Protección de datos en Administraciones Públicas: ¿Qué obligaciones deben cumplir?

Autor: Dudatis.com

Protección de datos en Administraciones Públicas: ¿Qué obligaciones deben cumplir?

La entrada en vigor del RGPD y la LOPDGDD ha traído consigo nuevas exigencias en relación a la protección y tratamiento de datos personales. Dichos requisitos se hacen extensibles tanto a las empresas privadas como al sector público. En este artículo veremos todo lo relativo a la protección de datos en Administraciones Públicas. Exploraremos las condiciones que deben cumplir para adecuarse a la normativa y cómo deben cumplir el RGPD las Administraciones públicas. También abordaremos los derechos de los ciudadanos y las preguntas frecuentes que surgen en este ámbito legal.

¿Cómo deben cumplir el RGPD las Administraciones públicas?

En el ejercicio de una gran cantidad de actividades, las Administraciones públicas actúan tanto como responsables como encargados del tratamiento. Por tanto, estas actuaciones estarán afectadas por el RGPD y deben cumplir con sus requisitos. Algunos ejemplos de tratamientos de datos por parte de la Administración pública incluyen la imposición de multas, cobro de impuestos, gestión del padrón municipal de habitantes, concesión de ayudas sociales o subvenciones, entre otros.

Como regla general, la protección de datos de carácter personal en el ámbito de las Administraciones Públicas para cumplir el RGPD y la LOPDGDD tendrá las mismas obligaciones que para el resto de empresas y entidades privadas. Sin embargo, en ciertos ámbitos, esas obligaciones son diferentes.

Las obligaciones de las Administraciones públicas para cumplir el RGPD y la LOPDGDD son las siguientes:

Garantizar a los ciudadanos el ejercicio de sus derechos

Una de las principales novedades introducidas por el RGPD respecto a la protección de datos en las Administraciones Públicas es la ampliación de los tradicionales derechos ARCO (acceso, rectificación, cancelación y oposición). A estos se añaden nuevos derechos como el derecho a la portabilidad, el derecho al olvido y el derecho de limitación del tratamiento. Las Administraciones públicas deben establecer medios electrónicos para facilitar a los ciudadanos el ejercicio de estos derechos.

Adaptar los formularios y trámites en la recogida de datos

Para cumplir con la protección de datos en entidades públicas, las distintas Administraciones públicas deben adaptar la información que se facilita a los interesados y las políticas de privacidad en sus formularios, trámites y documentos. Además, deben incluir información sobre la base de legitimación para el tratamiento, los datos de contacto del DPO, criterios y plazos de conservación de los datos, entre otros.

Solicitar el consentimiento expreso

Con la nueva normativa se introducen mayores exigencias en la obtención del consentimiento. El consentimiento debe ser verificable y demostrable, y debe ser libre, informado, inequívoco y específico. Debe existir una clara acción afirmativa por parte de los interesados.

Adaptar las relaciones con los encargados del tratamiento

La protección de datos en las Administraciones Públicas requiere la aplicación de medidas organizativas que garanticen su cumplimiento. Para ello, es importante establecer las relaciones con los encargados del tratamiento a través de contratos que indiquen la naturaleza, objeto, finalidad y duración del tratamiento, los derechos y obligaciones del encargado del tratamiento, entre otros.

Nombrar un Delegado de Protección de Datos

Entre los supuestos recogidos por el RGPD en los que es necesaria la designación de un DPO están los tratamientos realizados por un organismo o autoridad pública. Por tanto, todas las Administraciones públicas deben nombrar un DPO. El DPO puede ser interno o externo, y debe tener conocimientos especializados del Derecho y práctica en materia de Protección de datos.

Realizar un Registro de Actividades de tratamiento

En lugar de la inscripción de ficheros, el RGPD establece la elaboración de un Registro de actividades de tratamiento. Este registro debe incluir los tipos de tratamientos realizados, la legitimación para ello, las clases de datos y de interesados, la finalidad del tratamiento, entre otros. Este documento debe mantenerse actualizado y a disposición de la AEPD.

Efectuar un Análisis de riesgos y, en su caso, una Evaluación de impacto

El RGPD exige la realización de un análisis de riesgos para determinar los posibles riesgos asociados a un tratamiento y adoptar las adecuadas medidas de seguridad para reducirlos o impedir que se materialicen. En caso de tratamientos de alto riesgo, también es necesario realizar una Evaluación de impacto. Ambos procesos deben ser realizados por las Administraciones públicas.

Aplicar el Esquema Nacional de Seguridad

Las medidas de seguridad establecidas para las Administraciones públicas se recogen en el Esquema Nacional de Seguridad. Este esquema establece los requisitos mínimos de seguridad que deben aplicar los organismos públicos, las herramientas disponibles, las auditorías de seguridad y las respuestas a incidentes de seguridad. Está siendo revisado para adecuarlo a las obligaciones del RGPD.

Garantizar los derechos digitales

La LOPDGDD introduce el «Título X referido a la Garantía de los Derechos Digitales». En este título se recogen derechos necesarios para adaptar la ley a la sociedad digital actual. Entre estos derechos se encuentran la desconexión digital en el ámbito laboral, la intimidad en el uso de sistemas de videovigilancia y grabación en el trabajo, la intimidad en el uso de sistemas de geolocalización en el trabajo, y el uso de dispositivos digitales en el trabajo.

Bloquear los datos

El responsable del tratamiento tiene la obligación de bloquear los datos cuando el interesado solicite su rectificación o supresión. Esto implica aplicar medidas técnicas y organizativas que impidan la visualización y tratamiento de esos datos. Existen excepciones a este deber de bloqueo en casos específicos.

Preguntas frecuentes

¿Pueden cederse los datos del Padrón Municipal a la policía local en el ejercicio de sus funciones?

Sí, los datos del Padrón Municipal pueden comunicarse a la policía local siempre que se cumplan ciertos requisitos. Estos incluyen utilizar únicamente los datos necesarios, asegurar la confidencialidad y seguridad de los datos, y realizar la comunicación en el marco de expedientes concretos y con necesidades debidamente justificadas relacionadas con las funciones de interés público de la Policía Local.

¿Pueden publicarse las actas de los Plenos municipales en Internet?

Depende. La publicación de las actas de los Plenos municipales en Internet solo será posible en ciertos casos. Uno de ellos es cuando las actas se refieren a actos debatidos en el Pleno o a disposiciones objeto de publicación en el Boletín Oficial correspondiente. En los demás casos, se necesita el consentimiento previo de los afectados.

¿Pueden grabarse las sesiones de un Pleno municipal? ¿Y publicar esa grabación en redes sociales?

Sí, es posible grabar las sesiones de un Pleno municipal y publicar esas grabaciones en redes sociales. Sin embargo, es necesario informar de manera clara y expresa a los trabajadores y a sus representantes legales sobre la adopción de estas medidas. Se debe respetar la protección de datos de los empleados públicos.


0 Comentarios

En Dudatis.com, nos encanta que participes y expreses tus opiniones. Tu voz es importante para nosotros. Siéntete libre de comentar y compartir tus ideas. Esperamos con interés tus comentarios.


Deja un comentario

Tu dirección de correo electrónico no será publicada. Apreciamos tu participación, y te pedimos que respetes nuestras normas. Recuerda que los campos marcados con * son obligatorios.