23 de abril de 2019 | 08:09
LEGAL TODAY. POR Y PARA ABOGADOS
 

Herramientas para el texto

Blog PRODAT

5 de Junio de 2017

Tamara Morales Martín

Abogada TIC y Protección de Datos. Directora de Prodat en Castilla y León

El Reglamento General de Protección de Datos y las Administraciones Públicas


Desde que se aprobó definitivamente el Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en adelante RGPD, se ha hablado largo y tendido, y lo que nos queda todavía, sobre la nuevas implicaciones teóricas y sobre todo prácticas que conlleva la aplicación del RGPD.

Si bien es cierto que, al igual que la normativa actual en la materia, el RGPD establece obligaciones tanto a entidades privadas como a entidades públicas, tengo la sensación, de que nos hemos centrado más en el análisis del Reglamento respecto de las empresas privadas.

Es por ello y a raíz de la publicación, por parte de la Agencia Española de Protección de Datos (AEPD), de dos documentos que identifican las obligaciones del Reglamento de Protección de Datos para las AAPP, cuando me ha parecido interesante ahondar más en las nuevas obligaciones que deberán asumir las autoridades u organismos públicos, como las denomina el propio Reglamento.

Comenzando por el principio, en mi opinión, lo primero que habría que determinar, máxime cuando el propio RGPD no lo define,  es qué debemos entender por autoridad u organismos públicos en España:

El Grupo de Trabajo del Artículo 29 (GT29), en sus Directrices sobre los delegados de protección de datos, indica que la noción de autoridad u organismos públicos, deberá determinarse según la legislación de cada país, donde además de autoridades y organismos públicos nacionales, regionales y locales se pueden incluir otros organismos regidos por el derecho público. Todo ello teniendo presente que una tarea pública se puede llevar a cabo, y la autoridad pública se puede ejercer también por personas físicas o jurídicas regidas por el derecho público o privado, en sectores tales como, servicio de transporte público, el suministro de agua y energía, la infraestructura viaria, la radiodifusión pública o los organismos disciplinarios para las profesiones regladas (ej. Colegios Profesionales).

En España y para afinar más en el concepto de organismo público, voy a acudir a la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, donde en su artículo 88 indica que "Son organismos públicos dependientes o vinculados a la Administración General del Estado, bien directamente o bien a través de otro organismo público, los creados para la realización de actividades administrativas, sean de fomento, prestación o de gestión de servicios públicos o de producción de bienes de interés público susceptibles de contraprestación; actividades de contenido económico reservadas a las Administraciones Públicas; así como la supervisión o regulación de sectores económicos, y cuyas características justifiquen su organización en régimen de descentralización funcional o de independencia".

En la práctica, identificar este tipo de organismos públicos que se rigen por derecho público, no supone mayor dificultad. Por el contrario, y así lo he podido comprobar en mis años de profesión, el determinar claramente qué obligaciones en materia de protección de datos deben asumir las denominadas entidades públicas empresariales, las cuales son entidades de Derecho público, con personalidad jurídica propia pero se rigen por derecho privado (artículos 103 y SS Ley 40/2015), no es para nada baladí. Y más aún con la aparición en el RGPD del Delegado de Protección de Datos.

Volviendo al RGPD,  está más que asumido que las autoridades u organismos públicos (AAPP), son responsables de los datos de carácter personal que tratan, pero incluso en algunas ocasiones pueden actuar también como encargados, por lo que no hay duda de que las previsiones del RGPD le afectan.

¿De qué manera?, por seguir el esquema desarrollado por la AEPD en los documentos mencionados, analicemos algunos de los principales puntos de impacto del RGPD, así como otros no mencionados:

    1. Necesidad de identificar las finalidades y la base jurídica de los tratamientos, una primera parte que no es nueva, y una segunda que se refuerza con el deber de las AAPP de informar a los interesados tanto de las finalidades como la base jurídica que fundamenta los tratamientos. Aunque esto nos lleve a pensar que las AAPP se van escudar en el interés público o el ejercicio de poderes públicos, y que con eso "van servidas", no deben olvidar lo siguiente:

      a. Que el interés público y ejercicio de poderes deben estar establecidos en una norma de rango de ley, y nos deberán de informar en cuál.

      b. Que en muchas ocasiones necesitarán el consentimiento libre, específico y mediante acción afirmativa de los interesados, no siendo válido el consentimiento tácito.

    2. Adecuar la información que se ofrece a los interesados, esto significa que las AAPP deben modificar los documentos que actualmente utilicen para la recogida de datos y adaptarlas al principio de información del RGPD.

    En este punto, así como para el correcto establecimiento de mecanismos para el ejercicio de derechos, los medios electrónicos de las AAPP les pueden resultar de gran ayuda y creo que sería acertado orientar sus esfuerzos en este sentido.

    3. Necesidad de valorar si los encargados de tratamiento (ET) con los que vayan a operar ofrecen garantías de cumplimiento RGPD, a este respecto se supone que las AAPP tienen también la obligación de diligencia debida aplicada a la elección de los ET, contratando únicamente aquellos que estén en condiciones de cumplir con el RGPD.

    Pero, ¿quién no ha conseguido o perdido contratos con la administración donde el  principal, por no decir el único, criterio establecido por la misma, para la adjudicación, era la presentación de la oferta más económica?.

    4. Adecuación de los contratos de encargo, como bien indica la AEPD en el caso de las AAPP, y puesto que el RGPD lo habilita, es frecuente que el encargo de tratamiento se establezca mediante actos jurídicos, son en estos donde se deberá recoger el contenido mínimo exigido por el RGPD, que a su vez, es más amplio que el actualmente previsto en la normativa española de protección de datos (art.12 LOPD).

    5. Deberán realizar un análisis de riesgo, ampliando los focalizados actualmente a la seguridad de la información para incluir riesgos asociados al incumplimiento de las disposiciones del RGPD. Además y a la luz de los resultados del análisis de riesgo,  deberán revisar las medidas de seguridad. En el caso de las AAPP la aplicación de las medidas estará marcada por los criterios establecidos en el Esquema Nacional de Seguridad (ENS).RGPD y ENS de la mano.

    6. Establecer un Registro de Actividades de Tratamiento, ya que independientemente que se tenga obligación o no de tenerlo, si no se identifican los tratamientos difícilmente se podrán realizar los análisis de riesgos, obtener los consentimientos e implementar las cláusulas informativas.

    7.    Valorar la necesidad de realizar una Evaluación de Impacto, en este caso se establece que ante tratamientos basados en la consecución de fines de interés público, recordemos lo indicado en el punto 1, el RGPD posibilita bajo determinados requisitos y supuestos que no se realice la EIPD, aunque sean tratamientos de alto riesgo.

    8. Obligación de designar un Delegado de Protección de Datos (DPD), el RGPD indica que todas las autoridades u organismos públicos nombrarán un DPD. Motivo por el cual creo que es importante saber definir cuando estamos ante una autoridad u organismo público.

    Uno de los dos documentos publicados por la AEPD, se centra en el DPD en las AAPP, donde me parece interesante resaltar lo siguiente:

      a. Se podrá designar un único DPD para varias autoridades u organismos, por ejemplo un ministerio, consejería o ayuntamiento.

      b. El DPD podrá desarrollar su actividad a tiempo completo o parcial.

      c. El DPD podrá formar parte de la plantilla del responsable o del encargado  o desempeñar sus funciones en el marco de un contrato de servicios.

Es decir, el RGPD no indica que el  DPD obligatorio en todas las AAPP deba ser lo que conocemos como funcionario de carrera,  sino que ofrece la posibilidad de que se contraten externamente las funciones de DPD, algo que, por otro lado,  ayudará a evitar conflictos de intereses dentro de la organización.

Por último la AEPD, en su novena sesión abierta, indicó que las AAPP deben de ir decidiendo ya quién va a ocupar el puesto de DPD.

Termino mi exposición con una pregunta:

Las sanciones, ¿qué dice el RGPD de las sanciones a las autoridades y organismos de públicos?

Pues poca cosa, la verdad, en el artículo 83.7 indica que "cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos (...)".

En el caso de España, ¿debemos de entender que será en la nueva LOPD, actualmente en tramitación, donde se indique el régimen sancionador para las AAPP españolas?.¿Será un régimen diferente al actual LOPD?.

Para decepción de muchos de los presentes en la última sesión abierta de la AEPD, hasta mayo de 2018 no está prevista la aprobación de la nueva norma, por lo que toca  esperar a tener acceso al anteproyecto de la Ley para comprobar que se indica al respecto.


Vote:
|| || || || |
Resultado:
65 votos
  • Comparte esta noticia en yahoo
  • Comparte esta noticia en technorati
  • Comparte esta noticia en digg
  • Comparte esta noticia en delicius
  • Comparte esta noticia en meneame
  • Comparte esta noticia en linkedin

Te recomendamos

  • ARANZADI FUSION

    ARANZADI FUSIÓN

    Aranzadi Fusión es el primer y único ecosistema legal con todo lo que necesitas para la transformación digital y gestión integral de tu despacho, combinando tecnología e información inteligente. Todo ello en la nube y con la mayor seguridad para ayudarte a cumplir con la nueva normativa RGPD en base a estos tres niveles: legal, técnico y organizativo.

Blog


Datos personales

Correo electrónico: info@prodat.es Web: www.prodat.es PRODAT es una organización especializada en servicios de Consultoría, Auditoría y Outsourcing en el ámbito de la Ley Orgánica ...ver perfil

Archivo del blog

 
 

Hemos actualizado nuestra Política de Privacidad. Antes de continuar por favor lea nuestra nueva Declaración de Privacidad. Además utilizamos cookies propias y de terceros para mejorar nuestros servicios y poder ofrecerle las mejores opciones mediante el análisis de la navegación. Si continúa navegando, consideramos que acepta su uso. Para más información pulse aquí.   Aceptar