El pasado 27 de noviembre, la Agencia Española de Protección de Datos ha publicado un documento que recoge las principales medidas que las Administraciones Locales (AALL) deben poner en marcha antes del 25 de mayo de 2018, fecha en que será aplicable el Reglamento General de Protección de Datos (RGPD).
Como las AALL actúan como responsables y encargados de tratamientos de datos personales en el desarrollo de muchas de sus actividades, se van a ver afectadas por las previsiones del nuevo RGPD, surgiendo una serie de necesidades, tales como:
Identificar las finalidades y la base jurídica de los tratamientos que llevan a cabo.
En la actividad de las AALL será muy habitual que la base jurídica sea el cumplimiento de una tarea en interés público o el ejercicio de poderes públicos. Este tratamiento debe estar justificado en una norma con rango de ley formal.
En los casos en que se traten datos de especial protección (sobre salud, ideología, religión, etc.), sólo podrá llevarse a cabo el tratamiento para satisfacer un interés público esencial.
En los casos en que la base jurídica sea el consentimiento, éste deberá ser informado, libre, específico y otorgado por los interesados mediante manifestación de consentimiento o una clara acción afirmativa.
Los consentimientos “tácitos” dejan de ser válidos, incluso para tratamientos ya iniciados.
Adecuar la información que se ofrece a los interesados cuando se recogen sus datos.
Hay que proporcionar una información más amplia, concisa, transparente, inteligible y de fácil acceso, y además el RGPD introduce nuevos derechos, de los cuales el que más puede ejercerse en el ámbito de las AALL es el de limitación del tratamiento, que supone que debe suspenderse cuando los interesados soliciten la rectificación o supresión de sus datos hasta que el responsable decida sobre la solicitud.
Hay que establecer procedimientos para responder a los ejercicios de derechos en los plazos previstos.
Que los encargados con los que se contraten operaciones de tratamiento ofrezcan garantías de cumplimiento del RGPD.
Podrán demostrar su cumplimiento mediante su adhesión a códigos de conducta o esquemas de certificación.
Adecuar los contratos de encargo a las previsiones del RGPD.
Los contratos deben tener un contenido mínimo que excede del actualmente previsto y se prevé un régimen transitorio para los contratos suscritos con anterioridad a la fecha en que el RGPD se aplique plenamente.
Establecer un Registro de Actividades de Tratamiento.
Obliga a inventariar todos los tratamientos de datos que esté llevando a cabo cada entidad local y, viene a sustituir, en parte, la obligación de notificar ficheros y tratamientos a las autoridades de protección de datos.
Hacer un análisis de riesgo de todos los tratamientos de datos que se desarrollen y revisar las medidas de seguridad que se aplican a los mismos.
En el contexto de las AALL se dispone de metodologías de análisis cuyo foco principal es la seguridad de la información, las cuales deben ampliarse para incluir riesgos asociados al incumplimiento de las disposiciones del RGPD.
La aplicación de las medidas de seguridad estará marcada por los criterios establecidos en el Esquema Nacional de Seguridad, el cual está siendo revisado para adaptarlo a la nueva normativa,
Identificar la existencia de violaciones de seguridad de los datos.
Es necesario para poder reaccionar ante ellas, evaluando el riesgo que puedan suponer y para su notificación a las autoridades y, si fuera necesario, a los interesados.
Valorar si los tratamientos que se realizan requieren una Evaluación de Impacto y de disponer de una metodología para la llevarla a cabo.
En el caso de tratamientos basados en la consecución de fines de interés público o vinculados al ejercicio de poderes públicos, se prevé que pueda no llevarse a cabo, pese a tratarse de tratamientos de alto riesgo, cuando la norma de base regule la operación de tratamiento y ya se haya realizado una evaluación de impacto como parte de una evaluación general en el contexto de la adopción de esa norma.
Designar un Delegado de Protección de Datos.
Todas las autoridades u organismos públicos tienen que nombrar un DPD, aunque se prevé que pueda nombrarse uno único para varios de ellos, teniendo en cuenta su tamaño y organización.
Será inviable en muchos casos que una entidad local cuente con un DPD integrado en su plantilla, y será preciso buscar otras soluciones.
Adaptar los instrumentos de transferencia internacional.
El uso cada vez más frecuente de tecnologías de la información o la prestación de servicios “en nube” hacen que aumenten las posibilidades de que los datos se transfieran fuera de la UE.
Con este documento, la AEPD ofrece pautas y orientaciones para que estas entidades conozcan las implicaciones prácticas de la nueva normativa.