Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria
Subido por Buddhi Santosha

La Administración Pública y Protección de Datos de carácter Personal

Anuncio 
La Administración Pública y Protección de Datos de carácter Personal
26 abril, 2019
Con la entrada en vigor del Reglamento General de Protección de Datos y su consiguiente
transposición al Derecho Español, en forma de la Ley Orgánica 3/2018, de 5 de
Diciembre, de Protección de Datos Personales y garantía de los derechos digitales, resulta
necesario que la Administración Pública, como ente encargado del tratamiento de datos
de todos los ciudadanos, se actualice y ponga en marcha todas las medidas previstas en
este nuevo marco legal.
Ejemplos clarificadores de este tratamiento de datos personales serían cuestiones tales
como el padrón municipal de habitantes, la administración de sanciones, multas y
tributos, tratamiento de datos sensibles para el acceso a subvenciones o ayudas sociales
o, con cada vez más frecuencia, la gestión de alto volumen de datos provenientes de la
implantación de aplicaciones de control informático en el marco de la modernización de
las “smart cities”.
Por tanto, las Administraciones públicas desempeñarán funciones tanto de responsables
de tratamiento de datos de carácter personal, como de encargados de tratamiento,
requiriéndoles que lleven a cabo todas las acciones oportunas, según la responsabilidad
que conlleva cada una de las figuras. En la mayoría de los casos, estas responsabilidades
serán similares a las de cualquier encargado o responsable de datos personales, pero en
otros campos entrarán en juego diferenciaciones propias del sector público.
En este artículo hablamos de: [ocultar]

Normativa

Impacto del RGPD y LOPDGDD en las Administraciones Públicas
o
1. Cumplimiento del principio de legalidad, así como del deber de información a los
interesados
o
2. Adaptación de la información facilitada a los interesados, a las directrices
establecidas en el RGPD y LOPDGDD
o
3. Control del cumplimiento sobre los encargados de tratamiento
o
4. Registro de Actividades de Tratamiento
o
5. Realización de un análisis de riesgos sobre los derechos y libertades de los
ciudadanos, en cuanto al tratamiento de sus datos personales por parte de la
Administración
o
6. Valoración de la realización de una Evaluación de Impacto
o
7. Cumplimiento del Esquema Nacional de Seguridad (ENS)
o
8. Designación de Delegado de Protección de Datos (DPO)
Normativa
A nivel europeo: REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y
DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en
lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
A nivel nacional: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos
Personales y garantía de los derechos digitales.
Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios
Públicos.
Real Decreto 951/2018, de 23 de Octubre, de modificación del Real Decreto 3/2010, de
8 de Enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la
Administración Electrónica.
Impacto del RGPD y LOPDGDD en las Administraciones Públicas
A continuación, procederemos a identificar todas las acciones que una Administración
Pública ha de implementar en su funcionamiento, para dar cumplimiento a lo dispuesto
en el marco normativo:
1. Cumplimiento del principio de legalidad, así como del deber de información a los
interesados
Este deber se cumple mediante la identificación de los fines concretos a los que se destina
el tratamiento de datos personales, así como la base legitimadora que justifica esos
tratamientos.
Para el caso de tratamiento de datos de carácter sensible objeto de protección especial
(datos de salud, ideología, orientación sexual, creencias religiosas…) huelga matizar que
a priori el mismo no está permitido, salvo que concurran las excepciones previstas
legalmente. Las mismas, para el caso que nos ocupa sobre las AAPP, pueden versar sobre
el interés público esencial o que sean inherentes para la tramitación de servicios de
asistencia social, por poner un ejemplo.
Con carácter general esta base legitimadora consistirá en el cumplimiento de una labor de
interés público, o para el ejercicio de poderes públicos, los cuales necesariamente han de
estar recogidos en una norma de rango legal.
Asimismo, habrá casos en los que el tratamiento de datos personales se sustente en el
consentimiento de los interesados, para lo cual las AAPP deberán recoger un
consentimiento libre, informado y específico, prestado por los administrados a través de
una manifestación que contenga claramente su voluntad de consentir o autorizar, o a
través de una inequívoca acción informativa. A estos efectos resaltar la inaplicación del
denominado consentimiento tácito que se practicó durante la anterior legislación ya
derogada.
2. Adaptación de la información facilitada a los interesados, a las directrices establecidas
en el RGPD y LOPDGDD
Esto supone que la información ha de proporcionarse de forma concisa, transparente,
inteligible y acceso fácil, utilizando para ello un lenguaje claro y sencillo.
Esto obliga a prescindir de fórmulas especialmente formalistas y enrevesadas,
necesitando que las cláusulas informativas expliquen el contenido de una forma clara y
de fácil asimilación.
En este apartado incluímos también la necesidad de establecer procedimientos que
permitan el ejercicio de derechos, tanto de forma analógica como digital. Para el caso de
medios electrónicos habrá que implementar métodos para poder comprobar
correctamente la identidad de los solicitantes.
3. Control del cumplimiento sobre los encargados de tratamiento
Tanto el RGPD como la LOPDGDD establecen una obligación de diligencia sobre la
selección de los encargados de tratamiento. Esto se traduce en que los responsables han
de contratar bajo criterios objetivos garantizando que los encargados que tendrán acceso
a datos personales de los cuales son responsables tengan implementados todas las
medidas de seguridad y demás obligaciones previstas en la normativa.
Del mismo modo, habrá que actualizar todos aquellos contratos que previamente se hayan
firmado con terceras empresas en el marco de la anterior normativa, adaptando y
actualizando estos contratos a las exigencias del RGPD y la LOPDGDD.
4. Registro de Actividades de Tratamiento
En sustitución al antiguo proceso de inscripción de ficheros en el registro de la AEPD, la
actual normativa aboga por una llevanza interna en forma de registro de actividades el
cual deberá contener un contenido mínimo regulado por el RGPD, incluyendo tanto
encargados como responsables.
5. Realización de un análisis de riesgos sobre los derechos y libertades de los ciudadanos,
en cuanto al tratamiento de sus datos personales por parte de la Administración
Sobre el resultado de ese análisis será necesario identificar e implantar las medidas
técnicas y organizativas imprescindibles para enfrentar dichos riesgos detectados. Para
las AAPP nos centraremos en un análisis más especificado en la propia seguridad de la
información.
6. Valoración de la realización de una Evaluación de Impacto
Debemos estudiar los tratamientos que se realizan y valorar si los mismos requieren de
una EIDP en el caso que supongan un alto riesgo para los derechos y libertades de los
interesados.
Es importante matizar que el RGPD recoge de forma expresa que los tratamientos basados
en un fin público o relacionados con el ejercicio de poderes públicos, pueden no ser objeto
de EIDP siempre y cuando la norma legitimadora regule las operaciones de tratamiento y
se haya elaborado una EIPD de carácter general sobre el órgano administrativo.
7. Cumplimiento del Esquema Nacional de Seguridad (ENS)
El Esquema Nacional de Seguridad es la herramienta encargada de definir la política de
seguridad que las Administraciones Públicas han de cumplir en materia de seguridad, en
la utilización de medios electrónicos. Es un contenido adicional a lo ya dispuesto en la
normativa de protección de datos y se constituye en los principios básicos y obligaciones
mínimas que permiten una protección adecuada de la información y de los datos
personales en ella recogidos.
8. Designación de Delegado de Protección de Datos (DPO)
EL RGPD recoge expresamente que será preceptiva la designación de un DPO cuando el
tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que
actúen en ejercicio de su función judicial.
Asimismo, se recoge la posibilidad de que pueda nombrarse un único DPO para varios
administraciones a tenor de su tamaño y estructura organizativa.
Finalmente, no debemos olvidar cuestiones accesorias que las Administraciones Públicas
han de tener muy en cuenta en esta materia, tales como elaborar e implementar un plan
de formación y concienciación para empleados, o crear protocolos internos de autocontrol
que minoren o puedan prevenir posibles brechas de seguridad de la información.
Documentos relacionados
Guía para adaptarse a la nueva norma de protección de datos
Guía para adaptarse a la nueva norma de protección de datos
MODELO-PRESUPUESTO-ADAPTACION-LOPD
MODELO-PRESUPUESTO-ADAPTACION-LOPD
Reglamento General de Protección de Datos: Un cambio en la
Reglamento General de Protección de Datos: Un cambio en la
Tratamientos con fines publicitarios • Le recordamos que sus datos
Tratamientos con fines publicitarios • Le recordamos que sus datos
Fichero de titularidad pública CONTENIDO DE LA NOTIFICACIÓN
Fichero de titularidad pública CONTENIDO DE LA NOTIFICACIÓN
COSTO DE VENTA DE BIENES
COSTO DE VENTA DE BIENES
Estructuras Administrativas
Estructuras Administrativas
Alianza mundial de interesados pdf, 106kb
Alianza mundial de interesados pdf, 106kb
01 - LOE - CONCERTACIÓN.doc
01 - LOE - CONCERTACIÓN.doc
2019-ebook-rgpd-e-goi-es
2019-ebook-rgpd-e-goi-es
guia-evaluaciones-de-impacto-rgpd
guia-evaluaciones-de-impacto-rgpd
Descargar
Anuncio
Anuncio