LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

29/03/2024. 11:30:05

LegalToday

Por y para profesionales del Derecho

Blog PRODAT

El Reglamento General de Protección de Datos y las Administraciones Públicas

Abogada TIC y Protección de Datos. Directora de Prodat en Castilla y León

Protección Datos

Desde que se aprobó definitivamente el Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en adelante RGPD, se ha hablado largo y tendido, y lo que nos queda todavía, sobre la nuevas implicaciones teóricas y sobre todo prácticas que conlleva la aplicación del RGPD.

Si bien es cierto que, al igual que la normativa actual en la materia, el RGPD establece obligaciones tanto a entidades privadas como a entidades públicas, tengo la sensación, de que nos hemos centrado más en el análisis del Reglamento respecto de las empresas privadas.

Es por ello y a raíz de la publicación, por parte de la Agencia Española de Protección de Datos (AEPD), de dos documentos que identifican las obligaciones del Reglamento de Protección de Datos para las AAPP, cuando me ha parecido interesante ahondar más en las nuevas obligaciones que deberán asumir las autoridades u organismos públicos, como las denomina el propio Reglamento.

Comenzando por el principio, en mi opinión, lo primero que habría que determinar, máxime cuando el propio RGPD no lo define,  es qué debemos entender por autoridad u organismos públicos en España:

El Grupo de Trabajo del Artículo 29 (GT29), en sus Directrices sobre los delegados de protección de datos, indica que la noción de autoridad u organismos públicos, deberá determinarse según la legislación de cada país, donde además de autoridades y organismos públicos nacionales, regionales y locales se pueden incluir otros organismos regidos por el derecho público. Todo ello teniendo presente que una tarea pública se puede llevar a cabo, y la autoridad pública se puede ejercer también por personas físicas o jurídicas regidas por el derecho público o privado, en sectores tales como, servicio de transporte público, el suministro de agua y energía, la infraestructura viaria, la radiodifusión pública o los organismos disciplinarios para las profesiones regladas (ej. Colegios Profesionales).

En España y para afinar más en el concepto de organismo público, voy a acudir a la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, donde en su artículo 88 indica que "Son organismos públicos dependientes o vinculados a la Administración General del Estado, bien directamente o bien a través de otro organismo público, los creados para la realización de actividades administrativas, sean de fomento, prestación o de gestión de servicios públicos o de producción de bienes de interés público susceptibles de contraprestación; actividades de contenido económico reservadas a las Administraciones Públicas; así como la supervisión o regulación de sectores económicos, y cuyas características justifiquen su organización en régimen de descentralización funcional o de independencia".

En la práctica, identificar este tipo de organismos públicos que se rigen por derecho público, no supone mayor dificultad. Por el contrario, y así lo he podido comprobar en mis años de profesión, el determinar claramente qué obligaciones en materia de protección de datos deben asumir las denominadas entidades públicas empresariales, las cuales son entidades de Derecho público, con personalidad jurídica propia pero se rigen por derecho privado (artículos 103 y SS Ley 40/2015), no es para nada baladí. Y más aún con la aparición en el RGPD del Delegado de Protección de Datos.

Volviendo al RGPD,  está más que asumido que las autoridades u organismos públicos (AAPP), son responsables de los datos de carácter personal que tratan, pero incluso en algunas ocasiones pueden actuar también como encargados, por lo que no hay duda de que las previsiones del RGPD le afectan.

¿De qué manera?, por seguir el esquema desarrollado por la AEPD en los documentos mencionados, analicemos algunos de los principales puntos de impacto del RGPD, así como otros no mencionados:

    1. Necesidad de identificar las finalidades y la base jurídica de los tratamientos, una primera parte que no es nueva, y una segunda que se refuerza con el deber de las AAPP de informar a los interesados tanto de las finalidades como la base jurídica que fundamenta los tratamientos. Aunque esto nos lleve a pensar que las AAPP se van escudar en el interés público o el ejercicio de poderes públicos, y que con eso "van servidas", no deben olvidar lo siguiente:

      a. Que el interés público y ejercicio de poderes deben estar establecidos en una norma de rango de ley, y nos deberán de informar en cuál.

      b. Que en muchas ocasiones necesitarán el consentimiento libre, específico y mediante acción afirmativa de los interesados, no siendo válido el consentimiento tácito.

    2. Adecuar la información que se ofrece a los interesados, esto significa que las AAPP deben modificar los documentos que actualmente utilicen para la recogida de datos y adaptarlas al principio de información del RGPD.

    En este punto, así como para el correcto establecimiento de mecanismos para el ejercicio de derechos, los medios electrónicos de las AAPP les pueden resultar de gran ayuda y creo que sería acertado orientar sus esfuerzos en este sentido.

    3. Necesidad de valorar si los encargados de tratamiento (ET) con los que vayan a operar ofrecen garantías de cumplimiento RGPD, a este respecto se supone que las AAPP tienen también la obligación de diligencia debida aplicada a la elección de los ET, contratando únicamente aquellos que estén en condiciones de cumplir con el RGPD.

    Pero, ¿quién no ha conseguido o perdido contratos con la administración donde el  principal, por no decir el único, criterio establecido por la misma, para la adjudicación, era la presentación de la oferta más económica?.

    4. Adecuación de los contratos de encargo, como bien indica la AEPD en el caso de las AAPP, y puesto que el RGPD lo habilita, es frecuente que el encargo de tratamiento se establezca mediante actos jurídicos, son en estos donde se deberá recoger el contenido mínimo exigido por el RGPD, que a su vez, es más amplio que el actualmente previsto en la normativa española de protección de datos (art.12 LOPD).

    5. Deberán realizar un análisis de riesgo, ampliando los focalizados actualmente a la seguridad de la información para incluir riesgos asociados al incumplimiento de las disposiciones del RGPD. Además y a la luz de los resultados del análisis de riesgo,  deberán revisar las medidas de seguridad. En el caso de las AAPP la aplicación de las medidas estará marcada por los criterios establecidos en el Esquema Nacional de Seguridad (ENS).RGPD y ENS de la mano.

    6. Establecer un Registro de Actividades de Tratamiento, ya que independientemente que se tenga obligación o no de tenerlo, si no se identifican los tratamientos difícilmente se podrán realizar los análisis de riesgos, obtener los consentimientos e implementar las cláusulas informativas.

    7.    Valorar la necesidad de realizar una Evaluación de Impacto, en este caso se establece que ante tratamientos basados en la consecución de fines de interés público, recordemos lo indicado en el punto 1, el RGPD posibilita bajo determinados requisitos y supuestos que no se realice la EIPD, aunque sean tratamientos de alto riesgo.

    8. Obligación de designar un Delegado de Protección de Datos (DPD), el RGPD indica que todas las autoridades u organismos públicos nombrarán un DPD. Motivo por el cual creo que es importante saber definir cuando estamos ante una autoridad u organismo público.

    Uno de los dos documentos publicados por la AEPD, se centra en el DPD en las AAPP, donde me parece interesante resaltar lo siguiente:

      a. Se podrá designar un único DPD para varias autoridades u organismos, por ejemplo un ministerio, consejería o ayuntamiento.

      b. El DPD podrá desarrollar su actividad a tiempo completo o parcial.

      c. El DPD podrá formar parte de la plantilla del responsable o del encargado  o desempeñar sus funciones en el marco de un contrato de servicios.

Es decir, el RGPD no indica que el  DPD obligatorio en todas las AAPP deba ser lo que conocemos como funcionario de carrera,  sino que ofrece la posibilidad de que se contraten externamente las funciones de DPD, algo que, por otro lado,  ayudará a evitar conflictos de intereses dentro de la organización.

Por último la AEPD, en su novena sesión abierta, indicó que las AAPP deben de ir decidiendo ya quién va a ocupar el puesto de DPD.

Termino mi exposición con una pregunta:

Las sanciones, ¿qué dice el RGPD de las sanciones a las autoridades y organismos de públicos?

Pues poca cosa, la verdad, en el artículo 83.7 indica que "cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos (…)".

En el caso de España, ¿debemos de entender que será en la nueva LOPD, actualmente en tramitación, donde se indique el régimen sancionador para las AAPP españolas?.¿Será un régimen diferente al actual LOPD?.

Para decepción de muchos de los presentes en la última sesión abierta de la AEPD, hasta mayo de 2018 no está prevista la aprobación de la nueva norma, por lo que toca  esperar a tener acceso al anteproyecto de la Ley para comprobar que se indica al respecto.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.

Blog

Logo PRODAT

Te recomiendo

Correo electrónico: info@prodat.es
Web: www.prodat.es

PRODAT es una organización especializada en servicios de Consultoría, Auditoría y Outsourcing en el ámbito de la Ley Orgánica de protección de datos de carácter personal (LOPD), Reglamento 2016/679 general de protección de datos de la Unión Europea, ISO 27001, Ley de servicios de la sociedad de la información y del comercio electrónico y Compliance.

PRODAT opera en todo el territorio nacional a través de una red de 20 oficinas y en la actualidad cuenta con más de 40 consultores que utilizan las mismas metodologías y herramientas informáticas.

Fundada en 1997, en la actualidad es una organización firmemente asentada en el mercado.