Como ya venimos anunciando, el Reglamento General de Protección de datos (RGPD), será plenamente aplicable a partir del próximo 25 de mayo. A su vez, en nuestro país se encuentra en tramitación una nueva Ley Orgánica de Protección de Datos, que va a completar el mencionado RGPD. Al respecto, la Agencia Española de Protección de Datos (AEPD), como ya analizamos en una de nuestras publicaciones (ver aquí) ya publicó en noviembre un documento con las principales medidas que las Administraciones Locales (AALL) debían ir poniendo en marcha.
La AEPD, consciente de la importancia del cambio normativo, ha elaborado también una Guía de Protección de datos y Administración local (en adelante, la Guía), que ha publicado recientemente, y en la cual se analizan los aspectos más relevantes que supone el RGPD en las AALL, y que pasamos a analizar:
1. EL RESPONSABLE DEL TRATAMIENTO
Serán responsables del tratamiento los municipios, las diputaciones provinciales y las islas.
A su vez, son responsables, en la medida que traten datos de carácter personal, las entidades de ámbito territorial inferior al municipal, las comarcas, las áreas metropolitanas y las mancomunidades.
En caso de que los Ayuntamientos cuenten con Administración Institucional, será responsable cada uno de los entes que formen parte de la misma.
2. LEGITIMACIÓN
El RGPD prevé un sistema de legitimación cuyas bases jurídicas no tienen relación entre sí. Son relevantes para las AALL las siguientes:
– El Interés público o poderes públicos y cumplimiento de obligación legal
En este punto, la Guía expone dos ejemplos clarificadores: por un lado, el tratamiento de datos del Padrón Municipal está legitimado por el cumplimiento de la Ley de Bases de Régimen Local y, asimismo el tratamiento de datos de los impuestos municipales se basa en el cumplimiento del Texto Refundido de la Ley reguladora de las Haciendas Locales.
Por otra parte, el tratamiento se puede fundamentar en satisfacer los intereses legítimos perseguidos por un tercero al que el responsable le comunica los datos si ese tercero no tiene la condición de autoridad pública.
– El consentimiento
Debe ser “inequívoco” y que se manifieste mediante una clara acción afirmativa.
Ahora bien, cuando el tratamiento sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, de conformidad con la Ley 39/2015, de 1 de octubre, no será necesario que las AALL soliciten datos o documentos no exigidos por la normativa aplicable o que hayan sido aportados previamente por el interesado a cualquier Administración.
3. REGISTRO ACTIVIDADES DE TRATAMIENTO
Desaparece la obligación de notificar a la AEPD la inscripción de ficheros públicos o privados, sin perjuicio de que tanto responsables como encargados estén obligados a llevar un Registro de Actividades de Tratamiento, que estará a disposición de la Autoridad de Control, y en el que se incluya una descripción de los tratamientos.
4. ANÁLISIS DE RIESGO
En los Ayuntamientos con población inferior a 20.000 habitantes puede llevarse a cabo con el apoyo de la correspondiente Diputación Provincial.
5. SMART CITY- EVALUACIÓN DE IMPACTO (EI)
Antes de la puesta en marcha de un proyecto “Smart City” se debe hacer un análisis previo del mismo valorando el volumen de la información que se pretende procesar, así como el número y tipo de fuentes desde las que se obtiene. La Guía señala que, en estos casos, será necesaria la realización de una EI o incluso una consulta previa a la AEPD.
6. DELEGADO DE PROTECCIÓN DE DATOS (DPO)
• En Ayuntamientos con población superior a 20.000 habitantes, atendiendo al volumen de datos tratados, el DPO puede contar con un departamento de apoyo.
• En Ayuntamientos con población inferior a 20.000 habitantes, se puede designar un DPO, o articularlo a través de la CCAA respectiva o las Diputaciones Provinciales.
• Las Diputaciones provinciales, cabildos y consejos insulares también deberán designar un DPO.
En el caso de que se designe a secretarios, interventores y tesoreros, podrían actuar como DPO si no existe conflicto de intereses en relación con el ejercicio de sus funciones.
7. DERECHOS DE LOS AFECTADOS SOBRE EL TRATAMIENTO DE SUS DATOS
El RGPD introduce nuevos derechos. En el ámbito de las AALL, el que puede ejercerse de forma más habitual es el de limitación del tratamiento, que supone que los ciudadanos puedan solicitar la rectificación o supresión de sus datos. Los entes locales tienen que fijar mecanismos visibles, accesibles y sencillos para el ejercicio de tales derechos.
Por último, esta Guía se completa, con un apartado de Consultas Frecuentes que puede resultar muy útil y práctico en esta materia para las entidades locales.
