✔ Desde que hace más de dos años (25 de mayo de 2018), se aplicara de forma obligatoria el Reglamento (UE) 2016/679 General de Protección de Datos (en adelante, “RGPD”), las administraciones públicas han debido a marchas forzada adaptarse a sus nuevas exigencias pues, aunque en virtud de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, “LOPDGDD”), las administraciones públicas no pueden ser objeto de sanción pecuniaria, ello no obsta a que tengan que cumplir con las obligaciones de la nueva normativa y a que puedan ser apercibidas en caso de incumplimiento.
En el presente post, analizaremos el Impacto del RGPD en las Administraciones Públicas, abordando, (i) en primer lugar, qué se entiende por “administración pública” a efectos del RGPD y de la LOPDGDD y, (ii) en segundo lugar, cuáles son sus principales obligaciones en materia de protección de datos.
¿Qué se entiende por “administración pública” en la normativa sobre protección de datos?
No se puede empezar a examinar el Impacto del RGPD en las Administraciones Públicas, sin explicar, en primer término, qué se entiende como “administración pública” en la normativa sobre protección de datos. Ni en el RGPD ni en la LOPDGDD, se hace referencia literal a las “administraciones públicas” sino a un concepto jurídicamente más amplio que es el de “autoridades y organismos públicos”.
De conformidad con el RGPD, la noción de autoridad y organismo público debe determinarse en virtud del derecho nacional. En este sentido, de conformidad con la Ley 40/2015 de Régimen Jurídico del Sector Público, son organismos públicos: (i) organismos autónomos y (ii) entidades públicas empresariales. Por tanto, las “autoridades y organismos públicos” incluyen a las autoridades nacionales, regionales y locales tradicionales (ayuntamientos, diputaciones, etc) pero también a otra serie de organismos regidos por el derecho público como, por ejemplo, AENA, Loterías y Apuestas del Estado, cualquier empresa pública estatal, etc.
¿Cuáles son las principales obligaciones de las administraciones públicas en la normativa sobre protección de datos? Es decir, ¿Cuál es el impacto del RGPD en las administraciones públicas?
Se puede encontrar una explicación detallada del Impacto del RGPD en las administraciones públicas, en el siguiente documento publicado por la Agencia Española sobre Protección de Datos (AEPD) https://www.aepd.es/sites/default/files/2019-09/impacto-rgpd-en-aapp.pdf. Dicho Impacto, se puede resumir en las siguientes obligaciones:
a) Identificar de forma específica las finalidades y las bases de legitimación de los tratamientos de datos, prestando especial atención a las categorías especiales de datos (aquellos relativos a la salud, ideología, religión o pertenencia étnica, entre otros) pues su tratamiento está prohibido salvo que se cuente con alguna de las excepciones del artículo 9.2 RGPD.
b) Informar a los interesados del tratamiento de sus datos conforme a los requisitos del artículo 13 y 14 RGPD (información más amplia que la de la LOPDGDD), velando porque dicha información se transmita de forma “concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo”.
c) Establecer procedimientos que permitan el envío y la tramitación ágil y sencilla de solicitudes de ejercicio de derechos, debiendo gestionarse de forma electrónica en el caso de que las solicitudes se reciban por este medio (por ejemplo, un formulario web o cuenta de correo electrónico).
d) Valorar que los Encargados de Tratamiento ofrecen suficientes garantías para el cumplimiento del RGPD y adecuar con ellos los contratos para que cumplan con los requisitos del art.28 RGPD.
e) Realizar un análisis de riesgos de cada uno de los tratamientos, para valorar si se han adoptado medidas técnicas y organizativas apropiadas. En caso de que los tratamientos puedan entrañar un riesgo para los derechos y libertades de los interesados se deberá realizar, de forma más concreta, una Evaluación de Impacto para reducir el nivel de riesgo a un nivel considerado aceptable de conformidad con el artículo 35 RGPD.
f) Realizar un Registro de Actividades de Tratamiento con, al menos, el contenido mínimo del artículo 30 RGPD.
g) Establecer mecanismos para identificar y poder gestionar rápidamente violaciones de seguridad.
h) Nombrar a un Delegado de Protección de datos ya que, de conformidad con el artículo 37 RGPD, son sujetos obligados.
i) Caso de realizar transferencias internacionales, comprobar que se ofrecen garantías suficientes o que se cuenta con alguna excepción de conformidad con lo dispuesto en el CAPÍTULO V Transferencias de datos personales a terceros países u organizaciones internacionales.
Conclusión
Como se ha podido comprobar, existe un gran impacto del RGPD en las administraciones públicas. Éstas deben cumplir con todas sus obligaciones, con independencia de que no sean sancionadas.
▸Estimado lector, ¡¡gracias por su tiempo!!
