
Contenidos del artículo:
- 1 ¿Afecta a todas las Comunidades de Montes Vecinales en Mano Común esta nueva normativa del mismo modo?
- 2 ¿Cuáles son las obligaciones, como entidades, que deben cumplir al respecto?
- 3 ¿Qué pasos han de dar las comunidades de montes para su aplicación?
- 4 ¿Qué pasará en aquellos casos en los que no se aplique esta normativa?
- 5 ¿Cómo debe elegirse al responsable de aplicar el tratamiento de protección de datos?
- 6 ¿Deberán notificarse las brechas de seguridad? ¿Cómo?
Las Comunidades de Montes Vecinales en Mano Común deben adaptarse al nuevo Reglamento General de Protección de Datos establecido por la Unión Europea, que será de obligado cumplimiento en mayo del próximo año. Compartimos seis preguntas fundamentales para explicar cómo llevar a cabo la adaptación a esta normativa.
¿Afecta a todas las Comunidades de Montes Vecinales en Mano Común esta nueva normativa del mismo modo?
Las Comunidades de Montes son “responsables del fichero o tratamiento” o, lo que es lo mismo, les resultan de aplicación las obligaciones contenidas en la L.O.P.D.
El legislador español fue restrictivo al establecer no sólo a las personas físicas o jurídicas, de naturaleza pública o privada y a los órganos administrativos como responsables, sino que en el 5.1.q) del Real Decreto 1720/2007, de 21 de diciembre, que aprueba el Reglamento de desarrollo de la LOPD, se recoge que también lo podrán ser los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados, aclarando la Agencia Española de Protección de Datos (AEPD) que, en todo caso, a LOPD será de aplicación a estos últimos, considerando responsable a la persona o personas integrantes de dichos entes.
¿Cuáles son las obligaciones, como entidades, que deben cumplir al respecto?
A.- Inscripción de ficheros: Se deberá notificar a la AEPD la creación de los ficheros para su inscripción en el Registro General de Protección de Datos (RGPD).
B.- Calidad de los datos: Los datos deben ser veraces, adecuados, pertinentes y no excesivos, siendo cancelados cuando dejen de ser necesarios.
C.- Deber de información: Los interesados a los que se le soliciten datos personales deben ser previamente informados de modo expreso, preciso e inequívoco de la existencia de un fichero, su finalidad, su responsable, los destinatarios y la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
D.- Consentimiento del afectado: Con carácter general debe ser inequívoco, específico, informado y libre. Se establece un derecho de rectificación y de cancelación de los datos, así como un derecho de acceso y un derecho de oposición al tratamiento de los afectados a sus propios datos cuando no sea necesario el consentimiento o se trate de fuentes accesibles al público.
E.- Seguridad de los datos: Es necesario adoptar las medidas necesarias que garanticen el secreto, la seguridad de los datos y eviten su alteración, pérdida, tratamiento o acceso no autorizado.
¿Qué pasos han de dar las comunidades de montes para su aplicación?
Las Comunidades de Montes, con carácter previo a la creación de los ficheros, deben notificar a la AEPD la creación de los mismos para su inscripción en el RGPD.
Tal comunicación contendrá como información mínima la indicada en el art. 20.2 LOPD y art. 55 de su Reglamento, referida entre otra, al responsable del fichero, finalidad del mismo, sistema de tratamiento empleado, colectivo de personas a que se refieren los datos, procedimiento y procedencia de los datos, categorías, servicio de acceso, medidas de seguridad, identificación del encargado del tratamiento y destinatarios.
Si la notificación se ajusta a los requisitos exigibles, en el plazo máximo de un mes el fichero quedará inscrito en el RGPD, notificándose la resolución de inscripción del Director de la AEPD y el código de inscripción asignado.
Una vez creado el fichero deberán aplicarse al mismo y al tratamiento de los datos en él contenidos las medidas de seguridad establecidas en el Título VIII del Real Decreto 1720/2007, de 21 de diciembre, adoptándose como mínimo las del nivel básico, las cuales quedarán documentadas por el responsable del fichero en el Documento de seguridad, de obligado cumplimiento para todos aquellos que tengan acceso a la información. Cualquier modificación o cancelación del fichero debe comunicarse al RGPD.
¿Qué pasará en aquellos casos en los que no se aplique esta normativa?
Las Comunidades que no atendiesen a las obligaciones impuestas por la LOPD podrían incurrir en una infracción calificada como leve, grave o muy grave tal y como señala el artículo 44 de la Ley Orgánica 15/1999, quedando sujetas al régimen sancionador previsto en esta Ley y que puede suponer una multa de entre 900 y 600.000 euros.
¿Cómo debe elegirse al responsable de aplicar el tratamiento de protección de datos?
Debe diferenciarse entre el responsable del fichero o tratamiento y el encargado del tratamiento. El primero es la persona física o jurídica que decide sobre la finalidad, contenido y uso del tratamiento, en este caso la Comunidad de montes, y el segundo es quien trata los datos personales por cuenta del responsable del tratamiento, pudiendo ser la propia Comunidad u otra persona física o jurídica, que preste el servicio de forma remunerada o no, y temporal o indefinidamente.
¿Deberán notificarse las brechas de seguridad? ¿Cómo?
Para aquellas violaciones de seguridad de datos personales del interesado o de aquellos otros que puedan afectar a su privacidad, el encargado del tratamiento comunicará sin dilación la incidencia al responsable del fichero, quien comunicará la misma a la AEPD y al afectado, con indicación del tipo de incidencia, el momento en que se ha producido o detectado, la persona que realiza la notificación, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.
La comunicación a la AEPD ha de realizarse a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas, justificándose los motivos de la demora si ésta se realiza pasadas 72 horas desde su detección.
La comunicación al interesado no será necesaria cuando la información sea ininteligible o indescifrable para terceros, cuando se hayan adoptado medidas ulteriores que impliquen la inexistencia de riesgo para los derechos y libertades del afectado o cuando suponga un esfuerzo desproporcionado.
¿Tienes alguna duda más? Puedes ponerte en contacto con nuestro equipo de abogados para aclarar tus dudas sobre protección de datos.
Y los comuneros tienen el deber de proteger los datos de la mancomunidad y no entregarlos a terceros?
Buenos tardes, Elías: para esa consulta puedes escribir a nuestro equipo de abogados al correo electrónico despacho@calixtoescariz.com