Jorge de Diego Retuerta
Los ayuntamientos, como cualquier otra entidad pública, están obligados al cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos -RGPD-, por el que se deroga la Directiva 95/46/CE y de la LO 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales -LOPDGDD- con respecto a los tratamientos de datos de carácter personal que realicen, entendiendo por dato de carácter personal, “toda información sobre una persona física identificada o identificable”. Se considera persona física identificable aquella cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
Asimismo, debe entenderse por tratamiento “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.
Teniendo en cuenta lo anterior, los ayuntamientos prestan una serie de servicios públicos, para los cuales tratan datos de carácter personal de sus ciudadanos. A modo de ejemplo, podemos identificar los siguientes tratamientos de datos que realizan los ayuntamientos: Gestión del padrón municipal de habitantes; subvenciones y ayudas; sanciones; obras y licencias; policía local; gestión de tributos; bolsas de trabajo; recaudación ejecutiva; registro de documentos; cementerio municipal; recursos humanos; biblioteca municipal; servicios sociales; educación infantil; gestión económica, etc.
Los ayuntamientos son responsables del tratamiento de los datos personales que manejen, entendiendo por responsable del tratamiento la "persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento”. Si cuentan con Administración Institucional, es responsable cada uno de los entes que formen parte de la misma respecto a los tratamientos que lleven a cabo.
Por otra parte, hay muchas circunstancias en las que un ayuntamiento contrata con un tercero un servicio que implica que éste pueda acceder a datos de su responsabilidad, por lo que este tercero se configura como encargado del tratamiento, entendiendo por tal “la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos por cuenta del responsable del tratamiento”. Por ejemplo, cuando un ayuntamiento encarga a un tercero la elaboración de las nóminas de su personal, la destrucción de documentación, el control de las cámaras de videovigilancia, gestión del cobro de impuestos o el mantenimiento de los equipos informáticos
Como veremos más adelante (Apartado III, letra I), la relación entre responsable y encargado debe estar regulada mediante la firma de un contrato que recoja todas las exigencias reflejadas en el art. 28 RGPD.
Todos los tratamientos de datos efectuados por los ayuntamientos deben efectuarse respetando, en todo momento, los principios recogidos en el RGPD, a saber:
Los datos han de ser tratados de manera lícita, leal y transparente en relación con el interesado. El interesado debe ser previa y claramente informado de qué se va a hacer con sus datos, estando prohibido obtenerlos de manera fraudulenta o mediante engaño. El tratamiento solo es lícito si se cumple al menos una de las siguientes condiciones:
Como se verá más adelante, en el ámbito de los ayuntamientos la base jurídica que legitima los tratamientos es, con carácter general, el cumplimiento de una tarea en interés público o el ejercicio de poderes públicos, así como el cumplimiento de una obligación legal.
Los datos han de ser recogidos con fines determinados, explícitos y legítimos, y no tratados después de manera incompatible con dichos fines. Es decir, los datos recabados para un fin concreto no pueden utilizarse para un fin distinto del inicialmente autorizado.
Sólo deben tratarse datos personales cuando sea necesario para las finalidades pretendidas y, aun en este caso, sólo deben tratarse los datos absolutamente imprescindibles para ese fin, no más.Teniendo en cuenta lo anterior y a modo de ejemplo, la LOPDGDD prohíbe el uso conjunto de apellidos, nombre y número completo del documento de identificación oficial de las personas en aquellos actos administrativos que vayan a ser objeto de publicación o notificación por medio de anuncios:
En ambos casos, si la persona carece de documento identificativo, se la debe identificar sólo mediante su nombre y apellidos.
Los datos deben ser exactos y estarán actualizados; se han de suprimir o rectificar sin dilación los datos inexactos.
Los datos han de ser mantenidos durante no más tiempo del necesario para la finalidad para la que se estén tratando. Cuando los datos dejen de ser necesarios o pertinentes, deben ser suprimidos.
Los datos deben ser tratados de tal manera que se garantice su seguridad, incluida la protección contra el acceso o tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.
Se debe ser capaz de demostrar que se cumplen con las obligaciones recogidas en los principios mencionados.Los ayuntamientos han de tener la capacidad de demostrar y proporcionar evidencias de dicho cumplimiento.
La Agencia Española de Protección de Datos -AEPD- ya ha sancionado a ayuntamientos por el incumplimiento de los principios indicados anteriormente. En concreto, el Procedimiento Nº: PS/00376/2019 impone una sanción de apercibimiento a un ayuntamiento por incumplimiento del principio de “integridad y confidencialidad”, requiriéndole que actúe de conformidad con dicho principio y con el principio de “limitación de la finalidad”. Adicionalmente, se le requiere para que actualice su Política de Privacidad para informar adecuadamente a los interesados sobre el tratamiento de sus datos personales.
También destaca el PS/00012/2019, por el que se sanciona con apercibimiento una vulneración del principio de confidencialidad e integridad en el tratamiento de los datos personales, como consecuencia de la publicación en la sede electrónica del ayuntamiento, en acceso libre a cualquier persona, de las actas de la Junta de Gobierno Local. En las mismas se hacen referencia en el apartado de “personal indefinido, pero no fijo” a sentencias judiciales pendientes de incluir en las ofertas de empleo público, con sus nombres y apellidos.
El RGPD introduce como obligatoria en el ámbito de las Administraciones Públicas la figura del Delegado de Protección de Datos -DPD-, por lo que los ayuntamientos deben proceder a su designación y comunicar su nombramiento a la AEPD para su inclusión en el Registro público de Delegados de Protección de Datos.
En este punto es importante mencionar el Procedimiento Nº: PS/00001/2020 de la AEPD, a través del cual impone la sanción de apercibimiento a un ayuntamiento por carecer de DPD, requiriéndole para que proceda a nombrar uno e informar a dicho organismo de dicho nombramiento.
Tal y como manifiesta la AEPD en el documento denominado “Protección de datos y Administración Local. Guías sectoriales AEPD”, en los ayuntamientos con población superior a 20.000 habitantes, atendiendo al volumen de datos tratados, el DPD podría contar con un departamento de apoyo. Por otra parte, en los ayuntamientos con población inferior a 20.000 habitantes, podrían designar su DPD o articularlo a través de las Diputaciones Provinciales o Comunidad Autónoma respectiva.
En el caso de que se designe a secretarios, interventores y tesoreros, podrían actuar como delegados de protección de datos siempre que no exista conflicto de intereses en relación con el ejercicio de sus respectivas funciones en la gestión ordinaria del ente local en cuestión y tengan un conocimiento especializado en protección de datos.
En cualquier caso, las funciones de DPD se pueden externalizar en una empresa privada experta, que actuaría como encargado del tratamiento del ayuntamiento (véase definición de encargado del tratamiento realizada en el apartado Introducción de este artículo).
El DPD debe desempeñar sus tareas y funciones con total independencia. En concreto, el nombramiento del DPD debe respetar las siguientes premisas:
1. Es posible designar un único DPD para un ayuntamiento. No obstante, no parece aconsejable que ese único DPD actúe respecto de grandes unidades u órganos con entidad y tareas claramente diferenciadas, por mucho que orgánicamente puedan depender de un ayuntamiento.
Dadas las funciones del DPD, su adscripción dentro de la estructura del ayuntamiento debe hacerse a órganos o unidades con competencias y funciones de carácter horizontal.
2. El DPD puede desarrollar su actividad a tiempo completo o a tiempo parcial y también puede formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.
En un ayuntamiento de gran tamaño en que exista un único DPD lo habitual es que desempeñe sus funciones a tiempo completo. En ayuntamientos de menor tamaño será posible que el DPD compagine sus funciones con otras. Si éste es el caso, debe tenerse en cuenta la necesidad de evitar conflictos de intereses entre las diversas ocupaciones. El DPD actúa como asesor y supervisor interno, por lo que ese puesto no puede ser ocupado por personas que, a la vez, tengan tareas que impliquen decisiones sobre la existencia de tratamientos de datos o sobre el modo en que van a ser tratados los datos (p.ej.: responsables de seguridad de la información).
3. La posición del DPD debe conllevar:
4. El DPD debe ser designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar sus funciones. Teniendo en cuenta lo anterior, no se puede nombrar como DPD a una persona que carezca de la formación y conocimientos pertinentes en materia de protección de datos de carácter personal. Lo anterior excluye la práctica de designar como DPD a personal sin formación adecuada en protección de datos. El RGPD señala entre las funciones del DPD las de:
Estas funciones genéricas del DPD se pueden concretar en tareas de asesoramiento y supervisión en las siguientes áreas:
El DPD debe recibir las reclamaciones que les dirijan los ciudadanos, cuando opten por esta vía antes de plantear una reclamación ante la AEPD, y comunicar la decisión adoptada al afectado en el plazo máximo de dos meses. Asimismo, el DPD debe recibir las reclamaciones que la AEPD decida trasladarle con carácter previo al inicio de un expediente sancionador. El DPD debe comunicar la decisión adoptada al afectado y a la AEPD en el plazo máximo de un mes. De esta forma, con carácter general, si el DPD consigue que el responsable resuelva por cualquiera de estas dos vías la reclamación, y sin perjuicio de que el interesado posteriormente se dirija a la AEPD, no se iniciaría expediente de declaración de infracción al ayuntamiento correspondiente.
En cualquier caso, el DPD no tiene responsabilidad a título personal por las posibles infracciones en materia de protección de datos cometidas por su organización.
Como ya es sabido por todos, con el RGPDdesaparece la obligación de notificar la inscripción de ficheros en el Registro de Ficheros de la AEPD, o registro de la autoridad autonómica competente, considerándose como sustituto de dicha obligación el deber de implementar el Registro de Actividades de Tratamiento recogido en el RGPD.
Los ayuntamientos deben mantener este Registro de Actividades de Tratamiento por escrito, incluso en formato electrónico, en el que se incluya una descripción de los tratamientos de datos que realicen conforme a lo estipulado en el art. 30 RGPD.
Cuando el ayuntamiento actúa como responsable del tratamiento, debe incluirse la siguiente información en su RAT:
Cuando el ayuntamiento actúa como encargado del tratamiento, debe incluirse la siguiente información en su RAT:
Cuando el ayuntamiento actúa como encargado del tratamiento, debe incluirse la siguiente información en su RAT:
La implementación de este registro obliga a inventariar todos los tratamientos que esté realizando cada ayuntamiento (en el apartado Introducción de este artículo se reflejaban una serie de ejemplos de tratamientos responsabilidad de los ayuntamientos que deben incorporarse a este RAT).
Este registro debe conservarse internamente por el ayuntamiento, quedando a disposición de la autoridad de control si lo solicitase.
Adicionalmente, con la LOPDGDD, se debe publicar en la página web de los ayuntamientos su Registro de Actividades de Tratamiento, incluyendo la base legal de cada tratamiento.
La implementación de este registro obliga a inventariar todos los tratamientos que esté realizando cada ayuntamiento (en el apartado Introducción de este artículo se reflejaban una serie de ejemplos de tratamientos responsabilidad de los ayuntamientos que deben incorporarse a este RAT).
Este registro debe conservarse internamente por el ayuntamiento, quedando a disposición de la autoridad de control si lo solicitase.
Adicionalmente, con la LOPDGDD, se debe publicar en la página web de los ayuntamientos su Registro de Actividades de Tratamiento, incluyendo la base legal de cada tratamiento.
El RGPD diseña un sistema de legitimación basado en seis bases jurídicas que no mantienen entre sí ninguna relación de prioridad o prelación. Solo es lícito el tratamiento de datos personales si se cumple al menos una de ellas:
Para el ámbito de los ayuntamientos, la mayoría de los tratamientos de datos que realizan como consecuencia de los servicios públicos que prestan, se fundamentan en una de las siguientes bases legitimadoras:
En ambos casos, debe existir una previsión normativa con rango de ley que regule o ampare el tratamiento de los datos.A modo de ejemplo de bases legitimadoras para los tratamientos de datos personales llevados a cabo por un ayuntamiento, en virtud del inventario recogido en su Registro de Actividades de Tratamiento, se pueden indicar los siguientes:
En los casos en que la base jurídica de los tratamientos sea el consentimiento, éste debe tener las características previstas por el RGPD, que exige que sea informado, libre, específico y otorgado por los afectados. Este consentimiento debe ser “inequívoco”, lo que supone que se preste mediante una manifestación del afectado o mediante una clara acción afirmativa, lo que invalida el consentimiento tácito.Así, no se consideran formas válidas de obtener el consentimiento el uso de casillas ya marcadas o la inacción. En cambio, sí son acordes al RGPD, la utilización de una declaración por escrito, o la marcación de casillas en un sitio web de Internet.A modo de ejemplo de tratamientos de un ayuntamiento fundamentados en el consentimiento, podemos destacar los siguientes:
En relación con el consentimiento, los ayuntamientos pueden verificar, sin necesidad de solicitar el consentimiento del interesado, la exactitud de los datos personales manifestados por los ciudadanos que obren en poder de los órganos y organismos del Sector Público.
Adicionalmente, ya la Ley 30/1992 reconocía a los administrados el derecho a no aportar a los procedimientos administrativos los documentos que obrasen en poder de la Administración, o que hubiesen sido elaborados por ésta. La base jurídica del tratamiento de los datos personales por la Administración era el consentimiento del administrado, que se entendía tácitamente concedido si el interesado no se oponía expresamente.
Tanto el RGPD como la LOPDGDD eliminan la necesidad de recabar el consentimiento del ciudadano, al establecer como base jurídica legitimadora principal del tratamiento de datos personales por órganos y organismos del Sector Público el cumplimiento de una misión en interés público o, particularmente, el ejercicio de poderes públicos. Asimismo, la nueva redacción otorgada por la LOPDGDD reconoce al interesado la posibilidad de oponerse a que órganos y organismos del Sector Público consulten o recaben los citados documentos, pero en ese caso el administrado debe aportarlos necesariamente para que la Administración pueda conocer que concurren en él los requisitos establecidos por la norma. En caso contrario, no podrán estimar su solicitud, precisamente porque no habría demostrado los requisitos requeridos.
En todo caso, dicho derecho de oposición no juega en los casos de potestades de verificación o inspección.
Es importante destacar que la LOPDGDD establece que la base legitimadora del tratamiento de datos personales que realizan los registros de personal del sector público es el ejercicio de potestades públicas. Estos registros pueden tratar los datos personales que sean estrictamente necesarios para el cumplimiento de sus fines relativos a infracciones y condenas penales e infracciones y sanciones administrativas, de los que deberán ser informados de manera expresa, clara e inequívoca.
Por último, el tratamiento de categorías especiales de datos, que incluyen, entre otros, los datos sobre salud, ideología, religión o pertenencia étnica está, con carácter general, prohibido, y sólo puede llevarse a cabo si es aplicable alguna de las excepciones previstas en el art. 9.2 RGPD, junto con una de las bases legitimadoras indicadas. Entre ellas pueden destacarse, a los efectos de los ayuntamientos, que el tratamiento sea necesario para satisfacer un interés público esencial, el que sea necesario para fines de prevención, asistencia sanitaria o salud pública, o que sea necesario para la gestión de los servicios de asistencia social, en todos los casos en los términos que establezca la legislación española o de la Unión Europea.
El RGPD hace depender la aplicación de todas las medidas de cumplimiento que prevé para responsables y encargados de un previo análisis de riesgos en el tratamiento de datos personales. Por ello, todo tratamiento, tanto los ya existentes como los que se pretenda iniciar, deben ser objeto de un análisis de riesgos. Del resultado de dicho análisis de riesgos se determinarán las medidas de seguridad que deben aplicarse.
El análisis de riesgos es un estudio metódico y sistemático en el que se utilizan métricas que ayudan a cuantificar comprensivamente el grado de riesgo. Para llevar a cabo este estudio es necesario utilizar una metodología que nos ayude a trazar los niveles de riesgo aceptables en cada caso, ya que sin la ayuda de una metodología no podrá realizarse un análisis de riesgo de forma objetiva. En el contexto de las AAPP se dispone de metodologías de análisis de riesgos focalizadas principalmente en la seguridad de la información. Esas metodologías deben ampliarse para incluir riesgos asociados al incumplimiento de las disposiciones del RGPD.
En los ayuntamientos con población inferior a 20.000 habitantes el análisis de riesgo podría llevarse a cabo con el soporte de la correspondiente Diputación Provincial. Para facilitar el análisis de riesgo se pueden utilizar las guías y herramientas habilitadas por la AEPD, así como las herramientas de análisis de riesgos proporcionadas por el Centro Criptológico Nacional o una herramienta que incorpore una metodología de análisis de riesgo de reconocido prestigio (PILAR).
El RGPD no establece una relación concreta de medidas de seguridad a aplicar, como sí hacía el RD 1720/2007, por lo que corresponde al ayuntamiento determinar aquellas medidas de seguridad que son necesarias para garantizar la confidencialidad, la integridad y la disponibilidad de los datos personales en función de los riesgos detectados.
En cualquier caso, en los ayuntamientos deben aplicarse las medidas de seguridad establecidas en el Esquema Nacional de Seguridad, por lo que se deberán cumplir las obligaciones indicadas en el mismo.
Conforme a lo anterior, cabe destacar el Procedimiento Nº: PS/00365/2018 de la AEPD por el que se sanciona con apercibimiento a un ayuntamiento que no aplica las medidas técnicas y organizativas necesarias para garantizar un nivel de seguridad adecuado que impida la vulneración del principio de confidencialidad en el tratamiento de datos personales de los ciudadanos que son atendidos en despachos y espacios de uso compartido.
Cuando se produzca una quiebra de seguridad, entendida por tal la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos, el ayuntamiento que la sufra debe registrarla internamente.
Adicionalmente, si dicha brecha de seguridad ha supuesto un riesgo para los derechos y libertades de las personas físicas, debe notificarlo a la AEPD, en un plazo máximo de 72 horas, incluyendo, como mínimo, la siguiente información:
Adicionalmente, se debe comunicar la brecha de seguridad a las personas afectadas (sin dilación indebida) siempre y cuando suponga un alto riesgo para los derechos y libertades de las personas. No obstante, no es necesaria esta comunicación a los afectados si:
Adicionalmente, se debe comunicar la brecha de seguridad a las personas afectadas (sin dilación indebida) siempre y cuando suponga un alto riesgo para los derechos y libertades de las personas. No obstante, no es necesaria esta comunicación a los afectados si:
Para poder determinar cuándo una violación de seguridad supone un riesgo o un alto riesgo para los derechos y libertades de las personales, la AEPD ha publicado sendos comunicados y guías.En concreto, se puede destacar el documento denominado “Guía para la gestión y notificación de brechas de seguridad”. En el Anexo III de este documento se publica un ejemplo orientativo para la toma de decisiones relacionada con la notificación de brechas de seguridad a la autoridad de control o a los afectados. El ejemplo parte de un modelo de tres parámetros: volumen, tipología de datos e impacto:VOLUMEN (números de registros completos e identificativos)
TIPOLOGÍA DE DATOS (Según GDPR y Sector)
IMPACTO (EXPOSICIÓN)
El cálculo del posible riesgo se podría obtener de la siguiente forma: Riesgo = P x I Riesgo = P (Volumen) x Impacto (Tipología x Impacto) Ejemplo Fuga masiva pública: 5 x (2x10) = 100% Una posible política de notificación de brechas a la Autoridad de Control sería la de notificar cualquier brecha que cumpla simultáneamente las siguientes circunstancias:
Se podría recomendar comunicar a los interesados cualquier brecha que cumpla simultáneamente las siguientes circunstancias:
Lo anterior sin perjuicio de las medidas que establece el Esquema Nacional de Seguridad para notificación y registro de violaciones de seguridad.
El RGPD establece que, con anterioridad a su puesta en marcha, los tratamientos que sea probable que supongan un alto riesgo para los derechos y libertades de los afectados deberán ser objeto de una Evaluación de Impacto sobre la Protección de Datos -EIPD-. El RGPD determina algunos de los casos en que se presume que existe ese alto riesgo:
Adicionalmente, la AEPD publicó el documento denominado “Listas de tipos de tratamientos de datos que requieren evaluación de impacto relativa a protección de datos (art 35.4)”. Con base en este documento, es necesario realizar una EIPD en la mayoría de los casos en los que un tratamiento cumpla con dos o más criterios de la lista expuesta en el documento referenciado, salvo que el tratamiento se encuentre en la lista de tratamientos que no requieren EIPD a la que se refiere en el art. 35.5 RGPD, lista que también ha publicado la AEPD. Cuantos más criterios reúna el tratamiento en cuestión, mayor será el riesgo que entrañe dicho tratamiento y mayor será la certeza de la necesidad de realizar una EIPD. Esta lista se basa en los criterios establecidos por el Grupo de Trabajo del art. 29 en la guía WP248 “Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del RGPD”, los complementa y debe entenderse como una lista no exhaustiva.
En el caso de tratamientos basados en la consecución de fines de interés público o vinculados al ejercicio de poderes públicos, el RGPD prevé que pueda no llevarse a cabo la Evaluación de Impacto, pese a tratarse de tratamientos de alto riesgo, cuando la norma de base regule la operación o conjunto de operaciones de tratamiento y ya se haya realizado una evaluación de impacto relativa a la protección de datos como parte de una evaluación de impacto general en el contexto de la adopción de esa norma de base.
La EIPD es una herramienta con carácter preventivo que debe realizar el ayuntamiento para poder identificar, evaluar y gestionar los riesgos a los que están expuestas sus actividades de tratamiento con el objetivo de garantizar los derechos y libertades de las personas físicas. En la práctica, la EIPD permite determinar el nivel de riesgo que entraña un tratamiento, con el objetivo de establecer las medidas de control más adecuadas para reducir el mismo hasta un nivel considerado aceptable. Si se trata de operaciones similares que supongan riesgos similares, se podrá realizar una única evaluación.
En el supuesto de que, una vez efectuada la Evaluación de Impacto, el riesgo existente en el tratamiento de los datos siga siendo alto, porque, por ejemplo, no se pueden adoptar medidas para mitigarlo, se debe formular consulta a la AEPD, para que este organismo asesore al ayuntamiento sobre la forma de proceder.
En cualquier caso, la AEPD ha publicado una Guía y herramientas para poder efectuar esta Evaluación de Impacto, así como un modelo de Evaluación de Impacto que podrán utilizar las Administraciones Públicas.
Siempre que se recaben datos personales, el responsable del tratamiento debe informar al interesado de los extremos indicados a continuación, para lo cual es necesario adecuar los formularios que se estén utilizando actualmente en los ayuntamientos para recabar información de los ciudadanos:
Esta obligación de informar se debe cumplir sin necesidad de requerimiento alguno y el responsable debe poder acreditar con posterioridad que ha sido satisfecha.
La AEPD publicó una “Guía para el cumplimiento del deber de informar" donde explica como informar a través de un sistema de información por capas. Con respecto a la primera capa, se recomienda que la información se ponga en forma de tabla y que esté claramente identificada con un título tal como “Información básica sobre protección de datos”, garantizando que dicha información quede dentro del campo de visión del interesado. En esta primera capa se debe incluir una primera información sin entrar en el detalle de la misma. Al final de esta primera capa, se ha de incluir un apartado denominado “Información adicional”, en el que se informe sobre donde se encuentra el resto de información. En un formulario, la tabla con la información en primera capa debe situarse en el mismo campo de visión que el lugar donde haya de manifestarse la conformidad con lo solicitado (la firma, si es en papel, o el botón de “enviar”, si es un formulario electrónico), formando parte de la copia que quede a disposición del interesado. Si, por restricciones del diseño, no fuese factible, debe incorporarse una nota o llamada en el campo de visión de la firma, informando sobre dónde se sitúa la tabla con la información sobre protección de datos. Ejemplo: “antes de firmar la solicitud, debe leer la información básica sobre protección de datos que se presenta en (…el reverso, al pié, etc.).”
Por su parte, la segunda capa de información admite diversas formas de presentación: en el mismo formulario cumplimentado (por ejemplo, en el reverso), como un anexo o separata que se entregue al interesado y que pueda conservar, como información expuesta claramente visible en carteles, paneles, trípticos, etc., de los cuales se pueda solicitar una copia manejable para conservar; en una página web específica a la que se accede mediante un hipervínculo; como un documento disponible para su descarga desde una URL; como información anexa o adjunta a un mensaje electrónico dirigido al interesado; como una locución que se le ofrezca al interesado; como complemento o alternativa a una oferta de disponibilidad de información adicional accesible electrónicamente o remitida, por correo postal o electrónico.
Ejemplos de formularios utilizados por los ayuntamientos a través de los cuales se pueden recabar datos personales y que deben incluir la cláusula legal de información correspondiente conforme a lo indicado son:
Si los datos no han sido obtenidos del propio afectado, adicionalmente se le debe informar de los siguientes puntos:
La información se ha de proporcionar de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Para ello, el art. 11 LOPDGDD ofrece la posibilidad de informar a través de un sistema de capas. En concreto, este deber de información por capas consiste en facilitar al afectado una primera información básica, junto con la forma de acceder a la restante información. La información en primera capa debe contener, al menos:
Cuando los datos personales no hayan sido obtenidos del afectado, la información básica ha de contener, adicionalmente, la siguiente información:
En el caso de que los datos no se hayan obtenido del propio afectado, el ayuntamiento debe informar a las personas interesadas dentro de un plazo razonable, pero, en cualquier caso:
No es necesario cumplir con el deber de informar indicado en el párrafo anterior siempre y cuando:
Esta obligación de informar se debe cumplir sin necesidad de requerimiento alguno y el responsable debe poder acreditar con posterioridad que ha sido satisfecha.
La AEPD publicó una “Guía para el cumplimiento del deber de informar” donde explica como informar a través de un sistema de información por capas. Con respecto a la primera capa, se recomienda que la información se ponga en forma de tabla y que esté claramente identificada con un título tal como “Información básica sobre protección de datos”, garantizando que dicha información quede dentro del campo de visión del interesado. En esta primera capa se debe incluir una primera información sin entrar en el detalle de la misma. Al final de esta primera capa, se ha de incluir un apartado denominado “Información adicional”, en el que se informe sobre donde se encuentra el resto de información. En un formulario, la tabla con la información en primera capa debe situarse en el mismo campo de visión que el lugar donde haya de manifestarse la conformidad con lo solicitado (la firma, si es en papel, o el botón de “enviar”, si es un formulario electrónico), formando parte de la copia que quede a disposición del interesado. Si, por restricciones del diseño, no fuese factible, debe incorporarse una nota o llamada en el campo de visión de la firma, informando sobre dónde se sitúa la tabla con la información sobre protección de datos. Ejemplo: “antes de firmar la solicitud, debe leer la información básica sobre protección de datos que se presenta en (…el reverso, al pié, etc.).”
Por su parte, la segunda capa de información admite diversas formas de presentación: en el mismo formulario cumplimentado (por ejemplo, en el reverso), como un anexo o separata que se entregue al interesado y que pueda conservar, como información expuesta claramente visible en carteles, paneles, trípticos, etc., de los cuales se pueda solicitar una copia manejable para conservar; en una página web específica a la que se accede mediante un hipervínculo; como un documento disponible para su descarga desde una URL; como información anexa o adjunta a un mensaje electrónico dirigido al interesado; como una locución que se le ofrezca al interesado; como complemento o alternativa a una oferta de disponibilidad de información adicional accesible electrónicamente o remitida, por correo postal o electrónico.
Ejemplos de formularios utilizados por los ayuntamientos a través de los cuales se pueden recabar datos personales y que deben incluir la cláusula legal de información correspondiente conforme a lo indicado son:
La AEPD ha apercibido a ayuntamientos por el incumplimiento de esta obligación de información. Cabe destacar los siguientes procedimientos sancionadores:
Adicionalmente a lo indicado, si un ayuntamiento dispone de un sistema de videovigilancia debe cumplir con el deber de informar sobre el tratamiento de los datos personales con respecto a todas aquellas personas cuya imagen sea captada por el mismo, adaptándolo a las peculiaridades del propio sistema. En este sentido, la LOPDGDD determina que, en los casos en los que exista un sistema de videovigilancia, se debe cumplir con el deber de informar mediante la colocación de un dispositivo informativo en lugar suficientemente visible identificando, al menos, la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercer los derechos previstos en el RGPD (primera capa de información). También puede incluirse en el dispositivo informativo un código de conexión o dirección de internet a esta información. En todo caso, el ayuntamiento debe mantener a disposición de los afectados la información adicional recogida en el art. 13 RGPD (segunda capa de información).
Teniendo en cuenta lo anterior, la AEPD ha facilitado un modelo de cartel informativo a utilizar por los responsables del tratamiento adaptado al RGPD.
Con respecto a los sistemas de videovigilancia, deben tener la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones (si bien podrán utilizarse para el control laboral, siempre y cuando se cumpla lo dispuesto en el art. 89 LOPDGDD), debiéndose borrar las imágenes en el plazo máximo de un mes desde su captación, salvo cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. En tal caso, las imágenes deben ser puestas a disposición de la autoridad competente en un plazo máximo de setenta y dos horas desde que se tuviera conocimiento de la existencia de la grabación.
Con carácter general, las cámaras no pueden captar la vía pública. Solo podrán captarse imágenes de la vía pública en la medida en que resulte imprescindible para la finalidad mencionada en el apartado anterior. No obstante, es posible la captación de la vía pública en una extensión superior cuando sea necesario para garantizar la seguridad de bienes o instalaciones estratégicos o de infraestructuras vinculadas al transporte, sin que en ningún caso pueda suponer la captación de imágenes del interior de un domicilio privado.Con respecto a los sistemas de videovigilancia, la AEPD, en el Procedimiento Nº: PS/00439/2019, apercibe a un ayuntamiento para que acredite la legalidad del sistema de videovigilancia instalado, aportando la documentación necesaria para ello o, en su defecto, demostrar que no existe dispositivo de videovigilancia.
El RGPD introduce varios nuevos derechos. De ellos, el que puede ejercerse más frecuentemente en el ámbito de las Administraciones Locales es el de limitación del tratamiento. Este derecho supone que debe suspenderse el tratamiento de datos cuando los interesados soliciten la rectificación o supresión de sus datos personales hasta que el responsable decida sobre la solicitud.
En cualquier caso, los mecanismos para el ejercicio de derechos deben incluir todos los recogidos en el RGPD, a saber: derecho de acceso, rectificación, supresión, oposición, limitación y portabilidad.
Los ayuntamientos deben responder al ejercicio de los derechos en el plazo de un mes a partir de la recepción de la solicitud. Este plazo puede prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes, si bien se debe informar al ciudadano de la citada prórroga en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación. Si el ciudadano presenta la solicitud por medios electrónicos, la información se debe facilitar por medios electrónicos cuando sea posible, a menos que el ciudadano solicite que se facilite de otro modo.
Teniendo en cuenta lo anterior, los ayuntamientos deben establecer mecanismos visibles, accesibles y sencillos, incluidos los medios electrónicos, para el ejercicio de derechos. Estos mecanismos, en particular cuando se trate del ejercicio por medios electrónicos, deben incorporar procedimientos para verificar la identidad de los interesados que los utilizan. Los ayuntamientos quedan obligados a incluir en su página web información clara y precisa destinada a los ciudadanos sobre el ejercicio de los derechos referenciados, pudiendo incluir los formularios a utilizar por los interesados para ejercerlos.
El RGPD prevé la posibilidad de cobrar un canon en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada, cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo.
Con respecto al ejercicio de derechos, existen varios procedimientos de Tutela de Derechos por parte de la AEPD donde estima las reclamaciones realizadas por los ciudadanos contra los ayuntamientos que no han hecho efectivo los mismos. En este sentido, podemos destacar el Procedimiento TD/00014/2020 de la AEPD, a través del cual se insta a un ayuntamiento a facilitar el acceso a los datos personales de la reclamante, así como el Procedimiento TD/00042/2019, por el que se insta a un ayuntamiento a hacer efectivo el derecho de supresión ejercido por el interesado.
El RGPD establece una obligación de diligencia debida en la elección de los encargados de tratamiento que deben cumplir todos los responsables del tratamiento, contratando únicamente encargados que cumplan con las obligaciones recogidas en el RGPD, mediante, por ejemplo, su adhesión a códigos de conducta o esquemas de certificación.
En cualquier caso, la relación entre responsables y encargados debe formalizarse mediante un contrato o un acto jurídico que vincule al encargado, que ha de contener lo dispuesto en el art. 28 RGPD.
Los contratos de tratamiento de datos entre los órganos y organismos del Sector Público (como responsables) y otros órganos u organismos del sector público o terceros (como encargados de tratamiento) suscritos antes del 25 de mayo de 2018 mantienen su vigencia hasta la fecha de vencimiento señalada en los mismos y, en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022. Durante dichos plazos, cualquiera de las partes puede exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el art. 28 RGPD.
Se debe formar a los empleados en las obligaciones que deben cumplir con respecto a la normativa de protección de datos. Es importante que los trabajadores del ayuntamiento conozcan las obligaciones que les son aplicables ya que, de lo contrario, difícilmente podrán cumplirlas.
Cuando los datos personales se envían fuera del ámbito del Espacio Económico Europeo, que comprende todos los Estados miembros de la Unión Europea, más Noruega, Islandia y Liechtenstein, se produce una transferencia internacional de datos.
Aunque podría parecer que las transferencias internacionales son poco habituales en el ámbito de los ayuntamientos, el uso cada vez más frecuente de los servicios de almacenamiento de información en la nube (Azure, One Drive, etc.), supone que aumenten las posibilidades de que se transfieran estos datos fuera del Espacio Económico Europeo.
En este sentido, el RGPD contiene una serie de supuestos (arts. 45 y 46), que permiten realizar dichas transferencias internacionales sin necesidad de solicitar una autorización previa por parte de las autoridades de control.
Los ayuntamientos deberían tener en cuenta esas posibles transferencias internacionales y la necesidad de que las mismas se lleven a cabo sobre la base de los supuestos reflejados en el RGPD.
Las infracciones cometidas por los órganos y organismos del Sector Público son sancionadas con un apercibimiento con medidas correctoras sin llevar aparejada sanción económica.
La resolución sancionadora de la AEPD debe identificar el cargo responsable de la infracción, se ha de notificar al infractor, a su superior jerárquico, al Defensor del Pueblo y se ha de publicar en la página web de la AEPD y en el diario oficial correspondiente.
La resolución sancionadora puede proponer al órgano u organismo la iniciación de actuaciones disciplinarias, cuya resolución debe ser comunicada por el órgano u organismo del Sector Público a la AEPD.
Cuando se acredite la existencia de informes técnicos o recomendaciones que no hayan sido atendidos por las autoridades y directivos del Sector Público, la resolución sancionadora debe incluir una amonestación con la identificación del cargo responsable, publicándose en el diario oficial correspondiente.
A lo largo del presente artículo se han hecho referencia a varios procedimientos sancionadores impuestos a diferentes ayuntamientos que, conforme a la normativa vigente, han dado lugar a los apercibimientos correspondientes.