Nueva LOPD: impactos en las Administraciones Públicas

Una vez más tuve el placer de dialogar con los compañeros del Programa de Radio “Tecnología y Sentido Común” emitido en el día de ayer, un programa que fue un monográfico sobre la nueva LOPD (aún no publicada), en el que fui entrevistado en la sección “TecnoSociedad” acerca de los impactos de la nueva Ley en las AAPP.

ACTUALIZACIÓN: Publicada en el BOE la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (BOE 6 de diciembre; en vigor desde el 7 de diciembre).

¿Qué impactos principales tiene la nueva LOPD en las AAPP?

Se podrían resumir en los siguientes:

  • Ante todo la nueva Ley deroga la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Esto era muy necesario vista la fecha de la Ley y sobre todo tras la aprobación del Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos. Asimismo queda derogado el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos (que analizamos aquí), el cual obviamente nació con vocación de transitoriedad.
  • Se modifican los apartados 2 y 3 del artículo 28 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, que pasan a tener la siguiente redacción:
    • 2. Los interesados tienen derecho a no aportar documentos que ya se encuentren en poder de la Administración actuante o hayan sido elaborados por cualquier otra Administración. La administración actuante podrá consultar o recabar dichos documentos salvo que el interesado se opusiera a ello. No cabrá la oposición cuando la aportación del documento se exigiera en el marco del ejercicio de potestades sancionadoras o de inspección.
    • Las Administraciones Públicas deberán recabar los documentos electrónicamente a través de sus redes corporativas o mediante consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto.
    • Cuando se trate de informes preceptivos ya elaborados por un órgano administrativo distinto al que tramita el procedimiento, éstos deberán ser remitidos en el plazo de diez días a contar desde su solicitud. Cumplido este plazo, se informará al interesado de que puede aportar este informe o esperar a su remisión por el órgano competente.
    • 3. Las Administraciones no exigirán a los interesados la presentación de documentos originales, salvo que, con carácter excepcional, la normativa reguladora aplicable establezca lo contrario.
    • Asimismo, las Administraciones Públicas no requerirán a los interesados datos o documentos no exigidos por la normativa reguladora aplicable o que hayan sido aportados anteriormente por el interesado a cualquier Administración. A estos efectos, el interesado deberá indicar en qué momento y ante qué órgano administrativo presentó los citados documentos, debiendo las Administraciones Públicas recabarlos electrónicamente a través de sus redes corporativas o de una consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto, salvo que conste en el procedimiento la oposición expresa del interesado o la ley especial aplicable requiera su consentimiento expreso. Excepcionalmente, si las Administraciones Públicas no pudieran recabar los citados documentos, podrán solicitar nuevamente al interesado su aportación.»
  • En una de las disposiciones adicionales se reconoce la llamada “Potestad de verificación de las Administraciones Públicas”, en el sentido de que “Cuando se formulen solicitudes por cualquier medio en las que el interesado declare datos personales que obren en poder de las Administraciones Públicas, el órgano destinatario de la solicitud podrá efectuar en el ejercicio de sus competencias las verificaciones necesarias para comprobar la exactitud de los datos”.
  • Se añade en el Estatuto del empleado público el derecho de estos a la intimidad en el uso de dispositivos digitales puestos a su disposición y frente al uso de dispositivos de videovigilancia y geolocalización, así como a la desconexión digital.
  • Otra disposición digamos “de RRHH” es la adicional 12ª, que establece que “Los tratamientos de los registros de personal del sector público se entenderán realizados en el ejercicio de poderes públicos conferidos a sus responsables, de acuerdo con lo previsto en el artículo 6.1.e) del Reglamento (UE) 2016/679”. Además “Los registros de personal del sector público podrán tratar datos personales relativos a infracciones y condenas penales e infracciones y sanciones administrativas, limitándose a los datos estrictamente necesarios para el cumplimiento de sus fines”.
  • Se modifica la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General, añadiendo un artículo especialmente desafortunado en mi opinión, como es el nuevo 58 bis, que permite a los partidos políticos a acceder a nuestros datos para utilizarlos en campaña electoral, por ejemplo enviándonos propaganda electoral mediante sistemas de mensajería instantánea. No veo el interés público. Sé que ya hay muchas voces autorizadas que están defendiendo la oportunidad este precepto (por ejemplo la propia AEPD), mientras que otras lo critican con fuerza (véase este artículo de Borja Adsuara). Yo me encuentro mucho más cerca de los segundos, y me permito añadir, por ejemplo, que este precepto podría chocar con la Ley 12/2018, de 24 de mayo, de la Generalitat, de publicidad institucional para el interés ciudadano.
  • No olvidemos tampoco que la Administración debe hacer efectivos los derechos de las personas contenidos en los arts. 12 a 18 de la nueva LOPD, que se corresponden con los artículos 15 a 22 del Reglamento (UE) 2016/679, unos derechos que van más allá de los clásicos “ARCO”; y hasta cierto punto los derechos digitales del Título X.
  • Por último, también se modifica La Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, y algunas leyes sectoriales como la Ley 14/1986, de 25 de abril, General de Sanidad.

¿El tratamiento de datos necesario para la tramitación de los expedientes precisa de consentimiento del afectado? TYSC2

Sí, con los matices apuntados. Lo más importante es que se sustituye la necesidad, salvo excepciones, del consentimiento expreso, por la oposición expresa (véase al respecto este informe de la AEPD). Es difícil que se dé esta oposición, pues de lo que se trata es precisamente de hacer efectivo un derecho de las personas como es el de no presentar dos veces el mismo documento o bien simplemente de no presentar certificados que emanan de la administración, aunque la administración sea distinta de la actuante. La administración debe recabar esos datos o documentos en nombre del ciudadano. Es un tratamiento de datos, por tanto, que se hace en beneficio del mismo. Y cuando no existe tal beneficio, por ejemplo porque el expediente administrativo que se tramita es de tipo sancionador, el interesado no puede oponerse ya que obviamente esto supondría un bloqueo de este tipo de procedimientos.

Suponemos que la LOPD consolida la figura del DPO (Delegado de Protección de Datos) creada por el Reglamento europeo. ¿Es así?

Efectivamente, la LOPD consolida la figura del DPO regulada en el Reglamento General de Protección de Datos. Personalmente me alegro, porque yo soy el DPO de mi organización y eso me crea seguridad jurídica. Es una responsabilidad importante. No olvidemos que el DPO es el interlocutor de la entidad ante la AEPD, teniendo facultades de inspección de los procedimientos; y que “Cuando el delegado de protección de datos aprecie la existencia de una vulneración relevante en materia de protección de datos lo documentará y lo comunicará inmediatamente a los órganos de administración y dirección del responsable o el encargado del tratamiento” (que en mi caso podría ser el Alcalde y la Junta de Gobierno).

La Ley añade por primera ver la regulación y garantía de los llamados derechos digitales. ¿En qué afecta esto a la Administración? 

Los derechos digitales son los derechos digitales y la protección de datos es la protección de datos. Yo los habría separado.  Me parece muy bien que se reconozcan unos nuevos derechos “de la Era digital”, como el derecho de acceso universal a Internet, el derecho a la educación digital o el derecho al olvido en búsquedas de Internet, pero podrían haberse recogido en otra Ley. Obviamente todo está relacionado, pero también estaba relacionado el Buen Gobierno con la transparencia y yo también lo habría sacado de la Ley de transparencia.

Precisamente otra de las leyes importantes de los últimos años es la Ley de transparencia. ¿Cómo queda afectada por la nueva LOPD?

La protección de datos siempre se ha visto, e incluso se ha utilizado, como la contrapartida de la transparencia. Pero este aparente conflicto es más sencillo de resolver de lo que parece si simplemente aplicamos el ordenamiento jurídico de forma coordinada (ver “LOPD y transparencia: dos caras de la misma moneda”). Precisamente también se modifica la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, en los siguientes términos:

  • Uno. Se añade un nuevo artículo 6 bis, con la siguiente redacción:
    «Artículo 6 bis. Registro de actividades de tratamiento.
    Los sujetos enumerados en el artículo 77.1 de la Ley Orgánica de Protección de Datos
    Personales y Garantía de los Derechos Digitales, publicarán su inventario de actividades de tratamiento en aplicación del artículo 31 de la citada Ley Orgánica.»
  • Dos. El apartado 1 del artículo 15 queda redactado como sigue:
    «1. Si la información solicitada contuviera datos personales que revelen la ideología, afiliación sindical, religión o creencias, el acceso únicamente se podrá autorizar en caso de que se contase con el consentimiento expreso y por escrito del afectado, a menos que dicho afectado hubiese hecho manifiestamente públicos los datos con anterioridad a que se solicitase el acceso.
    Si la información incluyese datos personales que hagan referencia al origen racial, a la salud o a la vida sexual, incluyese datos genéticos o biométricos o contuviera datos relativos a la comisión de infracciones penales o administrativas que no conllevasen la amonestación pública al infractor, el acceso solo se podrá autorizar en caso de que se cuente con el consentimiento expreso del afectado o si aquél estuviera amparado por una norma con rango de ley.»

¿Qué relación tiene o cómo se integra esta LOPD en uno de los conceptos básicos de la administración electrónica como es el ENS (Esquema Nacional de Seguridad)?

Aquí seré muy breve: si una Administración cumple totalmente con el Esquema Nacional de Seguridad también cumplirá la normativa sobre protección de datos, porque esta se encuentra incluida en aquel.

TYSC
Con los compañeros del programa TYSC, en una de nuestras visitas al programa en su anterior etapa (imagen de archivo)
© Todos los derechos reservados. Nosoloaytos. Web oficial de Víctor Almonacid Lamelas 2018. Aviso legal.

>>> Acceda a la entrevista a través del Podcast del programa (min. 73:25)

Anexo. Frases destacadas:

  • Los empleados públicos tienen derecho a la desconexión digital.  
  • Las AAPP pueden tratar sin problemas datos personales. Necesitan hacerlo. En la nueva LOPD se sustituye el consentimiento expreso por la oposición expresa.
  • La LOPD consolida la figura del #DPO (Delegado de Protección de Datos) creada por el Reglamento europeo.  
  • Los derechos digitales son los derechos digitales y la protección de datos es la protección de datos. Yo los habría separado. 
  • Se modifica la Ley de transparencia. Lo normal es que en un procedimiento de acceso a datos sensibles se requiera el consentimiento expreso y por escrito del afectado.
  • Si una Administración cumple totalmente con el Esquema Nacional de Seguridad también cumplirá la normativa sobre protección de datos. 

NOTA FINAL. Una excelente primera valoración de la nueva Ley la encontrarán en el artículo “Por qué la nueva LOPD (LOPDGDD ) nos Inquieta, nos atormenta y nos perturba“, de Ofelia Tejerina.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s