
Los ayuntamientos, al igual que las empresas y otras organizaciones, deberán implementar las medidas que incorpora el nuevo Reglamento General de Protección de Datos (RGPD), una regulación que será de obligado cumplimiento a partir del mes de mayo de 2018 y de la que ya hemos hablado en el blog en anteriores ocasiones.
En el caso de las Administraciones Públicas, la gestión y tratamiento de los datos personales de terceros es una tarea diaria de la mayoría de los procedimientos administrativos, motivo por el que es fundamental evaluar en todo caso el uso y tratamiento de los datos de los diferentes ficheros (padrón municipal, registro, servicios sociales, proveedores, urbanismo, etc.).
Estas son las principales novedades del Reglamento General de Protección de Datos (RGPD) que las entidades locales deberán tener en cuenta para actualizar antes de mayo del próximo año:
- Los ayuntamientos, como órgano administrativo responsable, deberá elaborar y aprobar un Registro de Actividades del Tratamiento de los datos personales –viene a sustituir el anterior Documento de Seguridad-, así como deberá incluir las diferentes responsabilidades para garantizar su correcto tratamiento: responsable de seguridad, encargado del tratamiento, delegado de protección de datos… El registro deberá actualizarse constantemente.
- Deberá identificarse con precisión las finalidades y la base jurídica del tratamiento, sobre todo en los casos de registro de datos de ‘especial protección’ (como datos sobre salud, ideología o religión), datos cuyo tratamiento está prohibido con carácter general, a excepción de lo recogido en el artículo 9.2 del RGPD –que corresponde con necesidades para satisfacer un interés público especial-. En la mayoría de los casos se establecerá que la base jurídica del tratamiento sea por cumplimiento de una actividad de interés pública o por el ejercicio de poderes públicos. Cuando la base jurídica del tratamiento sea el consentimiento, éste deberá ser informado, libre, específico y otorgado por interesados a través de una manifestación de su voluntad de consentimiento. En todo caso, los consentimientos tácitos dejarán de ser válidos.
- Las AAPP utilizarán las diversas metodologías de análisis de riesgos existentes para llevar a cabo una evaluación de riesgo para los derechos y libertades de los ciudadanos de los tratamientos de datos y por el incumplimiento de las disposiciones del RGPD. Con los datos obtenidos de este análisis, se revisarán las medidas de seguridad implementadas. De manera específica, el RGPD señala que los tratamientos que implique un ‘alto riesgo para los derechos y libertades de los afectados’ deberán contar con una Evaluación de Impacto sobre la Protección de Datos.
- Asimismo, los ayuntamientos se verán obligados a actualizar los documentos que informan a los ciudadanos sobre la recogida y tratamiento de los datos personales, siguiendo las exigencias del RGPD. La información a ciudadanos deberá ser, además, ‘concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo’.
- Con la incorporación de nuevos derechos, como el derecho al olvido, de limitación de tratamiento o el de portabilidad, los ayuntamientos deberán informar correctamente de los medios a través de los cuales los usuarios podrán ejercer estos derechos, también a través de medios electrónicos, además de poder ejercerlo en los plazos marcados por el RGPD, estableciendo unos procedimientos que así lo permitan.
- Las Administraciones Públicas designarán la figura de Delegado de Protección de Datos (DPD), señalando también los requisitos con los que ha de contar. Esta designación deberá ser comunicada a las autoridades de protección de datos.
- Valorar y garantizar que los encargados del tratamiento de datos que sean contratados por la entidad local para tal efecto cuente con todas las exigencias de cumplimiento del RGPD, así como de adecuar los contratos mantenidos en la actualidad para el cumplimiento de la normativa actual. La relación entre responsable y encargados deberá estar formalizada a través de un contrato o acto jurídico.
- Se implementarán mecanismos para la detección de brechas de seguridad que permitan, al mismo tiempo, reaccionar antes las mismas, evaluar el riesgo asociado y notificarla a las autoridades correspondientes, así como a los interesados. Será obligatorio el registro de los incidentes ocurridos.
- Los ayuntamientos deberán, del mismo modo, adaptar los mecanismos de transferencia internacional de datos personales con la máxima garantía que evite a las autoridades de protección de datos la necesidad de establecer una autorización previa.