La Administración Pública y la Protección de Datos de carácter Personal

Desde la en vigor del pasado 25 de mayo de 2018 del Reglamento General de Protección de Datos y, más aún, desde la publicación de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, las Administraciones Públicas deben aplicar dicha normativa.

Las Administraciones Públicas realizan tratamientos de datos de carácter personal en muchas de sus actividades y, por ello, también actúan como responsables y encargados del tratamiento. Así pues, la normativa vigente en protección de datos también les es de aplicación.

Además, dicha normativa también les afecta directa y exclusivamente, pues existen especificidades para el sector público.

El impacto en las Administraciones Públicas se puede clasificar en tres grandes ámbitos: ámbito general, como responsable y encargado del tratamiento; ámbito específico, con disposiciones que le afectan directamente; ámbito de modificación de normativa.

En cuanto a la afectación general, nos referimos al impacto que tiene como cualquier otro ente o entidad que trata datos de carácter personal. Es por ello, que es de aplicación lo dispuesto en la normativa como responsable y encargado del tratamiento. A grandes rasgos, deberá realizar y mantener un registro de actividades, establecer mecanismos para el ejercicio de derechos, hacer un análisis de riesgo para los derechos y libertades de los ciudadanos, establecer mecanismos para la gestión de brechas de seguridad, valorar la necesidad de realizar Evaluaciones de Impacto sobre la Protección de Datos o adaptar los instrumentos de transferencia internacional de datos personales.

Conviene desarrollar dos puntos que aun siendo de ámbito general, su impacto puede ser mayor al tratarse de Administraciones Públicas: la gestión de encargados del tratamiento y la determinación de la finalidad y licitud del tratamiento.

En primer lugar, como responsable del tratamiento deben actuar de forma cautelosa al contratar a encargados. El RGPD exige que antes de la contratación se debe valorar si los encargados del tratamiento ofrecen garantías de cumplimiento normativo en protección de datos y además existe la necesidad de adecuar los contratos de encargo que actualmente se tengan suscritos a las previsiones de la nueva legislación y, a partir de ahora, todos los nuevos. En conclusión, las Administraciones Públicas deberán hacer las modificaciones pertinentes a la hora de contratar a proveedores que traten datos de carácter personal.

En segundo lugar, la necesidad de identificar la finalidad y la base jurídica de los tratamientos conforme al principio de legalidad. La licitud del tratamiento podrá ser mediante el consentimiento del interesado, pero al tratarse de Administraciones Públicas en muchas ocasiones será en interés público o el ejercicio de los poderes públicos. De ello derivará la obligación informar al interesado (arts. 13 y 14 RGPD). Importante apuntar que tanto el interés público como los poderes públicos que justifican el tratamiento deben estar establecidos en una norma de rango legal. En concusión, las Administraciones Públicas deberán identificar la finalidad y licitud de sus tratamientos y, en todo caso, informar a los interesados sobre dichos tratamientos.

En lo referido a la afectación específica, es decir, al impacto explícito de la normativo a las Administraciones Públicas, tres puntos a señalar: el Delegado de Protección de Datos, el Esquema Nacional de Seguridad y las notificaciones.

En primer lugar, destacar la obligación del RGPD de todas las “autoridades u organismos públicos” de designar un Delegado de Protección de Datos.

También apuntar la relevancia que cobra el Esquema Nacional de Seguridad en la Disposición Adicional Primera. Contempla, en el ámbito del sector público, que el Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos personales, que los responsables enumerados en el artículo 77.1 LOPDGDD apliquen a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el citado Esquema Nacional de Seguridad y que cuando un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad.

Finalmente, la Disposición Adicional 7ª regula la identificación de los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos, por la que se reducen los datos que se publicarán.

Por último, en relación a las modificaciones de Leyes existentes cabe destacar una que ha tenido un gran impacto, la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General, añadiendo un artículo, 58 bis, que permite a los partidos políticos acceder a datos de ciudadanos para utilizarlos en campaña electoral.

Se modifican los apartados 2 y 3 del artículo 28 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, que pasan a tener la siguiente redacción. Referida al derecho de los ciudadanos a no aportar documentación que ya se encuentren en poder de la Administración y a la no exigencia de documentos originales.

También se modifica la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, donde se apunta la necesidad de consentimiento expreso para la publicación de ciertos datos.

En definitiva, las Administraciones Públicas, por el elevado número de datos de carácter personal que tratan, tienen un largo camino por delante para implantar de forma efectiva todas estas modificaciones.

Irene Rossello

Abogada

irossello@binauramonlex.com