Referencias normativas: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derecho Digitales, y el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

 

Las Administraciones Públicas (AAPP) actúan en calidad de responsables y encargados de tratamientos de datos personales en el desarrollo de las actividades propias del organismo público. En materia de protección de datos, existen áreas en las que encontramos especificaciones para el sector público, siendo éstas:

 

I. Identificación de las finalidades del tratamiento de datos efectuados, así como las bases jurídicas que legitiman el tratamiento. En este caso, deberá incorporarse la identificación al Registro de Actividades del tratamiento, así como en la información facilitada al titular de los datos en cumplimiento del art. 13 y 14 del RGPD. Como base legitimadora habitual, en el caso de las AAPP, encontraremos el interés público o el ejercicio de poderes públicos, habilitando una norma con rango de ley al organismo público para que efectué el tratamiento.

II. En el supuesto de que el consentimiento del titular resulte la base legitimadora, deberán cumplirse las premisas que establece el legislador: informado, libre, especifico otorgado por los interesados mediante una manifestación que muestre su voluntad de consentir o mediante una clara acción afirmativa.

III. Cumplir con el deber de información en base a lo establecido en el art. 13 y 14 del RGPD, otorgando la información de forma “concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo”. Esta obligación deriva en la necesidad de modificación de los documentos que actualmente recogen estas cláusulas informativas, incorporados en convocatorias de subvenciones, pruebas selectivas, etc.

IV. Análisis de riesgos en materia de protección de datos, identificando el tratamiento de datos efectuado, medidas de seguridad implantadas y gestión del riesgo del organismo público.

V. Implantación del procedimiento de atención de ejercicio de derechos por parte de los titulares, reconocidos por la normativa vigente.

VI. Adoptar un procedimiento de gestión de brechas o incidentes de seguridad.

VII. Confección del documento de “Registro de Actividades del Tratamiento”, con el contenido mínimo establecido en el art. 30 del RGPD. Este registro deberá mantenerse actualizado y a disposición de la autoridad de control.

VIII. Necesidad de valoración de encargados del tratamiento mediante la verificación del grado de cumplimiento efectuado por los mismos en materia de protección de datos, en cumplimiento de la obligación de diligencia debida en la elección de proveedores.

IX. Actualización y adecuación de los contratos de encargados del tratamiento, en base a lo establecido en el art. 28 del RGPD y art. 33 de la LOPDGDD.

X. Designación del Delegado de Protección de Datos (todas las “autoridades u organismos públicos” nombrarán un DPD)

 

Desde GRUPO DATA, como consultoría especializada en materia de protección de datos, nos encontramos a su disposición para regular estas cuestiones y aclararle las dudas que le surjan

 

Publicado el 25 de Noviembre de 2022
Por María González
Responsable del Departamento Jurídico