viernes, 29 marzo 2024
Visitas totales a la web: 89522221

El portal de los profesionales de seguridad y emergencias

Nº 1 del mundo en español en seguridad global

Soluciones de seguridad global

Ayuntamientos: obligaciones para cumplir con la normativa de protección de datos

Abogado Senior en Picón y Asociados Abogados. Delegado de Protección de Datos.

Los ayuntamientos prestan una serie de servicios públicos, para los cuales tratan datos de carácter personal de sus ciudadanos

I. Introducción

Los ayuntamientos, como cualquier otra entidad pública, están obligados al cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos -RGPD- (EDL 2016/48900), por el que se deroga la Directiva 95/46/CE (EDL 1995/16021) y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales -LOPDGDD- (EDL 2018/128249) con respecto a los tratamientos de datos de carácter personal que realicen, entendiendo por dato de carácter personal, “toda información sobre una persona física identificada o identificable”. Se considera persona física identificable aquella cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

Asimismo, debe entenderse por tratamiento “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.

Teniendo en cuenta lo anterior, los ayuntamientos prestan una serie de servicios públicos, para los cuales tratan datos de carácter personal de sus ciudadanos. A modo de ejemplo, podemos identificar los siguientes tratamientos de datos que realizan los ayuntamientos: Gestión del padrón municipal de habitantes; subvenciones y ayudas; sanciones; obras y licencias; policía local; gestión de tributos; bolsas de trabajo; recaudación ejecutiva; registro de documentos; cementerio municipal; recursos humanos; biblioteca municipal; servicios sociales; educación infantil; gestión económica, etc.

Los ayuntamientos son responsables del tratamiento de los datos personales que manejen, entendiendo por responsable del tratamiento la «persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento”. Si cuentan con Administración Institucional, es responsable cada uno de los entes que formen parte de la misma respecto a los tratamientos que lleven a cabo.

Por otra parte, hay muchas circunstancias en las que un ayuntamiento contrata con un tercero un servicio que implica que éste pueda acceder a datos de su responsabilidad, por lo que este tercero se configura como encargado del tratamiento, entendiendo por tal “la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos por cuenta del responsable del tratamiento”. Por ejemplo, cuando un ayuntamiento encarga a un tercero la elaboración de las nóminas de su personal, la destrucción de documentación, el control de las cámaras de videovigilancia, gestión del cobro de impuestos o el mantenimiento de los equipos informáticos

Como veremos más adelante (Apartado III, letra I), la relación entre responsable y encargado debe estar regulada mediante la firma de un contrato que recoja todas las exigencias reflejadas en el art. 28 RGPD.

II. Principios

Todos los tratamientos de datos efectuados por los ayuntamientos deben efectuarse respetando, en todo momento, los principios recogidos en el RGPD, a saber:

A) Licitud, lealtad y transparencia

Los datos han de ser tratados de manera lícita, leal y transparente en relación con el interesado. El interesado debe ser previa y claramente informado de qué se va a hacer con sus datos, estando prohibido obtenerlos de manera fraudulenta o mediante engaño. El tratamiento solo es lícito si se cumple al menos una de las siguientes condiciones:

  • El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos.
  • El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales.
  • El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.
  • El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física.
  • El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
  • El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Como se verá más adelante, en el ámbito de los ayuntamientos la base jurídica que legitima los tratamientos es, con carácter general, el cumplimiento de una tarea en interés público o el ejercicio de poderes públicos, así como el cumplimiento de una obligación legal.

B) Limitación de la finalidad

Los datos han de ser recogidos confinesdeterminados, explícitos y legítimos, y no tratados después de manera incompatible con dichos fines. Es decir, los datos recabados para un fin concreto no pueden utilizarse para un fin distinto del inicialmente autorizado.

C) Minimización de datos

Sólo deben tratarse datos personales cuando sea necesario para las finalidades pretendidas y, aun en este caso, sólo deben tratarse los datos absolutamente imprescindibles para ese fin, no más.

Teniendo en cuenta lo anterior y a modo de ejemplo, la LOPDGDD prohíbe el uso conjunto de apellidos, nombre y número completo del documento de identificación oficial de las personas en aquellos actos administrativos que vayan a ser objeto de publicación o notificación por medio de anuncios:

  • Cuando un acto administrativo se deba publicar, se ha de identificar a la persona mediante su nombre y apellidos, añadiendo cuatro cifras numéricas aleatorias de su documento identificativo oficial.
  • Cuando se trate de notificaciones por medio de anuncios, se debe identificar a la persona exclusivamente con el número de su documento identificativo.

En ambos casos, si la persona carece de documento identificativo, se la debe identificar sólo mediante su nombre y apellidos.

D) Exactitud

Los datos deben ser exactos y estarán actualizados; se han de suprimir o rectificar sin dilación los datos inexactos.

E) Limitación del plazo de conservación

Los datos han de ser mantenidos durante no más tiempo del necesario para la finalidad para la que se estén tratando. Cuando los datos dejen de ser necesarios o pertinentes, deben ser suprimidos.

F) Integridad y Confidencialidad

Los datos deben ser tratados de tal manera que se garantice su seguridad, incluida la protección contra el acceso o tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.

G) Responsabilidad proactiva

Se debe ser capaz de demostrar que se cumplen con las obligaciones recogidas en los principios mencionados. Los ayuntamientos han de tener la capacidad de demostrar y proporcionar evidencias de dicho cumplimiento.

La Agencia Española de Protección de Datos -AEPD- ya ha sancionado a ayuntamientos por el incumplimiento de los principios indicados anteriormente. En concreto, el Procedimiento Nº: PS/00376/2019 (EDD 2020/15868) impone una sanción de apercibimiento a un ayuntamiento por incumplimiento del principio de “integridad y confidencialidad”, requiriéndole que actúe de conformidad con dicho principio y con el principio de “limitación de la finalidad”. Adicionalmente, se le requiere para que actualice su Política de Privacidad para informar adecuadamente a los interesados sobre el tratamiento de sus datos personales.

También destaca el PS/00012/2019 (EDD 2020/15715), por el que se sanciona con apercibimiento una vulneración del principio de confidencialidad e integridad en el tratamiento de los datos personales, como consecuencia de la publicación en la sede electrónica del ayuntamiento, en acceso libre a cualquier persona, de las actas de la Junta de Gobierno Local. En las mismas se hacen referencia en el apartado de “personal indefinido, pero no fijo” a sentencias judiciales pendientes de incluir en las ofertas de empleo público, con sus nombres y apellidos.

III. Obligaciones a cumplir por los ayuntamientos

A) Designación de un Delegado de Protección de Datos

El RGPD introduce como obligatoria en el ámbito de las Administraciones Públicas la figura del Delegado de Protección de Datos -DPD-, por lo que los ayuntamientos deben proceder a su designación y comunicar su nombramiento a la AEPD para su inclusión en el Registro público de Delegados de Protección de Datos.

En este punto es importante mencionar el Procedimiento Nº: PS/00001/2020 (EDD 2020/1569) de la AEPD, a través del cual impone la sanción de apercibimiento a un ayuntamiento por carecer de DPD, requiriéndole para que proceda a nombrar uno e informar a dicho organismo de dicho nombramiento.

Tal y como manifiesta la AEPD en el documento denominado Protección de datos y Administración Local. Guías sectoriales AEPD”, en los ayuntamientos con población superior a 20.000 habitantes, atendiendo al volumen de datos tratados, el DPD podría contar con un departamento de apoyo. Por otra parte, en los ayuntamientos con población inferior a 20.000 habitantes, podrían designar su DPD o articularlo a través de las Diputaciones Provinciales o Comunidad Autónoma respectiva.

En el caso de que se designe a secretarios, interventores y tesoreros, podrían actuar como delegados de protección de datos siempre que no exista conflicto de intereses en relación con el ejercicio de sus respectivas funciones en la gestión ordinaria del ente local en cuestión y tengan un conocimiento especializado en protección de datos.

En cualquier caso, las funciones de DPD se pueden externalizar en una empresa privada experta, que actuaría como encargado del tratamiento del ayuntamiento (véase definición de encargado del tratamiento realizada en el apartado Introducción de este artículo).

El DPD debe desempeñar sus tareas y funciones con total independencia. En concreto, el nombramiento del DPD debe respetar las siguientes premisas:

1. Es posible designar un único DPD para un ayuntamiento. No obstante, no parece aconsejable que ese único DPD actúe respecto de grandes unidades u órganos con entidad y tareas claramente diferenciadas, por mucho que orgánicamente puedan depender de un ayuntamiento.

Dadas las funciones del DPD, su adscripción dentro de la estructura del ayuntamiento debe hacerse a órganos o unidades con competencias y funciones de carácter horizontal.

2. El DPD puede desarrollar su actividad a tiempo completo o a tiempo parcial y también puede formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.

En un ayuntamiento de gran tamaño en que exista un único DPD lo habitual es que desempeñe sus funciones a tiempo completo. En ayuntamientos de menor tamaño será posible que el DPD compagine sus funciones con otras. Si éste es el caso, debe tenerse en cuenta la necesidad de evitar conflictos de intereses entre las diversas ocupaciones. El DPD actúa como asesor y supervisor interno, por lo que ese puesto no puede ser ocupado por personas que, a la vez, tengan tareas que impliquen decisiones sobre la existencia de tratamientos de datos o sobre el modo en que van a ser tratados los datos (p.ej.: responsables de seguridad de la información).

3. La posición del DPD debe conllevar:

  • La participación de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
  • Recibir el apoyo del responsable o encargado, que deberán facilitarle los recursos necesarios para el desempeño de sus funciones.
  • No recibir ninguna instrucción en lo que respecta al desempeño de dichas funciones y no ser destituido ni sancionado por el responsable o el encargado por causas relacionadas con ese desempeño de funciones.
  • Rendir cuentas directamente al más alto nivel jerárquico del responsable o encargado. Esta característica debe interpretarse en el sentido de que el DPD debe poder relacionarse con niveles jerárquicos que tengan la capacidad de adoptar o promover decisiones basadas en las recomendaciones, propuestas o evaluaciones que realice el DPD.

4. El DPD debe ser designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar sus funciones. Teniendo en cuenta lo anterior, no se puede nombrar como DPD a una persona que carezca de la formación y conocimientos pertinentes en materia de protección de datos de carácter personal.Lo anterior excluye la práctica de designar como DPD a personal sin formación adecuada en protección de datos.

El RGPD señala entre las funciones del DPD las de:

  • Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del RGPD y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
  • Supervisar el cumplimiento de lo dispuesto en el RGPD, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales.

Estas funciones genéricas del DPD se pueden concretar en tareas de asesoramiento y supervisión en las siguientes áreas:

  • Cumplimiento de principios relativos al tratamiento, como los de limitación de finalidad, minimización o exactitud de los datos.
  • Identificación de las bases jurídicas de los tratamientos.
  • Valoración de compatibilidad de finalidades distintas de las que originaron la recogida inicial de los datos.
  • Existencia de normativa sectorial que pueda determinar condiciones de tratamiento específicas distintas de las establecidas por la normativa general de protección de datos.
  • Diseño e implantación de medidas de información a los afectados por los tratamientos de datos.
  • Establecimiento de mecanismos de recepción y gestión de las solicitudes de ejercicio de derechos por parte de los interesados.
  • Valoración de las solicitudes de ejercicio de derechos por parte de los interesados.
  • Contratación de encargados de tratamiento, incluido el contenido de los contratos o actos jurídicos que regulen la relación responsable-encargado.
  • Identificación de los instrumentos de transferencia internacional de datos adecuados a las necesidades y características de la organización y de las razones que justifiquen la transferencia.
  • Diseño e implantación de políticas de protección de datos.
  • Establecimiento y gestión de los registros de actividades de tratamiento.
  • Análisis de riesgo de los tratamientos realizados.
  • Implantación de las medidas de protección de datos desde el diseño y protección de datos por defecto adecuadas a los riesgos y naturaleza de los tratamientos.
  • Implantación de las medidas de seguridad adecuadas a los riesgos y naturaleza de los tratamientos.
  • Establecimiento de procedimientos de gestión de violaciones de seguridad de los datos, incluida la evaluación del riesgo para los derechos y libertades de los afectados y los procedimientos de notificación a las autoridades de supervisión y a los afectados.
  • Determinación de la necesidad de realización de evaluaciones de impacto sobre la protección de datos.
  • Realización de evaluaciones de impacto sobre la protección de datos.
  • Relaciones con las autoridades de control.
  • Implantación de programas de formación y sensibilización del personal en materia de protección de datos.

El DPD debe recibir las reclamaciones que les dirijan los ciudadanos, cuando opten por esta vía antes de plantear una reclamación ante la AEPD, y comunicar la decisión adoptada al afectado en el plazo máximo de dos meses. Asimismo, el DPD debe recibir las reclamaciones que la AEPD decida trasladarle con carácter previo al inicio de un expediente sancionador. El DPD debe comunicar la decisión adoptada al afectado y a la AEPD en el plazo máximo de un mes. De esta forma, con carácter general, si el DPD consigue que el responsable resuelva por cualquiera de estas dos vías la reclamación, y sin perjuicio de que el interesado posteriormente se dirija a la AEPD, no se iniciaría expediente de declaración de infracción al ayuntamiento correspondiente.

En cualquier caso, el DPD no tiene responsabilidad a título personal por las posibles infracciones en materia de protección de datos cometidas por su organización.

B) Elaborar el Registro de Actividades de tratamiento (RAT)

Como ya es sabido por todos, con el RGPDdesaparece la obligación de notificar la inscripción de ficheros en el Registro de Ficheros de la AEPD, o registro de la autoridad autonómica competente, considerándose como sustituto de dicha obligación el deber de implementar el Registro de Actividades de Tratamiento recogido en el RGPD.

Los ayuntamientos deben mantener este Registro de Actividades de Tratamiento por escrito, incluso en formato electrónico, en el que se incluya una descripción de los tratamientos de datos que realicen conforme a lo estipulado en el art. 30 RGPD.

Cuando el ayuntamiento actúa como responsable del tratamiento, debe incluirse la siguiente información en su RAT:

a) nombre y datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos.

b) fines del tratamiento.

c) descripción de las categorías de interesados y de las categorías de datos personales.

d) categorías de destinatarios a quienes se comunicarán los datos personales.

e) En su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el art. 49.1, párrafo 2º, del RGPD, la documentación de garantías adecuadas.

f) plazos previstos para la supresión de las diferentes categorías de datos.

g) descripción general de las medidas técnicas y organizativas de seguridad.

Cuando el ayuntamiento actúa como encargado del tratamiento, debe incluirse la siguiente información en su RAT:

a) nombre y los datos de contacto del encargado y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos.

b) categorías de tratamientos efectuados por cuenta de cada responsable.

c) En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el art. 49.1, párrafo 2º, del RGPD, la documentación de garantías adecuadas.

d) descripción general de las medidas técnicas y organizativas de seguridad.

La implementación de este registro obliga a inventariar todos los tratamientos que esté realizando cada ayuntamiento (en el apartado Introducción de este artículo se reflejaban una serie de ejemplos de tratamientos responsabilidad de los ayuntamientos que deben incorporarse a este RAT).

Este registro debe conservarse internamente por el ayuntamiento, quedando a disposición de la autoridad de control si lo solicitase.

Adicionalmente, con la LOPDGDD, se debe publicar en la página web de los ayuntamientos su Registro de Actividades de Tratamiento, incluyendo la base legal de cada tratamiento.

C) Analizar las bases jurídicas de los tratamientos

El RGPDdiseña un sistema de legitimación basado en seis bases jurídicas que no mantienen entre sí ninguna relación de prioridad o prelación. Solo es lícito el tratamiento de datos personales si se cumple al menos una de ellas:

  • El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos.
  • El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales.
  • El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.
  • El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física.
  • El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
  • El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Para el ámbito de los ayuntamientos, la mayoría de los tratamientos de datos que realizan como consecuencia de los servicios públicos que prestan, se fundamentan en una de las siguientes bases legitimadoras:

  • El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.
  • El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

En ambos casos, debe existir una previsión normativa con rango de ley que regule o ampare el tratamiento de los datos.

A modo de ejemplo de bases legitimadoras para los tratamientos de datos personales llevados a cabo por un ayuntamiento, en virtud del inventario recogido en su Registro de Actividades de Tratamiento, se pueden indicar los siguientes:

  • Tratamiento de datos del Padrón Municipal: Ley de Bases de Régimen Local (EDL 1985/8184).
  • Tratamiento de datos de los impuestos municipales: Texto Refundido de la Ley reguladora de las Haciendas Locales (EDL 2004/2992).
  • Tratamiento de datos de recursos humanos: normativa de función pública aplicable.

En los casos en que la base jurídica de los tratamientos sea el consentimiento, éste debe tener las características previstas por el RGPD, que exige que sea informado, libre, específico y otorgado por los afectados. Este consentimiento debe ser “inequívoco”, lo que supone que se preste mediante una manifestación del afectado o mediante una clara acción afirmativa, lo que invalida el consentimiento tácito.

Así, no se consideran formas válidas de obtener el consentimiento el uso de casillas ya marcadas o la inacción. En cambio, sí son acordes al RGPD, la utilización de una declaración por escrito, o la marcación de casillas en un sitio web de Internet.

A modo de ejemplo de tratamientos de un ayuntamiento fundamentados en el consentimiento, podemos destacar los siguientes:

  • La suscripción, a través de un servicio ofrecido por un ayuntamiento en su página web, para recibir comunicaciones referidas a las actividades culturales.
  • La inscripción en una bolsa de trabajo.

En relación con el consentimiento, los ayuntamientos pueden verificar, sin necesidad de solicitar el consentimiento del interesado, la exactitud de los datos personales manifestados por los ciudadanos que obren en poder de los órganos y organismos del Sector Público.

Adicionalmente, ya la Ley 30/1992 (EDL 2015/166690) reconocía a los administrados el derecho a no aportar a los procedimientos administrativos los documentos que obrasen en poder de la Administración, o que hubiesen sido elaborados por ésta. La base jurídica del tratamiento de los datos personales por la Administración era el consentimiento del administrado, que se entendía tácitamente concedido si el interesado no se oponía expresamente.

Tanto el RGPD como la LOPDGDD eliminan la necesidad de recabar el consentimiento del ciudadano, al establecer como base jurídica legitimadora principal del tratamiento de datos personales por órganos y organismos del Sector Público el cumplimiento de una misión en interés público o, particularmente, el ejercicio de poderes públicos. Asimismo, la nueva redacción otorgada por la LOPDGDD reconoce al interesado la posibilidad de oponerse a que órganos y organismos del Sector Público consulten o recaben los citados documentos, pero en ese caso el administrado debe aportarlos necesariamente para que la Administración pueda conocer que concurren en él los requisitos establecidos por la norma. En caso contrario, no podrán estimar su solicitud, precisamente porque no habría demostrado los requisitos requeridos.

En todo caso, dicho derecho de oposición no juega en los casos de potestades de verificación o inspección.

Es importante destacar que la LOPDGDD establece que la base legitimadora del tratamiento de datos personales que realizan los registros de personal del sector público es el ejercicio de potestades públicas. Estos registros pueden tratar los datos personales que sean estrictamente necesarios para el cumplimiento de sus fines relativos a infracciones y condenas penales e infracciones y sanciones administrativas, de los que deberán ser informados de manera expresa, clara e inequívoca.

Por último, el tratamiento de categorías especiales de datos, que incluyen, entre otros, los datos sobre salud, ideología, religión o pertenencia étnica está, con carácter general, prohibido, y sólo puede llevarse a cabo si es aplicable alguna de las excepciones previstas en el art. 9.2 RGPD, junto con una de las bases legitimadoras indicadas. Entre ellas pueden destacarse, a los efectos de los ayuntamientos, que el tratamiento sea necesario para satisfacer un interés público esencial, el que sea necesario para fines de prevención, asistencia sanitaria o salud pública, o que sea necesario para la gestión de los servicios de asistencia social, en todos los casos en los términos que establezca la legislación española o de la Unión Europea.

D) Efectuar un análisis de riesgos

El RGPD hace depender la aplicación de todas las medidas de cumplimiento que prevé para responsables y encargados de un previo análisis de riesgos en el tratamiento de datos personales. Por ello, todo tratamiento, tanto los ya existentes como los que se pretenda iniciar, deben ser objeto de un análisis de riesgos. Del resultado de dicho análisis de riesgos se determinarán las medidas de seguridad que deben aplicarse.

El análisis de riesgos es un estudio metódico y sistemático en el que se utilizan métricas que ayudan a cuantificar comprensivamente el grado de riesgo. Para llevar a cabo este estudio es necesario utilizar una metodología que nos ayude a trazar los niveles de riesgo aceptables en cada caso, ya que sin la ayuda de una metodología no podrá realizarse un análisis de riesgo de forma objetiva. En el contexto de las AAPP se dispone de metodologías de análisis de riesgos focalizadas principalmente en la seguridad de la información. Esas metodologías deben ampliarse para incluir riesgos asociados al incumplimiento de las disposiciones del RGPD.

En los ayuntamientos con población inferior a 20.000 habitantes el análisis de riesgo podría llevarse a cabo con el soporte de la correspondiente Diputación Provincial. Para facilitar el análisis de riesgo se pueden utilizar las guías y herramientas habilitadas por la AEPD, así como las herramientas de análisis de riesgos proporcionadas por el Centro Criptológico Nacional o una herramienta que incorpore una metodología de análisis de riesgo de reconocido prestigio (PILAR).

El RGPDno establece una relación concreta de medidas de seguridad a aplicar, como sí hacía el Real Decreto 1720/2007 (EDL 2007/241465), por lo que corresponde al ayuntamiento determinar aquellas medidas de seguridad que son necesarias para garantizar la confidencialidad, la integridad y la disponibilidad de los datos personales en función de los riesgos detectados.

En cualquier caso, en los ayuntamientos deben aplicarse las medidas de seguridad establecidas en el Esquema Nacional de Seguridad, por lo que se deberán cumplir las obligaciones indicadas en el mismo.

Conforme a lo anterior, cabe destacar el Procedimiento Nº: PS/00365/2018 de la AEPD (EDD 2019/43923) por el que se sanciona con apercibimiento a un ayuntamiento que no aplica las medidas técnicas y organizativas necesarias para garantizar un nivel de seguridad adecuado que impida la vulneración del principio de confidencialidad en el tratamiento de datos personales de los ciudadanos que son atendidos en despachos y espacios de uso compartido.

E) Gestionar y notificar las quiebras de seguridad

Cuando se produzca una quiebra de seguridad, entendida por tal la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos, el ayuntamiento que la sufra debe registrarla internamente.

Adicionalmente, si dicha brecha de seguridad ha supuesto un riesgo para los derechos y libertades de las personas físicas, debe notificarlo a la AEPD, en un plazo máximo de 72 horas, incluyendo, como mínimo, la siguiente información:

a) Descripción la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.

b) Comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.

c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.

d) Descripción de las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Adicionalmente, se debe comunicar la brecha de seguridad a las personas afectadas (sin dilación indebida) siempre y cuando suponga un alto riesgo para los derechos y libertades de las personas. No obstante, no es necesaria esta comunicación a los afectados si:

  • Se han adoptado y aplicado medidas sobre los datos personales afectados, particularmente aquellas que hagan ininteligibles los datos para cualquier persona que no esté autorizada a acceder ellos (por ejemplo: se han cifrado los datos personales).
  • El ayuntamiento ha adoptado medidas ulteriores que garanticen que ya no existe un alto riesgo para los derechos y libertades.
  • Que esta comunicación implique un esfuerzo desproporcionado, optándose por una comunicación pública o medida semejante por la que se informe de forma efectiva a los afectados.

Para poder determinar cuándo una violación de seguridad supone un riesgo o un alto riesgo para los derechos y libertades de las personales, la AEPD ha publicado sendos comunicados y guías.

En concreto, se puede destacar el documento denominado Guía para la gestión y notificación de brechas de seguridad. En el Anexo III de este documento se publica un ejemplo orientativo para la toma de decisiones relacionada con la notificación de brechas de seguridad a la autoridad de control o a los afectados. El ejemplo parte de un modelo de tres parámetros: volumen, tipología de datos e impacto:

VOLUMEN (números de registros completos e identificativos)

  • Menos de 100 registros (1)
  • Más 1.000 (2)
  • Entre 1.000 y 100.000 (3)
  • Más de 100.000 (4)
  • Más de 1.000.000 (5)

TIPOLOGÍA DE DATOS (Según GDPR y Sector)

  • Datos no sensibles (x1)
  • Datos sensibles (x2)

IMPACTO (EXPOSICIÓN)

  • Nulo (2)
  • Interno (dentro de la empresa – controlado) – (4)
  • Externo (Perímetro proveedor, atacante) – (6)
  • Pública (Accesible en Internet) – (8)
  • Desconocido (10)

El cálculo del posible riesgo se podría obtener de la siguiente forma: Riesgo = P x I Riesgo = P (Volumen) x Impacto (Tipología x Impacto) Ejemplo Fuga masiva pública: 5 x (2×10) = 100%

Una posible política de notificación de brechas a la Autoridad de Control sería la de notificar cualquier brecha que cumpla simultáneamente las siguientes circunstancias:

  • Riesgo con valor cuantitativo en un umbral superior a 20 (más o menos).
  • Ante la coincidencia de dos circunstancias cualitativas (marcadas en rojo).

Se podría recomendar comunicar a los interesados cualquier brecha que cumpla simultáneamente las siguientes circunstancias:

  • Riesgo con valor cuantitativo superior a 40 (más o menos).
  • Ante la coincidencia de dos circunstancias cualitativas (marcadas en rojo).

Lo anterior sin perjuicio de las medidas que establece el Esquema Nacional de Seguridad para notificación y registro de violaciones de seguridad.

F) Realizar evaluación de impacto si el tratamiento es de alto riesgo y, en su caso, consultar previamente a la autoridad de control

El RGPD establece que, con anterioridad a su puesta en marcha, los tratamientos que sea probable que supongan un alto riesgo para los derechos y libertades de los afectados deberán ser objeto de una Evaluación de Impacto sobre la Protección de Datos -EIPD-. El RGPD determina algunos de los casos en que se presume que existe ese alto riesgo:

  • Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
  • Tratamiento a gran escala de las categorías especiales de datos a que se refiere el art. 9.1 RGPD o de los datos personales relativos a condenas e infracciones penales a que se refiere el art. 10.
  • Observación sistemática a gran escala de una zona de acceso público.

Adicionalmente, la AEPD publicó el documento denominado “Listas de tipos de tratamientos de datos que requieren evaluación de impacto relativa a protección de datos (art 35.4). Con base en este documento, es necesario realizar una EIPD en la mayoría de los casos en los que un tratamiento cumpla con dos o más criterios de la lista expuesta en el documento referenciado, salvo que el tratamiento se encuentre en la lista de tratamientos que no requieren EIPD a la que se refiere en el art. 35.5 RGPD, lista que también ha publicado la AEPD. Cuantos más criterios reúna el tratamiento en cuestión, mayor será el riesgo que entrañe dicho tratamiento y mayor será la certeza de la necesidad de realizar una EIPD. Esta lista se basa en los criterios establecidos por el Grupo de Trabajo del art. 29 en la guía WP248 “Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del RGPD”, los complementa y debe entenderse como una lista no exhaustiva.

En el caso de tratamientos basados en la consecución de fines de interés público o vinculados al ejercicio de poderes públicos, el RGPD prevé que pueda no llevarse a cabo la Evaluación de Impacto, pese a tratarse de tratamientos de alto riesgo, cuando la norma de base regule la operación o conjunto de operaciones de tratamiento y ya se haya realizado una evaluación de impacto relativa a la protección de datos como parte de una evaluación de impacto general en el contexto de la adopción de esa norma de base.

La EIPD es una herramienta con carácter preventivo que debe realizar el ayuntamiento para poder identificar, evaluar y gestionar los riesgos a los que están expuestas sus actividades de tratamiento con el objetivo de garantizar los derechos y libertades de las personas físicas. En la práctica, la EIPD permite determinar el nivel de riesgo que entraña un tratamiento, con el objetivo de establecer las medidas de control más adecuadas para reducir el mismo hasta un nivel considerado aceptable. Si se trata de operaciones similares que supongan riesgos similares, se podrá realizar una única evaluación.

En el supuesto de que, una vez efectuada la Evaluación de Impacto, el riesgo existente en el tratamiento de los datos siga siendo alto, porque, por ejemplo, no se pueden adoptar medidas para mitigarlo, se debe formular consulta a la AEPD, para que este organismo asesore al ayuntamiento sobre la forma de proceder.

En cualquier caso, la AEPD ha publicado una Guía y herramientas para poder efectuar esta Evaluación de Impacto, así como un modelo de Evaluación de Impacto que podrán utilizar las Administraciones Públicas.

G) Cumplir con el deber de informar a los interesados sobre el tratamiento de sus datos personales

Siempre que se recaben datos personales, el responsable del tratamiento debe informar al interesado de los extremos indicados a continuación, para lo cual es necesario adecuar los formularios que se estén utilizando actualmente en los ayuntamientos para recabar información de los ciudadanos:

  • Los datos de contacto del ayuntamiento y del Delegado de Protección de Datos.
  • Los fines y la base jurídica del tratamiento.
  • Los destinarios de los datos.
  • El plazo o criterios de conservación de la información.
  • La existencia de decisiones automatizadas o elaboración de perfiles.
  • La previsión de transferencias de datos a terceros países.
  • Si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos.
  • Cuando el tratamiento esté basado en el consentimiento, la existencia del derecho a retirar el mismo en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.
  • La existencia a solicitar los derechos que el RGPD reconoce a los ciudadanos.
  • El derecho a presentar una reclamación ante las autoridades de control.

Si los datos no han sido obtenidos del propio afectado, adicionalmente se le debe informar de los siguientes puntos:

  • El origen de los datos.
  • Las categorías de los datos.

La información se ha de proporcionar de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Para ello, el art. 11 LOPDGDD ofrece la posibilidad de informar a través de un sistema de capas. En concreto, este deber de información por capas consiste en facilitar al afectado una primera información básica, junto con la forma de acceder a la restante información. La información en primera capa debe contener, al menos:

a) La identidad del ayuntamiento y de su representante, en su caso.

b) La finalidad del tratamiento.

c) La posibilidad de ejercer los derechos establecidos en el RGPD.

Cuando los datos personales no hayan sido obtenidos del afectado, la información básica ha de contener, adicionalmente, la siguiente información:

a) Las categorías de datos objeto de tratamiento.

b) Las fuentes de las que procedieran los datos.

En el caso de que los datos no se hayan obtenido del propio afectado, el ayuntamiento debe informar a las personas interesadas dentro de un plazo razonable, pero, en cualquier caso:

  • Antes de un mes desde que se obtuvieron los datos personales.
  • Antes o en la primera comunicación con el afectado.
  • Antes de que los datos, en su caso, se hayan comunicado a otros destinatarios.

No es necesario cumplir con el deber de informar indicado en el párrafo anterior siempre y cuando:

a) El interesado ya disponga de la información.

b) La comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado o en la medida en que la obligación de informar pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento. En tales casos, el responsable adoptará medidas adecuadas para proteger los derechos, libertades e intereses legítimos del interesado, inclusive haciendo pública la información.

c) La obtención o la comunicación esté expresamente establecida por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca medidas adecuadas para proteger los intereses legítimos del interesado.

d) Cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por el Derecho de la Unión o de los Estados miembros, incluida una obligación de secreto de naturaleza estatutaria.

Esta obligación de informar se debe cumplir sin necesidad de requerimiento alguno y el responsable debe poder acreditar con posterioridad que ha sido satisfecha.

Lea aquí el experto completo

Fecha de publicaciónjulio 23, 2020

BELT.ES no se hace responsable de las opiniones de los artículos reproducidos en nuestra Revista de Prensa, ni hace necesariamente suyas las opiniones y criterios expresados. La difusión de la información reproducida se realiza sin fines comerciales. 

Listado de Expertos

Recomendado

Profesión militar: Obediencia debida frente a la obligación de disentir

Con ocasión de la realización de estudios en el Instituto Universitario Gutiérrez Mellado tuve la ocasión de leer y analizar una serie de documentos de opinión que trataban en profundidad las diferentes facetas presentes en el campo de las relaciones cívico-militares; temas que , habitualmente, no han estado presentes en los diferentes cursos y actividades formativas en la enseñanza militar, ni, por supuesto, en la civil.

El amor de Macarena Olona por la Guardia Civil empieza por su pareja, un joven oficial condecorado

El padre de su hijo llegó a la Benemérita como militar de carrera y, los que le...

La artillería ‘made in USA’ comprada por Marruecos que deja fuera de juego a España

El país magrebí sigue reforzando sus fuerzas armadas a golpe de talonario, y no lo hace de...

Últimas noticias

La empresa privada que investiga el incendio de Valencia avisa sobre los peligros de las fachadas ventiladas

Se trata de Synthesis, la misma que indagó sobre el colapso de la Torre Windsor de Madrid,...

Lecciones del incendio de Valencia

El reciente incendio del edificio de Valencia ha hecho que se ponga el foco de atención en este tipo de riesgos, y en las medidas preventivas y reactivas para la protección frente a ellos.

El país más bello y triste jamás inventado

David Jiménez retrata el mundo de los reporteros en la novela 'El Corresponsal', inspirada en hechos reales y ambientada en el totalitarismo...

¿Sabes cuáles son las diferencias entre la Guardia Civil de la Policía Nacional?

Ambos cuerpos se dedican -en esencia- a velar por la protección de los ciudadanos. Sin embargo, cada uno de ellos tiene unas...

No volverás a hinchar las ruedas en la gasolinera: el milagro de Amazon para tener tu coche a punto

Salir de viaje en coche, implica que nos aseguremos que nuestro vehículo está en perfectas condiciones, incluso si...