencia hasta la fecha de vencimiento señalada en los mismos y, en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022. Durante dichos plazos, cualquiera de las partes puede exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el art. 28 RGPD.

J) Elaborar y llevar a cabo un plan de formación y concienciación para los empleados

Se debe formar a los empleados en las obligaciones que deben cumplir con respecto a la normativa de protección de datos. Es importante que los trabajadores del ayuntamiento conozcan las obligaciones que les son aplicables ya que, de lo contrario, difícilmente podrán cumplirlas.

K) Adaptar los instrumentos de transferencia internacional de datos personales a las previsiones del RGPD

Cuando los datos personales se envían fuera del ámbito del Espacio Económico Europeo, que comprende todos los Estados miembros de la Unión Europea, más Noruega, Islandia y Liechtenstein, se produce una transferencia internacional de datos.

Aunque podría parecer que las transferencias internacionales son poco habituales en el ámbito de los ayuntamientos, el uso cada vez más frecuente de los servicios de almacenamiento de información en la nube (Azure, One Drive, etc.), supone que aumenten las posibilidades de que se transfieran estos datos fuera del Espacio Económico Europeo.

En este sentido, el RGPD contiene una serie de supuestos (arts. 45 y 46), que permiten realizar dichas transferencias internacionales sin necesidad de solicitar una autorización previa por parte de las autoridades de control.

Los ayuntamientos deberían tener en cuenta esas posibles transferencias internacionales y la necesidad de que las mismas se lleven a cabo sobre la base de los supuestos reflejados en el RGPD.

IV. Sanciones a ayuntamientos

Las infracciones cometidas por los órganos y organismos del Sector Público son sancionadas con un apercibimiento con medidas correctoras sin llevar aparejada sanción económica.

La resolución sancionadora de la AEPD debe identificar el cargo responsable de la infracción, se ha de notificar al infractor, a su superior jerárquico, al Defensor del Pueblo y se ha de publicar en la página web de la AEPD y en el diario oficial correspondiente.

La resolución sancionadora puede proponer al órgano u organismo la iniciación de actuaciones disciplinarias, cuya resolución debe ser comunicada por el órgano u organismo del Sector Público a la AEPD.

Cuando se acredite la existencia de informes técnicos o recomendaciones que no hayan sido atendidos por las autoridades y directivos del Sector Público, la resolución sancionadora debe incluir una amonestación con la identificación del cargo responsable, publicándose en el diario oficial correspondiente.

A lo largo del presente artículo se han hecho referencia a varios procedimientos sancionadores impuestos a diferentes ayuntamientos que, conforme a la normativa vigente, han dado lugar a los apercibimientos correspondientes.

V. Referencias bibliográficas

  • Infografía Adaptación al RGPD – Administraciones Públicas; publicada por la Agencia Española de Protección de Datos. Dos páginas, 2018 – España.
  • El Delegado de Protección de Datos en las Administraciones Publicas: Documento publicado por la Agencia Española de Protección de Datos. Cuatro páginas, 2018 – España.
  • El impacto del Reglamento General de Protección de Datos sobre la actividad de las Administraciones Publicas: Documento publicado por la Agencia Española de Protección de Datos. Cinco páginas, 2018 – España.
  • El nuevo RGPD y su impacto sobre la actividad de las administraciones locales: Documento publicado por la Agencia Española de Protección de Datos. Seis páginas, 2018 – España.
  • Protección de datos y administración local. Guías sectoriales AEPD. Cincuenta y siete páginas, 2018 – España.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales - nuevas obligaciones para el sector público: Documento publicado por la Agencia Española de Protección de Datos. Cuatro páginas, 2018 – España.
  • Orientación para la aplicación provisional de la disposición adicional séptima de la LOPDGDD: Documento publicado por la Agencia Española de Protección de Datos. Dos páginas, 2019 – España.
  • Listas de tipos de tratamientos de datos que requieren evaluación de impacto relativa a protección de datos (art 35.4): Documento publicado por la Agencia Española de Protección de Datos. Cuatro páginas, 2019 – España.
  • Orientaciones para la aplicación de la disposición adicional octava y la disposición final duodécima de la LOPDGDD: Documento publicado por la Agencia Española de Protección de Datos. Tres páginas, 2020 – España.