Implantación de la nueva #LOPDGDD en la Administración Local

Ya está en vigor la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (BOE 6 de diciembre; en vigor desde el 7 de diciembre). Llamémosla LOPDGDD por cierto, y no simplemente LOPD. Podremos decir que no estamos adaptados a esta Ley, pero no que represente una sorpresa, salvo para los que no vieran venir la jugada de lejos con la jurisprudencia del TJUE de los últimos tiempos en materia de protección de datos y sobre todo con el RGPD (REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos), el cual ha sido objeto de nuestra consideración en diversas ocasiones (véase por todas “Ya es 25 de mayo: las 25 tareas que debe realizar un Ayuntamiento para cumplir el #RGPD”).

Es el momento ahora de completar lo ya dicho por diversos expertos en diversas ocasiones (consultar documentación anexa a la presente entrada) con el análisis de la incidencia de la LOPDGDD en el ámbito concreto de la Administración Local, que es de la que hablamos en Nosoloaytos. Y para ello desarrollaremos los siguientes ítems:

Adiós a la LOPD (un nuevo régimen jurídico)

Ante todo, la nueva LOPDGDD deroga la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Esto era muy necesario vista la antigüedad de la anterior Ley (anterior a la transparencia, al desarrollo del mundo digital, a la administración electrónica, al ENS) y sobre todo tras la aprobación del RGPD (Reglamento UE 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos). Cierto es que el RGPD no necesitaba transposición al no ser una Directiva, pero las normas europeas siempre necesitan adaptación al ordenamiento jurídico interno, por razones de seguridad jurídica, del mismo modo que las Leyes del Estado suelen necesitar de adaptación a la realidad local a través de su desarrollo mediante Ordenanzas y Reglamentos locales, respecto de los cuales se nos ha dicho que no abusemos (Ley 39/2015), pero no que no los usemos. Faltaría más. Algunos ya estamos adaptando los reglamentos municipales a la LOPDGDD, matizando también los documentos derivados del ENS. Asimismo queda derogado el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos (que analizamos aquí), el cual obviamente nació con vocación de transitoriedad.

Modificación de la Ley de procedimiento

La LOPDGDD modifica los apartados 2 y 3 del artículo 28 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, que pasan a tener la siguiente redacción (ojo a la negrita):

2. Los interesados tienen derecho a no aportar documentos que ya se encuentren en poder de la Administración actuante o hayan sido elaborados por cualquier otra Administración. La administración actuante podrá consultar o recabar dichos documentos salvo que el interesado se opusiera a ello. No cabrá la oposición cuando la aportación del documento se exigiera en el marco del ejercicio de potestades sancionadoras o de inspección.

Las Administraciones Públicas deberán recabar los documentos electrónicamente a través de sus redes corporativas o mediante consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto.

Cuando se trate de informes preceptivos ya elaborados por un órgano administrativo distinto al que tramita el procedimiento, éstos deberán ser remitidos en el plazo de diez días a contar desde su solicitud. Cumplido este plazo, se informará al interesado de que puede aportar este informe o esperar a su remisión por el órgano competente.

3. Las Administraciones no exigirán a los interesados la presentación de documentos originales, salvo que, con carácter excepcional, la normativa reguladora aplicable establezca lo contrario.

Asimismo, las Administraciones Públicas no requerirán a los interesados datos o documentos no exigidos por la normativa reguladora aplicable o que hayan sido aportados anteriormente por el interesado a cualquier Administración. A estos efectos, el interesado deberá indicar en qué momento y ante qué órgano administrativo presentó los citados documentos, debiendo las Administraciones Públicas recabarlos electrónicamente a través de sus redes corporativas o de una consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto, salvo que conste en el procedimiento la oposición expresa del interesado o la ley especial aplicable requiera su consentimiento expreso. Excepcionalmente, si las Administraciones Públicas no pudieran recabar los citados documentos, podrán solicitar nuevamente al interesado su aportación.»

humor protección de datosEntonces… ¿El tratamiento de datos necesario para la tramitación de los expedientes precisa de consentimiento del afectado? Sí, con los matices apuntados. Lo más importante es que se sustituye la necesidad, salvo excepciones, del consentimiento expreso, por la oposición expresa (véase al respecto este informe de la AEPD). Es difícil que se dé esta oposición, pues de lo que se trata es precisamente de hacer efectivo un derecho de las personas como es el de no presentar dos veces el mismo documento o bien simplemente de no presentar certificados que emanan de la administración, aunque la administración sea distinta de la actuante. La administración debe recabar esos datos o documentos en nombre del ciudadano. Es un tratamiento de datos, por tanto, que se hace en beneficio del mismo. Y cuando no existe tal beneficio, por ejemplo porque el expediente administrativo que se tramita es de tipo sancionador, el interesado no puede oponerse ya que obviamente esto supondría un bloqueo de este tipo de procedimientos. Todo ello sin perjuicio de lo dispuesto en la D.A.8ª (Potestad de verificación de las Administraciones Públicas).

Consentimiento del afectado

En todo caso parece adecuado referirnos al consentimiento del afectado, toda vez que va a ser necesario recabarlo en diversos casos de “tratamiento”. El art. 6 de la LOPDGDD regula el Tratamiento basado en el consentimiento del afectado (ver), si bien nos parece más didáctico el art. 7 del RGPD cuando establece las siguientes “Condiciones para el consentimiento” (totalmente aplicable a las AAPP):

1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.
2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.
3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.
4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.

Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos

El artículo 8 LOPDGDD regula estos tres supuestos en sus dos apartados:

1. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el artículo 6.1.c) del Reglamento (UE) 2016/679 (“el tratamiento será lícito si dicho tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento“), cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Dicha norma podrá igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras establecidas en el capítulo IV del Reglamento (UE) 2016/679.

2. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, en los términos previstos en el artículo 6.1 e) del Reglamento (UE) 2016/679 (“el tratamiento será lícito si dicho tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento“), cuando derive de una competencia atribuida por una norma con rango de ley.

Transparencia y protección de datos

Modificaciones en la Ley de transparencia. La protección de datos siempre se ha visto, e incluso se ha utilizado, como la contrapartida de la transparencia. Pero este aparente conflicto es más sencillo de resolver de lo que parece si simplemente aplicamos el ordenamiento jurídico de forma coordinada (ver “LOPD y transparencia: dos caras de la misma moneda”). En palabras de Borja Adsuara, la transparencia consiste en una serie de derechos sobre los datos; mientras que la protección de datos contiene derechos sobre nuestros datos, de modo que son disciplinas absolutamente emparentadas. Precisamente la LOPDGDD modifica la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, en los siguientes términos:

  • Uno. Se añade un nuevo artículo 6 bis, con la siguiente redacción:
    «Artículo 6 bis. Registro de actividades de tratamiento.
    Los sujetos enumerados en el artículo 77.1 de la Ley Orgánica de Protección de Datos
    Personales y Garantía de los Derechos Digitales, publicarán su inventario de actividades de tratamiento en aplicación del artículo 31 de la citada Ley Orgánica.»
  • Dos. El apartado 1 del artículo 15 queda redactado como sigue:
    «1. Si la información solicitada contuviera datos personales que revelen la ideología, afiliación sindical, religión o creencias, el acceso únicamente se podrá autorizar en caso de que se contase con el consentimiento expreso y por escrito del afectado, a menos que dicho afectado hubiese hecho manifiestamente públicos los datos con anterioridad a que se solicitase el acceso.
    Si la información incluyese datos personales que hagan referencia al origen racial, a la salud o a la vida sexual, incluyese datos genéticos o biométricos o contuviera datos relativos a la comisión de infracciones penales o administrativas que no conllevasen la amonestación pública al infractor, el acceso solo se podrá autorizar en caso de que se cuente con el consentimiento expreso del afectado o si aquél estuviera amparado por una norma con rango de ley.»

Información al afectado. El artículo 11 LOPDGDD debe ser interpretado en este caso de manera conjunta con los artículos 13 y 14 del RGPD, y por supuesto la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno. Dicho artículo 11 contiene tres apartados:

1. Cuando los datos personales sean obtenidos del afectado el responsable del tratamiento podrá dar cumplimiento al deber de información establecido en el artículo 13 del Reglamento (UE) 2016/679 (“Información que deberá facilitarse cuando los datos personales se obtengan del interesado“) facilitando al afectado la información básica a la que se refiere el apartado siguiente e indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.

2. La información básica a la que se refiere el apartado anterior deberá contener, al menos: a) La identidad del responsable del tratamiento y de su representante, en su caso; b) La finalidad del tratamiento; c) La posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679. Si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, la información básica comprenderá asimismo esta circunstancia. En este caso, el afectado deberá ser informado de su derecho a oponerse a la adopción de decisiones individuales automatizadas que produzcan efectos jurídicos sobre él o le afecten significativamente de modo similar, cuando concurra este derecho de acuerdo con lo previsto en el artículo 22 del Reglamento (UE) 2016/679.

3. Cuando los datos personales no hubieran sido obtenidos del afectado, el responsable podrá dar cumplimiento al deber de información establecido en el artículo 14 del Reglamento (UE) 2016/679 (“Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado”) facilitando a aquel la información básica señalada en el apartado anterior, indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información. En estos supuestos, la información básica incluirá también: a) Las categorías de datos objeto de tratamiento; b) Las fuentes de las que procedieran los datos.

Identificación de los interesados en las notificaciones por medio de anuncios y publicaciones

La D.A.7ª regula exactamente esta cuestión (Identificación de los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos). A este respecto indicar que precisamente la Agencia Estatal Boletín Oficial del Estado acaba de emitir el siguiente comunicado:

“El 7 de diciembre de 2018 se ha producido la entrada en vigor de la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales. Entre otros contenidos, esta norma regula la forma en que deben identificarse los interesados en los anuncios de notificación que se publican en el Tablón Edictal Único del BOE:

  • Esta identificación se realizará exclusivamente mediante el número completo de su documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente.
  • Cuando el afectado careciera de cualquiera de los documentos mencionados, se identificará al afectado únicamente mediante su nombre y apellidos.
  • En ningún caso debe publicarse el nombre y apellidos de manera conjunta con el número completo del documento.

Dado el carácter automatizado del sistema de remisión y gestión telemática de los anuncios de notificación, se recuerda que las unidades remisoras son responsables del contenido del anuncio a publicar, por lo que deben garantizar que su redacción responde a lo dispuesto por la nueva ley”.

El Delegado de Protección de Datos

La LOPDGDD consolida la figura del DPO regulada en el Reglamento General de Protección de Datos. Personalmente me alegro, porque yo soy el DPO de mi organización y esto me crea seguridad jurídica. Es una figura, por tanto, obligatoria (que se puede articular no obstante de diferentes modos, tal y como explicamos en el audio insertado unas líneas más abajo). Obligatorio, ojo, como también lo es el responsable y el encargado del tratamiento, los cuales vamos a dar por sentado que los tienen ustedes “ubicados” en cada organización. Volviendo al DPO, es una responsabilidad importante. No olvidemos que el DPO es el interlocutor de la entidad ante la AEPD, teniendo facultades de inspección de los procedimientos; y que “Cuando el delegado de protección de datos aprecie la existencia de una vulneración relevante en materia de protección de datos lo documentará y lo comunicará inmediatamente a los órganos de administración y dirección del responsable o el encargado del tratamiento” (que en nuestro caso podría ser el Alcalde y la Junta de Gobierno). Como señala Rafael Jiménez Asensio, “La figura del Delegado de Protección de Datos reitera algunas de las características recogidas en el RGPD (artículos 37 a 39), pero con algunas exigencias adicionales:

  • La comunicación a la autoridad de control en el plazo de diez días del nombramiento y cese del DPD (artículo 34.3)
  • La dedicación a tiempo completo o parcial del DPD, en función del tipo de datos que se traten (artículo 34.5)
  • La “obtención de titulación universitaria” (¿se refiere a postgrados?) para demostrar a través de mecanismos de certificación el cumplimiento de los requisitos del artículo 37.5 RGPD
  • La garantía, siempre que se trate de persona física, de no remoción y de independencia, evitando cualquier conflicto de intereses del DPD (Art. 36.2), lo que puede poner en duda algunos nombramientos en función del tipo de tareas que se desarrollen (dedicación parcial).
  • La facultad del DPD de inspeccionar los procedimientos relacionados con el objeto de la Ley y emitir recomendaciones (artículo 36)
  • La facultad de documentar y comunicar a los órganos competentes la existencia de una vulneración relevante en materia de protección de datos.
  • Y el régimen de intervención del DPD en los supuestos de reclamaciones ante las autoridades de control (artículo 37)”.

Por lo demás nos remitimos a la lectura de los aludidos arts. 34 a 37 LOPDGDD (“Delegado de protección de datos”) y sobre todo a nuestro estudio monográfico “El Delegado de Protección de Datos en la Administración Local #DPO”.

Derechos digitales

Ya hemos indicado que esta no es una nueva LOPD, sino una LOPDGDD. Ahora bien, los derechos digitales son los derechos digitales y la protección de datos es la protección de datos. Yo los habría separado. Nos parece muy bien que se reconozcan unos nuevos derechos “de la Era digital”, como el derecho de acceso universal a Internet, el derecho a la educación digital o el derecho al olvido en búsquedas de Internet, pero podrían haberse recogido en otra Ley. Obviamente todo está relacionado, pero también estaba relacionado el Buen Gobierno con la transparencia y en su momento también lo habríamos sacado de la Ley de transparencia. En todo caso, hablando de la GDD, como poderes públicos que somos los entes que conforman la Administración Local, nos corresponde, en gran medida, la garantía de su ejercicio.

Esquema Nacional de Seguridad

Aquí seremos muy tajantes: si una Administración cumple totalmente con el Esquema Nacional de Seguridad también cumplirá la normativa sobre protección de datos, porque esta se encuentra incluida en aquel, aunque la LOPDGDD sea una Ley Orgániza y el ENS un simple Real Decreto desarrollado por las NTI. En todo caso la nueva Ley contiene una referencia expresa al ENS, de forma concreta en la D.A.1ª, cuyo tenor literal es el siguiente:

Disposición adicional primera Medidas de seguridad en el ámbito del sector público

1. El Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el artículo 32 del Reglamento (UE) 2016/679.

2. Los responsables enumerados en el artículo 77.1 de esta ley orgánica deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado.

En los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad.

Por tanto, la integración de la protección de datos en el ENS es de tipo conceptual, no jerárquica normativa. Pronto verá la luz la Guía CCN-STIC 881 de impacto del RGPD en el ENS. El objetivo es desarollar un modelo de evaluación combinado que sea más sencillo de aplicar. Finalmente solo recordar que es incompatible la figura del DPO con la del responsable de seguridad de la información del ENS. A mayor abundamiento véase “Seguridad jurídica y seguridad informática: dos caras de la misma moneda”.

75 medidas ENS
Fuente: CCN-CERT

Otros impactos en la Administración Local

  • Tratamientos de los registros de personal del sector público. Otra disposición digamos “de RRHH” es la adicional 12ª, que establece que “Los tratamientos de los registros de personal del sector público se entenderán realizados en el ejercicio de poderes públicos conferidos a sus responsables, de acuerdo con lo previsto en el artículo 6.1.e) del Reglamento (UE) 2016/679”. Además “Los registros de personal del sector público podrán tratar datos personales relativos a infracciones y condenas penales e infracciones y sanciones administrativas, limitándose a los datos estrictamente necesarios para el cumplimiento de sus fines”.
  • Modificación de la LOREG. La LOPDGDD modifica la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General añadiendo un artículo especialmente desafortunado en mi opinión, como es el nuevo 58 bis, que permite a los partidos políticos a acceder a nuestros datos, y utilizarlos por ejemplo enviándonos propaganda electoral en base a nuestro perfil ideológico (algo que tiene un enorme margen de error) mediante sistemas de mensajería instantánea. Llámenme miope pero no veo el interés público. Sé que ya hay voces autorizadas que están defendiendo la oportunidad este precepto (por ejemplo la propia AEPD), mientras que otras lo critican con fuerza (véase este artículo de Borja Adsuara y alguno más que recogemos en la documentación anexa a la presente entrada). Yo me encuentro mucho más cerca de los segundos, y me permito añadir, por ejemplo, que este precepto podría chocar con la Ley 12/2018, de 24 de mayo, de la Generalitat, de publicidad institucional para el interés ciudadano.
  • Datos de las personas fallecidas. El nuevo art. 3 obviamente afecta a la Administración Local, donde se gestionan y tratan datos de las personas fallecidas del municipio, así como de otros interesados.
  • GDD. No olvidemos tampoco que la Administración debe hacer efectivos los derechos de las personas contenidos en los arts. 12 a 18 de la nueva LOPDGDD, que se corresponden con los artículos 15 a 22 del Reglamento (UE) 2016/679, unos derechos que van más allá de los clásicos “ARCO”; y también, con los matices indicados, los derechos digitales del Título X.
  • Otras modificaciones legales. Por último, también se modifica La Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, y algunas leyes sectoriales como la Ley 14/1986, de 25 de abril, General de Sanidad.

Seguiremos informando.

“Si piensas que la tecnología puede solucionar tus problemas de seguridad, está claro que ni entiendes los problemas ni entiendes la tecnología” (Bruce Schneier)

© Todos los derechos reservados. Nosoloaytos. Web oficial de Víctor Almonacid Lamelas 2018. Aviso legal

Anexo. Recursos para implantar la LOPDGDD en los Ayuntamientos.

Anuncios

One response to “Implantación de la nueva #LOPDGDD en la Administración Local

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s