Víctor AlmonacidJurista y directivo público. Licenciado en Derecho en 1996 y Secretario de la administración Local desde 2002. Secretario General del Consell Insular de Eivissa

Ya es 25 de mayo: las 25 tareas que debe realizar un Ayuntamiento para cumplir el #RGPD

Posted on 0 comentarios

PUBLICADO EN: NOSOLOAYTOS

Ya ha llegado el temido día 25 de mayo, y por eso en Nosoloaytos os informamos de las 25 tareas que, a juicio de los autores del presente documento (Eduard Chaveli y un servidor, Víctor Almonacid), debemos llevar a cabo los Ayuntamientos, muy posiblemente ayudados por otras AAPP, especialmente Diputaciones, Consejos y Cabildos.

Hay más de 8.000 Ayuntamientos y la casuística es lógicamente variada. A estas alturas habremos realizado (o no) algo de lo que exige el RGPD… En el supuesto de que lo hayamos hecho todo (se nos antoja poco o nada probable) sería un error pensar que ya hemos acabado. En efecto, el cumplimiento del RGPD y otras normas relacionadas (entre ellas la inminente LOPD) nos obliga a realizar tareas puntuales, pero también en el día a día. Máxime a partir del principio de responsabilidad proactiva, que es uno de los básicos que contempla el RGPD.

Veamos ya, a continuación, esas 25 tareas que a partir del 25 de mayo debemos realizar o, como mínimo, tener en muy cuenta:

ACCEDA AL DOCUMENTO EN SU VERSIÓN EXTENDIDA: 25 TAREAS DEL RGPD QUE DEBE REALIZAR UN AYUNTAMIENTO DESPUÉS DEL 25 DE MAYO

1. ACTUALIZAR EL REGISTRO DE TRATAMIENTOS

El registro de actividades de tratamiento no sólo debe elaborarse sino que además deberá mantenerse.

Ejemplo: Imaginemos que contrato un servicio en cloud que supone la realización de una transferencia internacional de datos que antes no llevaba a cabo. Si realizo dicha transferencia deberé registrarla.

2. ASEGURAR QUE LOS TRATAMIENTOS QUE SE LLEVAN A CABO DISPONEN DE UNA CAUSA DE LEGITIMACIÓN

Todos los tratamientos que lleva a cabo un ayuntamiento deben de disponer de la correspondiente legitimación. Lo habitual será que esta esté basada en el interés público o el cumplimiento de una obligación legal. En algunos casos también se basará en el consentimiento.

3. RECABAR EL CONSENTIMIENTO CUANDO ESTE SE REQUIERA

Cuando la legitimación tenga su base en el consentimiento deberemos recabarlo, y la carga de la prueba corresponderá al ayuntamiento como responsable del tratamiento.

4. INCORPORAR LAS CLÁUSULAS QUE HEMOS ELABORADO EN CUMPLIMIENTO DEL DEBER DE INFORMACIÓN

Aunque a veces se confunde con el consentimiento, el deber de información es una obligación diferente. Por ello, incluso en los tratamientos que no se basan en el consentimiento deberemos incorporar las cláusulas de consentimiento. En ellas podremos considerar la opción de doble capa que recoge la AEPD.

5. REALIZAR UN ANÁLISIS DE RIESGOS (AARR) DE LOS NUEVOS TRATAMIENTOS QUE SE POGAN EN MARCHA

Todos los tratamientos deben de someterse a un AARR que analice sus amenazas y establezca los controles oportunos para tratarlas, mitigándolas y/o eliminándolas. El análisis básico de riesgos es un análisis de mínimos que tiene como objetivo simplificar el proceso de análisis en aquellas actividades de tratamiento con baja exposición al riesgo. Y esta obligación no sólo deberá cumplirse respecto de los tratamientos existentes el día 25 de mayo, sino también respecto de los nuevos tratamientos.

6. EN AQUELLOS CASOS EN QUE SE REQUIERA -POR TRATARSE DE UN SUPUESTO OBLIGATORIO-, LLEVAR A CABO UNA EVALUACIÓN DE IMPACTO (EIPD)

En determinados supuestos en los que los tratamientos entrañen un elevado riesgo deberá realizarse una evaluación de impacto. A diferencia del AARR, en la EIPD deberá procederse a evaluar los riesgos y sus impactos.

7. REVISAR LOS AARR Y EIPD REALIZADOS CUANDO SE PRODUZCAN CAMBIOS RELEVANTES EN LOS TRATAMIENTOS O EN LOS RIESGOS

Como indica la AEPD: “Los riesgos son variables y pueden cambiar ante variaciones en las actividades de tratamiento”. Garantizar una adecuada gestión de riesgos requiere la monitorización continua de los riesgos y la evaluación periódica de la efectividad de las medidas de control definidas para reducir el nivel de exposición al riesgo.

Se recomienda revisar el análisis de riesgos realizado ante cualquier cambio significativo en las actividades de tratamiento que pueda derivar de la aparición de nuevos riesgos.

8. ADECUAR LOS CONTROLES A LOS NUEVOS RIESGOS DETECTADOS EN LOS AARR Y EIPD

Fruto de estos nuevos AARR y EIPD que se lleven a cabo, aparecerán nuevas amenazas y controles que implantar para tratar los riesgos, y deberemos implantarlos.

9. DIVERSAS MEDIDAS RELACIONADAS CON LA “PRIVACIDAD DESDE EL DISEÑO”. Y EN PARTICULAR:

9.1 APLICARLA EN LOS NUEVOS PRODUCTOS Y SERVICIOS QUE SE DESARROLLEN EN EL AYUNTAMIENTO

La privacidad desde el diseño debe tenerse en cuenta tanto con anterioridad al inicio del tratamiento como también cuando ya se esté desarrollando, y está relacionado con uno de los principios fundamentales del RGPD: el principio de de responsabilidad proactiva. Por ello, antes de diseñar un nuevo producto o servicio, y también en el proceso de desarrollo, debemos considerar las medidas que garanticen el cumplimiento de los principios y obligaciones del RGPD.

9.2 TENER ESPECIALMENTE EN CUENTA LA PRIVACIDAD EN LOS NUEVOS PROYECTOS (SMART, BIG DATA etc..)

Con carácter general, se debe llevar a cabo la aplicación de políticas de protección de datos en el desarrollo de los proyectos Smart. En efecto, aunque el análisis de la protección de datos se debe considerar en todos los servicios y productos, existen nuevos retos en los que debe considerarse especialmente. Uno de ellos es el desarrollo de las Smart Cities (u otros proyectos Smart territoriales), a las que la AEPD dedica especial referencia en su Guía de AALL. Como indica la AEPD, en dichos proyectos podemos obtener estadísticas por ejemplo del comportamiento de los ciudadanos que acceden a un centro de ocio, de forma que tengamos información sobre promedios de tiempo y distribución de los lugares en los que transitan. A partir de esta información, se puede sugerir a los responsables del centro de ocio que apliquen horarios de cierre escalonado, de manera que ayuden a prevenir aglomeraciones de personas en determinados espacios públicos y gestionar el transporte público en consecuencia. Incluso esta información puede ser utilizada en tiempo real, de forma coordinada con la distribución de otros servicios como la seguridad o los servicios de emergencia.

9.3 APLICAR PRIVACIDAD, POR DEFECTO, EN TODOS LOS SERVICIOS QUE SE GESTIONEN Y EN LOS PRODUCTOS QUE SE UTILICEN

Tanto en los casos de gestión directa como indirecta. En este segundo caso: exigencia de la privacidad en el diseño a los contratistas de la Administración, en contratos de servicios y suministros, especialmente los de tecnología (se exige a través de cláusulas en los pliegos). Igualmente se adoptarán medidas de exigencia de confidencialidad en el tratamiento de datos a los contratistas de la Administración, especialmente en contratos de concesión de servicios (igualmente se exige a través de cláusulas en los pliegos).

10. TENER EN CUENTA LAS GUÍAS Y DOCUMENTOS DE LA AEPD

Las autoridades de control han publicado diversas guías y documentos de ayuda que pueden resultar muy útiles. Ténganse en cuenta no sólo los actuales, sino también las guías, documentos e informes que en el futuro se publiquen:

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/index-ides-idphp.php

11. NOMBRAMIENTO O EXTERNALIZACIÓN DE LA FIGURA DEL DPO Y OTRAS MEDIDAS EN MATERIA DE RRHH.

Debemos recordar que el RGDP precisamente introduce como obligatoria la figura del Delegado de Protección de Datos (DPO) en determinados supuestos, entre los que se incluye, la necesidad de nombrar un DPO cuando “el tratamiento lo lleve a cabo una autoridad u organismo público” (artículo 37.1.a RGPD) como es el caso de las Administraciones Públicas en las que sus órganos competentes son de composición política (y tienen la condición de autoridad) y en todo caso son organismos públicos. De forma concreta, en las Entidades Locales, dicha obligatoridad se extiende por este motivo a sus entes dependientes de carácter público. Y esto desde una óptica simple, ya que en nuestra opinión se puede asimilar perfectamente el concepto organismo público del RGPD al de sector público de las últimas leyes de Derecho público (la de régimen jurídico, la de contratos…), en cuyo caso la obligación abarcaría a cualquier tipo de entidad dependiente, incluidas fundaciones y sociedades mercantiles, lo cual no se puede negar que sería más coherente en tanto que incluye en un régimen uniforme cualquier tratamiento que proceda, directa o indirectamente, de una entidad responsable de prestar un servicio público.

  • Por un lado la obligación de nombrar un DPO, en todo caso, para las entidades de tipo provincial (Diputaciones, Consejos y Cabildos) y Ayuntamientos “grandes”; y en su caso para Ayuntamientos “medianos”.Una vez reconocida la apuntada obligatoriedad de disponer de un DPO, debemos considerar dos aspectos distintos en cuanto a su configuración en las EELL. Siguiendo en este punto a Eduard Chaveli, tenemos:
  • Y por otro lado la posibilidad de que las citadas entidades supramunicipales (y quizá otras, como Mancomunidades y Comarcas) puedan prestar el servicio de DPO de modo externo a todos los Ayuntamientos “pequeños” dentro de su ámbito, y en su caso al resto.

Respecto a la primera cuestión (a), no nos cabe duda de que las citadas entidades, por tamaño y/o volumen de gestión, precisan incorporar a su Plantilla esta figura. Dice la norma que el DPO actuará de forma independiente, por lo que su posición orgánica no debería someterse al principio de jerarquía (o su casi sinónimo “jerarquización”). Quizá debería ser no un Delegado, sino todo un Departamento si tenemos en cuenta la segunda cuestión (b), ya que precisamente aún reconociendo la existencia, también, de Diputaciones “pequeñas”, no es menos cierto que estas deben dar cobertura a numerosos municipios obviamente aún mucho más pequeños desde el punto de vista de sus recursos. Obviamente se pueden articular las funciones propias de un DPO a través de una figura unipersonal, al menos en un primer momento y sobre todo para el cumplimiento inmediato del Reglamento (que en realidad ya entró en vigor mucho antes del famoso 25 de mayo), pero la creación, a medio o largo plazo, de un Departamento, supone la ventaja de que podría integrarse por especialistas de distintas áreas de la gestión (jurídica, auditoría, financiera, recursos humanos), abarcando un mayor y mejor conocimiento (Eduard Chaveli). Recientemente, el Ayuntamiento de Alzira ha elevado a la AEPD la cuestión preguntando por escrito si el Secretario de la Corporación puede ser nombrado y ejercer como DPO.Adjuntamos como Anexo de la presente entrada la contestación.

En todo caso, más allá de la figura del DPO, quizá sea el momento de crear un Departamento de Seguridad y Protección de Datos en las AAPP. No olvidemos el ENS en el fragor de esta nueva batalla.

12. INCORPORAR LAS CLÁUSULAS DE DEBER DE INFORMACIÓN EN LAS INSTANCIAS, Y EN GENERAL EN TODOS LOS NUEVOS FORMULARIOS O IMPRESOS QUE SE CONFECCIONEN

13. ANALIZAR LA LEGITIMACIÓN DE LA INFORMACIÓN QUE SE PUBLICA. ESPECIAL REFERENCIA A LA QUE SE PUBLICA POR TRANSPARENCIA

Ya hemos hecho referencia a que la legitimación es uno de los puntales en materia de protección de datos, pero en el ámbito público deberemos buscar y encontrar el equilibrio entre protección de datos y transparencia. Como sabemos, y sin perjuicio de lo que establezcan las leyes autonómicas, la Ley estatal de Transparencia establece en su artículo 15 diversas reglas para realizar la debida ponderación.

14. ACTUALIZAR LOS CONTRATOS CON LOS ENCARGADOS QUE YA TENÍA EL AYUNTAMIENTO

Es muy habitual que las administraciones locales tengan proveedores que traten datos de los que son responsables las AALL. Según el artículo 12 de la LOPD del 99:

No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

Los aludidos contratos deben ser actualizados para recoger las nuevas previsiones que dispone el artículo 28 del RGPD, no siendo válidas simples remisiones genéricas al artículo del RGPD que los regula.

  • CONTENIDO MÍNIMO DE LOS CONTRATOS CON ENCARGADOS DEL TRATAMIENTO SEGÚN RGPD
  1. Objeto, duración y naturaleza
  2. Finalidad del tratamiento/s que se autoriza al encargado
  3. Tipo de datos personales y categorías de interesados
  4. Que el encargado tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable
  5. Deber de confidencialidad, secreto profesional
  6. Medidas de seguridad, técnicas y organizativas.  
  7. Régimen de subcontratación (condiciones para que el responsable pueda dar su autorización previa, específica o general, a las subcontrataciones)
  8. Colaboración en el cumplimiento de obligaciones del Responsable
  9. Correcta elección y vigilancia sobre el encargado
  10. Finalización de la relación: supresión o devolución de datos

15. “FIRMAR” CONTRATOS CON LOS NUEVOS ENCARGADOS QUE TENGA EL AYUNTAMIENTO

Y obviamente también deberán firmarse dichos contratos con los nuevos proveedores que traten datos del ayuntamiento.

Pero aquí hay una importante NOVEDAD que observa la AEPD: “La posibilidad de regular esta relación a través de un acto jurídico unilateral del responsable del tratamiento es una novedad del RGPD”.

Pero matiza que “en cualquier caso debe tratarse de un acto jurídico que establezca y defina la posición del encargado del tratamiento, siempre y cuando ese acto vincule jurídicamente al encargado del tratamiento”.

Ejemplo: una resolución administrativa que conste notificada al encargado del tratamiento.

16. SER DILIGENTE EN LA ELECCIÓN DE LOS NUEVOS ENCARGADOS DEL TRATAMIENTO

Aunque la obligación del responsable de ser diligente en la elección del encargado es una cuestión que ya estaba prevista en el RD 1720/2007, el RGPD da un paso más y obliga al responsable a poder acreditar que esto es así. Por tanto, el responsable debe realizar un chequeo sobre la salud en materia de protección de datos de sus proveedores que traten datos de carácter personal del Ayuntamiento.

Una buena forma que contempla el RGPD (aunque no tiene por qué ser la única), es que los encargados exhiban la adhesión a códigos de conducta o que estén certificados. Esta exigencia habrá que relacionarla con el tratamiento que realice el encargado.

17. GUARDAR EL DEBER DE VIGILANCIA EN RELACIÓN CON LOS ENCARGADOS DEL TRATAMIENTO

Pero ese deber de diligencia no sólo se proyecta en el momento de la elección o contratación del encargado, sino también posteriormente en el deber de vigilancia posterior. Pensemos que es posible que un encargado que era inicialmente confiable puede haber cambiado en sus circunstancias (imaginemos que ha variado su situación financiera, o localización, o…), y ello puede impactar en las garantías que ofrece para proteger los datos de los que es responsable el Ayuntamiento, y que aunque esté tratando los datos un tercero no por ello deja de ser responsable el Ayuntamiento.

18. ATENDER LAS SOLICITUDES DE DERECHOS ARCOPL QUE SE PLANTEEN

El RGPD ha supuesto cambios en los derechos ARCO clásicos añadiendo nuevos derechos como la portabilidad o la limitación en el uso de los datos; así como la referencia al derecho al olvido. También se han producido cambios relacionados con el procedimiento para atenderlos: plazo, vías, gratuidad/canon etc.

Por tanto, deberemos tener en cuenta dichos cambios en las nuevas solicitudes de derechos que se planteen.

19. REALIZAR FORMACIÓN CONTINUA

19.1 A QUIENES TENGAN RESPONSABILIDADES EN MATERIA DE PROTECCIÓN DE DATOS

Cumplir con el RGPD supone también disponer de los perfiles que se requiere. Y estos nuevos roles y responsabilidades encontrarán intersecciones con los que el ENS exige. De forma concreta, existe un nuevo rol de necesario nombramiento en las AAPP: el citado DPO ó DPD. Dichos responsables deberán ser formados en (y para) el cumplimiento de sus tareas, y reciclarse.

19.2 A TODO EL PERSONAL

Debemos formar, en general, a toda la plantilla, y también a los concesionarios de servicios públicos. Todos ellos deben formarse y ampliar su cultura en materia de protección de datos, siendo conscientes no solo de la normativa aplicable sino también de las responsabilidades que derivan de la misma.

19.3 A LOS USUARIOS

No debemos olvidar que el eslabón más débil de la cadena de seguridad/privacidad es el usuario, el ciudadano. Podemos cumplir con el resto de obligaciones e incluso “tener un búnker de seguridad”, pero si los interesados no conocen bien sus derechos y obligaciones y no están concienciados, el resto de medidas pueden caer en saco roto.

20. GESTIONAR CORRECTAMENTE LAS VIOLACIONES DE SEGURIDAD

Uno de los principales cambios del RGPD en materia de seguridad es la obligación que incorpora de notificar (a las autoridades de control y/o interesados, según el caso), en ciertos supuestos, las violaciones de seguridad. Ello obligará no sólo a disponer de dichos procedimientos sino incluso a “simularlos”.

21.COMUNICAR CUANDO CORRESPONDA LAS VIOLACIONES DE SEGURIDAD Y PROTECCIÓN DE DATOS A LAS AUTORIDADES COMPETENTES E INTERESADOS

En el caso de que se produzcan dichas violaciones habrá que:

  • Analizar muy bien si existe o no obligación de comunicarlas, y
  • En caso afirmativo, hacerlo de la forma correcta.

22. REALIZAR REVISIONES PARA VERIFICAR QUE LOS CONTROLES (TÉCNICOS, JURÍDICOS Y ORGANIZATIVOS) PLANIFICADOS HAN SIDO INCORPORADOS

Cumplir con el RGPD es trazar un sistema de gestión de protección de datos (integrado con el ENS) y basado en un PDCA. No sólo se trata de planificar e implantar, sino que hay que realizar controles y revisiones para verificar que los controles han sido implantados y también a fin de detectar nuevos posibles riesgos que tratar.

23. PROCEDER A LA SUPERVISIÓN POR PARTE DEL DPO AL QUE SE ASIGNEN ESTAS TAREAS

Este Sistema de gestión de protección de datos debe estar supervisado por el DPO al que se asigne esta función. Para ello deben estar claras las tareas que el DPO tiene asignadas. El esquema de certificación de DPO y el Documento de AAPP y DPO de la AEPD realizan una aproximación que no obstante debemos adaptar.

24. REALIZAR AUDITORÍAS DE PROTECCIÓN DE DATOS INTEGRADAS CON LAS DEL ENS

Aunque no es un tema nuevo porque la intersección entre ENS y protección de datos ya estaba prevista en el propio RD 3/2010 (y así también se contemplaba en la guía STIC 802 en relación con las auditorías integradas), lo cierto es que esta relación se está viendo favorecida con el RGPD. Es el momento de ponerse al día en el cumplimiento del Esquema Nacional de Seguridad.

25. MIRAR DE REOJO EL PROYECTO DE NUEVA LOPD…

Y esto, que no es poco, es prácticamente todo. Ya es 25 de mayo, sí. Hay 25 cosas que usted aún no ha hecho para adaptarse al #RGPD. No importa, pero hay que hacerlas ¿Nos ponemos manos a la obra?

Sigue toda la actualidad con Club de Innovación:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *