El RGPD y la entidades publicas AAPP

L as Administraciones Públicas (AAPP) siempre actúan como responsables y encargados de tratamientos de datos personales en el desarrollo de muchas de sus actividades. Consecuentemente, se ven afectadas por las previsiones del nuevo Reglamento General de Protección de Datos (RGPD) de la Unión Europea. En muchos casos, los efectos del RGPD serán los mismos que para cualquier otro responsable o encargado . En algunas áreas, sin embargo, existen especificidades para el sector público.

El RGPD fue publicado en mayo de 2016 y entró en vigor en ese mismo mes. Sin embargo, será aplicable a partir del 25 de mayo de 2018. Las modificaciones que deberán realizarse para alinear la normativa y la práctica de las AAPP con las previsiones del RGPD habrán de estar listas para aplicarse, a más tardar, en esa fecha de 2018.

El impacto del RGPD sobre las AAPP puede sintetizarse en algunos puntos que describimos someramente en este post:

Necesidad de identificar con precisión las finalidades y la base jurídica de los tratamientos que llevan a cabo. Esta obligación no deriva sólo de la necesidad de cumplir con el principio de legalidad establecido en el RGPD, sino que viene impuesta por el hecho de que las finalidades o la base jurídica de los tratamientos son informaciones que deben proporcionarse a los interesados (arts. 13 y 14 RGPD) y recogerse en el registro de actividades de tratamiento.
En el caso de la actividad de las AAPP será muy habitual que la base jurídica de los tratamientos sea el cumplimiento de una tarea en interés público o el ejercicio de poderes públicos. Tanto el interés público como los poderes públicos que justifican el tratamiento deben estar establecidos en una norma de rango legal.

En los casos en que la base jurídica de los tratamientos sea el consentimiento, éste deberá tener las características previstas por el RGPD, que exige que sea informado, libre, específico y otorgado por los interesados mediante una manifestación que muestre su voluntad de consentir o mediante una clara acción afirmativa. Los consentimientos conocidos como “tácitos”, basados en la inacción de los interesados, dejarán de ser válidos a partir de la fecha de aplicación del RGPD, incluso para tratamientos iniciados con anterioridad.

Necesidad de establecer procedimientos que permitan responder a los ejercicios de derechos en los plazos previstos por el RGPD. En algunos casos será preciso valorar la necesidad de que sean los encargados del tratamiento con los que se haya contratado la prestación de determinados servicios los que colaboren en la atención a las solicitudes de los interesados. En estos casos, esa colaboración debe incluirse en los contratos de encargo de tratamiento.

Necesidad de hacer un análisis de riesgo para los derechos y libertades de los ciudadanos de todos los tratamientos de datos que se desarrollen. El RGPD hace depender la aplicación de todas las medidas de cumplimiento que prevé para responsables y encargados del nivel y tipo de riesgo que cada tratamiento implique para los derechos y libertades de los afectados. Por ello, todo tratamiento, tanto los ya existentes como los que se pretenda iniciar, deben ser objeto de un análisis de riesgos. En el contexto de las AAPP se dispone de metodologías de análisis de riesgos focalizadas principalmente en la seguridad de la información.

Necesidad de revisar las medidas de seguridad que se aplican a los tratamientos a la luz de los resultados del análisis de riesgo de los mismos. La normativa española de protección de datos contiene previsiones específicas sobre medidas de seguridad atendiendo básicamente al tipo de datos que se tratan. El RGPD, sin embargo, deja sin efecto esas previsiones, en la medida en que exige que las medidas de seguridad se adecúen a las características de los tratamientos, sus riesgos, el contexto en que se desarrollan, el estado de la técnica y los costes. En el caso de las AAPP, la aplicación de las medidas de seguridad estará marcada por los criterios establecidos en el Esquema Nacional de Seguridad.

Puede acceder al documento completo en la AGPD. CLIC AQUÍ

CONSEJO: Esas metodologías deben ampliarse para incluir riesgos asociados al incumplimiento de las disposiciones del RGPD. También adaptar todos los procedimientos e instrumentos y asumir su actualización..

La necesidad de designar un Delegado de Protección de Datos (DPD) para las AAPP.

El RGPD prevé que todas las “autoridades u organismos públicos” nombrarán un DPD. También establece cuáles habrán de ser los criterios para su designación (cualidades profesionales y conocimientos en derecho y práctica de la protección de datos), su posición en la organización y sus funciones. Prevé, igualmente, que en el caso de las autoridades u organismos públicos puedan nombrarse un único DPD para varios de ellos, teniendo en cuenta su tamaño y estructura organizativa..