La protección de datos en la administración local

Como dijimos en los Los guardianes de los Tratados“, una serie de Sentencias que han redefinido y asegurado el campo en el que se juega la privacidad. Esta nueva doctrina ha sido rematada con el Reglamento general de protección de datos de la UE. ¿Cómo afecta este nuevo marco a las Entidades Locales?

En primer lugar recordemos brevemente qué decían estas Sentencias:

  • A) Sentencia de 6 de octubre de 2015, asunto C-362/14 (conocida como Safe Harbur), donde se declara POR SEGUNDA VEZ, inválida la Decisión de la Comisión que declaró que Estados Unidos garantiza un nivel adecuado de protección de los datos personales transferidos. La anterior Sentencia es la de 30 de Mayo de 2006, asuntos C-317/04 y C-318/04.
  • B) Sentencia de 1 de octubre de 2015, asunto C-230/14, donde se declara que la normativa de un Estado, en protección de datos, puede aplicarse a una sociedad extranjera que realice en ese estado una actividad real y efectiva mediante una instalación estable. Habla también esta sentencia de la necesaria diligencia en la cooperación entre autoridades de control de diversos estados.
  • C) Sentencia de 1 de octubre de 2015, asunto C-201/14, donde se declara que las personas cuyos datos personales son objeto de transmisión y tratamiento entre dos administraciones públicas, deben ser informadas de ello previamente. Esta Sentencia es un poco la madre del cordero, pues en ella se analiza el marco jurídico relativo al tratamiento de datos personales, la obligación como decimos de informar a los interesados, sus excepciones y limitaciones, y su aplicación al caso concreto de una transmisión por parte de una administración pública de un estado miembro, de datos fiscales personales para su tratamiento por parte de otra administración pública. En todo caso, estamos más bien con César Herrero (se enlaza su artículo in fine), cuando pondera su impacto y argumenta que “En ausencia de oposición del interesado, las Administraciones Públicas deberán recabar los documentos electrónicamente a través de sus redes corporativas o mediante consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto”. La nueva ley de procedimiento administrativo, precisamente de 1 de octubre de 2015, da pie a dicha interpretación.
  • D) Sentencia de 11 de diciembre de 2014, asunto C-212/13, donde se declara que la Directiva sobre Protección de Datos Personales alcanza y se aplica a la grabación con una cámara de video instalada por una persona en una vivienda familiar y dirigida hacia la vía pública.
  • E) Sentencia de 13 de Mayo de 2014, asunto (C-131/12) (conocida como sentencia Google), donde se declara que el gestor de un motor de búsqueda en Internet, es responsable del tratamiento que aplique a los datos de carácter personal que aparezcan en las páginas web publicadas por terceros.
  • F) Sentencia de 8 de Abril de 2014, asuntos C-293/12 y C-594/12, donde se declara inválida la Directiva sobre conservación de datos, por constituir una injerencia de especial magnitud y especial gravedad sobre la privacidad de las personas.

En las anteriores sentencias, también es altamente recomendable la lectura del informe del Abogado General que intervino en los procedimientos. Y podríamos alargar la lista. No se han relacionado sentencias de derechos que podrían ser conexos con la privacidad, como el derecho a la imagen o al honor.

Para certificar esta relativa seguridad jurídica, podemos asumir con un moderado optimismo el contenido del citado nuevo Reglamento general de protección de datos recién aprobado, en tanto en cuanto, según la fuente http://www.europarl.europa.eu/, establece nuevas reglas que abarcan:

  • el derecho al “olvido”, mediante la rectificación o supresión de datos personales,
  • la necesidad de “consentimiento claro y afirmativo” de la persona concernida al tratamiento de sus datos personales,
  • la “portabilidad”, o el derecho a trasladar los datos a otro proveedor de servicios,
  • el derecho a ser informado si los datos personales han sido pirateados,
  • lenguaje claro y comprensible sobre las cláusulas de privacidad, y
  • multas de hasta el 4% de la facturación global de las empresas en caso de infracción.

Por lo demás, hablamos de un Reglamento aplicable en mayo de 2018, pero al que habrá que adaptarse desde ya mismo. Recordemos además que no es una Directiva, por lo que cualquier debate sobre la transposición está cerrado, si bien es muy conveniente que se modifique la LOPD para adaptarse a la nueva norma europea, si bien hasta entonces no cabe duda de que la desplaza en las materias reguladas. Primacía del Derecho europeo y efecto directo en su máxima expresión.

Muchos debates interesantes a partir del nuevo (y garantista) RGPD.  P.ej.: las sesiones del pleno municipal, en las que los datos van y vienen, se graban y retransmiten en directo...
Muchos debates interesantes a partir del nuevo (y garantista) RGPD. P.ej.: las sesiones del pleno municipal, en las que los datos van y vienen, se graban y retransmiten en directo…

El RGPD es en realidad un intento por armonizar la distinta legislación y garantizar el máximo nivel de protección, lo cual no es nada fácil en el mundo de Internet. Es por esto que se amplía el ámbito territorial. Incluye a las empresas globales como Google. Esto es una garantía adicional.

Como nos explicaron los expertos de GOVERTIS en una reciente Jornada, la clave del RGPD es el tratamiento de datos. Ya no es tan importante el fichero de datos como su tratamiento, es el nuevo pivote de los datos porque lo que realmente importa es el uso de los mismos. En el mercado europeo tiene sentido la libre circulación de los datos.

Desde el punto de vista de las obligaciones de la Administración, debemos elaborar y aprobar un Registro de actividades del tratamiento, que de alguna manera sustituye al Documento de Seguridad que tenemos aprobado en cumplimiento del ENS. Reparte responsabilidades entre una serie de sujetos que deberemos identificar: responsable de seguridad, encargado del tratamiento, delegado de protección de datos… Este documento, que deberá integrarse con las medidas de seguridad, las políticas de seguridad, y la evaluación de impacto, no es obligatorio para empresas de menos de 250 trabajadores.

Aparecen las categorías especiales de datos, que en realidad son los datos especialmente sensibles (condenas penales…). Aparecen los datos biométricos, a todas luces la medida de identificación electrónica del futuro a corto plazo.

Recordemos que los datos biométricos son los datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos. Véase la Resolución de 6 de abril de 2016, del Servicio Público de Empleo Estatal, por la que se aprueba el sistema de firma electrónica mediante captura de firma digitalizada con datos biométricos para relacionarse presencialmente con el Servicio Público de Empleo Estatal, que prevé la manera en la que el ciudadano firmará solicitudes y otros documentos mediante un dispositivo de captura de firma manuscrita disponible en la red de oficinas del Servicio Público de Empleo Estatal, con almacenamiento de datos biométricos, como las coordenadas espaciales, la velocidad y la presión en el trazo (César Herrero). Por su parte, «datos genéticos», son datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona (RGPD).

El RGPD también refuerza los derechos de titular de los datos, así como las garantías para su protección, en la línea jurisprudencial antedicha, y de este modo se regulan los derechos de supresión (derecho al olvido), para el caso de que los datos ya no sean relevantes o se hayan obtenido de forma ilícita; el derecho a la portabilidad, o el derecho a obtener una copia electrónica e interoperable de los datos, precisamente para su tratamiento. Un tratamiento para cuya licitud se requiere consentimiento expreso del titular, o de la persona que ostente la patria potestad en el caso de menores de 13 años.

En resumen, bastantes obligaciones nuevas o “seminuevas”. Interesa la redacción de párrafos/cláusulas estándar para que los marquen los interesados.

© Todos los derechos reservados. Nosoloaytos. Web oficial de Víctor Almonacid Lamelas 2016. Aviso legal.

Anexo I. Documentación de interés

ANEXO II. Últimas Resoluciones destacadas de la AEPD. Especial referencia a las que tienen incidencia en las AAPP. Fuente: http://www.agpd.es/

Autorización Transferencias Internacionales

Administraciones Públicas

Archivos de Actuaciones

Procedimientos Sancionadores

Procedimientos de Apercibimiento

Tutela de Derechos

ANEXO II. Informes relativos al Padrón Municipal de habitantes. Fuente: http://www.agpd.es/

Número del informe Título
2013-0074 Cesión de datos del padrón a notario en venta extrajudicial.
2011-0163 Cesión de datos de padrón a consulado extranjero no puede ampararse en artículo 16.3 LBRL.
2010-0399 Entrega copia de padrón a Juzgado de Paz para efectuar citaciones. Improcedencia
2010-0122 Cesión del Padrón a la Policía Local
2009-0552 Acceso a datos padrón por empresa prestadora servicio aguas. Encargado del tratamiento
2009-0338 Cesión de datos del padrón a Entidad Local menor
2009-0169 Cesión Datos Padrón a otras Administraciones
2009-0029 Cesión de datos del Padrón a Consulado extranjero. Improcedencia
2008-0141 Reclamación de certificado del padrón por asistentes sociales
2008-0124 Comunicación del Padrón a colegios públicos para escolarización de los alumnos
2007-0379 Acceso a datos del padrón por particulares
2006-0087 Utilización de datos del Padrón para la remisión de una carta de bienvenida
2005-0174 Padrón Municipal de Habitantes
2004-0211 Acceso al padrón por las Fuerzas y Cuerpos de Seguridad
2001-0000 Censo de Población de las Administraciones Públicas y cesiones de datos del padrón
2001-0000 Acceso a los datos del Padrón por concejales de las corporaciónes locales
2000-0000 Tratamiento y cesión de los datos contenidos en el Padrón Municipal de Habitantes

ANEXO III. Informes jurídicos destacados de la AEPD. Fuente: http://www.agpd.es/

Número del Informe

Título

2014-0196

2014-0182

Contenido de la información de la segunda capa en cookies.

Cesión a concejales de historia social.

2014-0093

2014-0083

Información en dos capas de cookies. Documento sobre Política de privacidad y cookies.

Ámbito subjetivo de aplicación de normativa de cookies.

2014-0011

El consentimiento para el uso de cookies. No cabe un sistema de opt out.

2013-0360

Condición de responsable o encargado de los Centros sanitarios privados concertados por una Mutua para prestar servicios sanitarios.

2013-0257

Cesión de informes de tasación de costas a la Agencia Tributaria.

2013-0197

Red social deportiva. Publicación de vídeos de menores.

2013-0184

Red social y creación de perfiles de empleados.

2013-0147

Acceso a datos de fichero de solvencia en base a interés legítimo.

2013-0127

Sustracción de recién nacidos. Aportación de perfiles de ADN de fallecidos.

2013-0077

Captación y grabación de imágenes de empleados públicos.

2013-0074

Cesión de datos del Padrón a notario en venta extrajudicial.

2013-0070

Uso por bancos de datos de domiciliaciones con fines comerciales.

2013-0052

Cámaras de videovigilancia en Comunidad de Propietarios. Legitimación.

2013-0016

Cesión a concejal de datos de teléfonos móviles contratados por el Ayuntamiento.

2013-0014

Cancelación de sanciones disciplinarias prescritas.

2013-0012

Medalla con código QR que incluye historia clínica de un paciente.

2012-0452

Uso de dato de salud en contratos de seguros.

2012-0438

Cesión de datos de historia clínica para retirada del permiso de conducción.

2012-0437

Gratuidad del derecho de acceso a historia clínica.

2012-0434

Cesión a Protección Civil de imágenes captadas con cámaras de videovigilancia de tráfico.

2012-0421

Sustracción de recién nacidos. Efectos de la revocación del consentimiento para la inclusión de datos en la base de datos de ADN.

2012-0382

Cesión de datos de condena penal a colegio de médicos de país de la Unión Europea.

2012-0342

Cesión de datos de denunciantes al denunciado en un expediente sancionador.

2012-0338

Acceso a libro de registro de socios.

2012-0333

Encargado del tratamiento en virtud de atribución de competencias.

2012-0328

Captación y procesamiento de imágenes para medición de audiencias.

2012-0297

Registro de matrículas para evitar impagos en estaciones de servicio.

2012-0280

Acceso a ficheros de solvencia y ejercicio de derechos por representante.

2012-0271

Cesión para comprobar el requisito de residencia para bonificación al transporte insular.

2012-0267

Consecuencias de la reordenación del SIP.

2012-0261

Interés legítimo para antipiratería.

2012-0252

Posibilidad de que entidades locales participen en ficheros de solvencia.

2012-0233

Cesión de datos de los asociados. Interés legítimo.

2012-0178

Uso de datos por empresas de recobro. Interés legítimo.

2012-0176

Cesión de listado de llamadas recibidas en teléfono corporativo.

2012-0168

Sistema de evaluación de calidad. Mistery Shopping.

2012-0144

Cláusula de consentimiento en ficheros positivos.

2012-0121

Acceso a datos de retribuciones por colegiados.

2012-0119

Publicación en Internet de datos de los contratistas relativos a deudas de los Ayuntamientos.

2012-0115

Cesión de datos de grabación con videocámara para presentación de demanda.

2012-0112

Interés legítimo. Empresas de recobro.

2012-0111

Interés legítimo. Transmisiones marca-concesionario.

2012-0080

Tratamiento de datos en la investigación de casos de sustracción de recién nacidos.

2012-0002

Datos de salud de familiares para permisos y traslados.

2011-0482

Sistema de rastreo para prevención de suplantación en sms.

2011-0404

Ficheros comunes de prevención del blanqueo. Garantías.

2011-0392

Reconocimiento facial en acceso a clases.

2011-0241

Utilización de red social para fines publicitarios.

Anuncios

One thought on “La protección de datos en la administración local

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s