El cumplimiento de la normativa de Proteccin de

El cumplimiento de la normativa de Protección de Datos Personales en la Administración Local

Índice 1. Conceptos sobre protección de datos. 2. Obligaciones de las Entidades Locales como responsables del tratamiento. 3. Atención a los derechos de los interesados. 4. Tratamientos de datos en las Entidades Locales. 2

Índice 1. Conceptos sobre protección de datos. 2. Obligaciones de las Entidades Locales como responsables del tratamiento. 3. Atención a los derechos de los interesados. 4. Tratamientos de datos en las Entidades Locales. 3

Conceptos básicos sobre protección de datos Normativa de aplicación. • Constitución Española: artículo 18. 4: “La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. • REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD) • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). • Instrucciones/ Circulares de la AEPD. 5

Conceptos básicos sobre protección de datos Normativa de aplicación. • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD): • Incorporar al Derecho nacional previsiones interpretación RGPD, cuando sea necesario. Complemento del RGPD. • Regulación datos de personas fallecidas. • Se fija la edad de consentimiento del menor de edad. • Regula posibles tratamiento concretos, entre ellos, el de los sistemas de denuncias internas, videovigilancia, ficheros de solvencia… • Relación de entidades que requieren DPD y su configuración como figura para resolver conflictos en protección de datos. • El Régimen de la AEPD • Procedimiento sancionador y sanciones • Derechos digitales 6

Conceptos básicos sobre protección de datos Ámbito material de aplicación del RGPD. El RGPD se aplica: • Al tratamiento total o parcialmente automatizado de datos personales. • Al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. 7

Conceptos básicos sobre protección de datos Ámbito material de aplicación del RGPD. Tratamientos excluidos: • Actividades no comprendidas en el ámbito del Derecho de la UE. Ejemplo: seguridad nacional. • Actividades comprendidas en el capítulo 2 del Título V del TUE: PESC. • Efectuados por una persona física en el ejercicio de actividades exclusivamente personales o domésticas. Ejemplo: agendas personales. • Ámbito de aplicación de la Directiva 2016/680. • Datos de personas fallecidas. • Datos de personas jurídicas. 8

Conceptos básicos sobre protección de datos Conceptos básicos. • Dato personal: toda información sobre una persona física identificada o identificable; se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. • Ejemplos: nombre y apellidos, imagen, DNI, correo electrónico, dirección IP. • ¿Nº de móvil? ¿Matrícula? 9

Conceptos básicos sobre protección de datos Conceptos básicos. • Categorías especiales de datos: datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física. • Datos genéticos: en particular del análisis de una muestra biológica de tal persona. Por ejemplo: ADN. • Datos biométricos: huella dactilar, reconocimiento facial, huella de la oreja, patrón venoso de una mano, forma de caminar de una persona. . . 10

Conceptos básicos sobre protección de datos Conceptos básicos. • Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción. • Padrón municipal de habitantes • Concesión de subvenciones y ayudas • Imposición de sanciones • Otorgamiento de licencias o autorizaciones • Gestión de tributos • Registros de documentos • Gestión de recursos humanos • Sistema educativo 11

Conceptos básicos sobre protección de datos Conceptos básicos. • Fichero: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica. • Si no: no es fichero. • Responsable del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento. • Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento. • Ejemplos: gestoría laboral o fiscal, contratación de servicios informáticos, servicios de marketing, computación en la nube. . . • NO: personas autorizadas bajo la autoridad del responsable. 12

Conceptos básicos sobre protección de datos Conceptos básicos. • Entre responsable y encargado: contrato o acto jurídico que vincule al encargado respecto del responsable y con el contenido del artículo 28 RGPD: • • • Encomiendas de gestión Convenios. Contratos. Norma organizativa: se atribuyen funciones a unidad transversal. Evolución de la figura del encargado en el RGPD: obligaciones y responsabilidades. 13

Conceptos básicos sobre protección de datos Conceptos básicos. • Consentimiento: manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos que le conciernen. • Brecha de seguridad de los datos: la que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. • Seudonimización: tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable. 14

Conceptos básicos sobre protección de datos Conceptos básicos. • Elaboración de perfiles: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física. • Ejemplos: publicidad conductual, perfiles de solvencia, perfiles en base a tecnología Big Data. • Bloqueo de datos: La identificación y reserva de los mismos, adoptando medidas técnicas y organizativas, para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y sólo por el plazo de prescripción de las mismas. 15

Conceptos básicos sobre protección de datos Principios del tratamiento. 16

Conceptos básicos sobre protección de datos Principio de licitud, lealtad y transparencia. ● Licitud: tratamiento amparado en una base jurídica del RGPD. ● Lealtad: no tratamiento desleal o sin información para el interesado. ● Transparencia: información que debe proporcionarse al interesado (en qué forma, en qué momentos) y cómo ha de responderse a las solicitudes de ejercicio de derechos. 17

Conceptos básicos sobre protección de datos Principio de limitación de la finalidad ● ● ● ● Datos recogidos con fines determinados, explícitos y legítimos: Fines determinados: claramente definidos. Ejemplo: “Para mejorar su experiencia como usuario” no sirve. Fines explícitos: expresados de forma clara. Fines legítimos: permitidos por el ordenamiento jurídico. No tratados ulteriormente de manera incompatible con esos fines. Compatibilidad de fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos. Test de verificación. 18

Conceptos básicos sobre protección de datos Principio de limitación de la finalidad ● ● ● Test de verificación (artículo 6. 4 del RGPD): Relación entre los fines. Contexto de la recogida de los datos. Naturaleza de los datos: categorías especiales o no. Consecuencias para los interesados. Garantías adecuadas: cifrado, seudonimización. 19

Conceptos básicos sobre protección de datos Principio de minimización de datos ● Adecuados: aportan información relacionada con la finalidad. ● Pertinentes: no lo será si puede prescindirse de él. ● Limitados a lo necesario: matiz respecto a la Directiva, que hablaba de datos “no excesivos”. Considerando 39: “Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios”. 20

Conceptos básicos sobre protección de datos Principio de exactitud Exactos y actualizados ● ● Se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos inexactos Como consecuencia del derecho de rectificación o por iniciativa del responsable 21

Conceptos básicos sobre protección de datos Principio de limitación del plazo de conservación ● ● ● Manifestación temporal del principio de minimización: conservarse durante no más tiempo del necesario para alcanzar los fines. Después: borrados o anonimizados. Excepciones: ● Conservación para fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos ● Conservación por obligación legal del responsable. 22

Conceptos básicos sobre protección de datos Principio de integridad y confidencialidad ● Novedad del RGPD. ● Integridad: medidas que garanticen la inalterabilidad de los datos almacenados. ● Confidencialidad: medidas que impidan accesos no autorizados: “necesidad de conocer”. 23

Conceptos básicos sobre protección de datos Principio de responsabilidad proactiva ● ● El responsable del tratamiento es responsable del cumplimiento del RGPD, por ser quien decide los fines y medios. Novedad del RGPD: El Reglamento prevé que los responsables aplicarán las medidas técnicas y organizativas apropiadas para garantizar y estar en condiciones de demostrar, proporcionar evidencias, que el tratamiento de datos personales se lleva a cabo de conformidad con el presente Reglamento. Tales medidas se revisarán y actualizarán cuando sea necesario “Accountability” : responsable puede proporcionar una explicación, satisfactoria y demostrable, del por qué, y con qué base legal o sobre qué principios, se tomaron dichas acciones. 24

Conceptos básicos sobre protección de datos Principio de responsabilidad proactiva El RGPD se basa en un principio de autoanálisis, crítico, continuo, “traceable” y basado en la responsabilidad, que permita implementar una verdadera gobernanza de datos personales en el seno de las empresas. Responsabilidad proactiva es el del compromiso de los miembros de la organización, que ha de tomar una actitud proactiva, comprometida y responsable, consciente de la necesidad de preservar un derecho fundamental. En definitiva, una nueva actitud en la ejecución de las obligaciones que es activa antes que pasiva actitud En otros términos el Reglamento Considera insuficiente “no incumplir” Incluye obligaciones dirigidas a prevenir incumplimientos La no aplicación de estas medidas es sancionable 25

Índice 1. Conceptos básicos sobre protección de datos. 2. Obligaciones de las Entidades Locales como responsables del tratamiento. 3. Atención a los derechos de los interesados. 4. Tratamientos de datos en las Entidades Locales. 26

Obligaciones de las Entidades Locales Designación de un DPD ● Obligatoria para todas las Administraciones Públicas. ● Se ha de designar “sobre la base de cualidades profesionales y, en particular, conocimientos especializados sobre la legislación y las prácticas en materia de protección de datos y sobre la capacidad para cumplir las tareas” que el RGPD le asigna. ● Garantizar su independencia en el ejercicio de sus funciones. ● Esquema de certificación: no obligatoria. ● ● Adscripción a unidades con competencias transversales. Nivel del puesto adecuado para relacionarse con la dirección del organismo. Tiempo completo o parcial. 27

Obligaciones de las Entidades Locales Designación de un DPD ● En la Administración Local: ● ● ● Ayuntamientos de más de 20. 000 habitantes: según el volumen de datos, podría contar con un departamento de apoyo. Ayuntamientos de menos de 20. 000 habitantes: DPD propio o articulado a través de la Diputación Provincial o Comunidad Autónoma. Si se designa a secretarios, interventores y tesoreros: garantizar no conflicto de intereses. Posibilidad de designar a un DPD privado. Empresas municipales: designación en función de los tratamientos que realicen. 28

Obligaciones de las Entidades Locales Designación de un DPD ● Funciones: ● Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones del RPGD y demás normativa aplicable en protección de datos. ● Supervisar el cumplimiento del RGPD y demás normativa aplicable en protección de datos, y de las políticas del responsable o encargado del tratamiento en dicha materia, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en operaciones de tratamiento, y las auditorías correspondientes. ● Ofrecer el asesoramiento que se solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación conforme al artículo 35 del RGPD. ● Cooperar con la Autoridad de control. Actuar como punto de contacto de la Autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa del artículo 36 del RGPD, y realizar consultas, en su caso, sobre cualquier otro asunto. ● Punto de contacto con los interesados: ejercicio de derechos y ante una reclamación. 29

Funciones generales del DPD Tareas preliminares Tareas organizativas - Analizar el contexto de la organización, - Registro de actividades de tratamiento aproximación a los tratamientos, organigrama, funciones, competencias, relaciones externas, relaciones informales, prestadores, servicios en la nube, … - Revisar las actividades de tratamiento - Análisis de riesgos - Análisis de posibles riesgos elevados- EIPD Tarea de monitorización, revisión y seguimiento - Identificar requisitos legales - Responsables del servicio Estructura ICT, seguridad de la información, políticas, tratamientos manuales, Tareas de asesoramiento - Estructura, recursos, para la gestión de la protección de datos, red de DPDs. - Metodología: Sistema de gestión integral de la protección de datos - Asesoramiento general - Privacidad por diseño y por defecto - Revisión del cumplimiento de las políticas - Apoyo de la dirección Cooperación Gestión de las reclamaciones de los interesados Información y concienciación

Obligaciones de las Entidades Locales Identificación de la legitimación de los tratamientos de datos personales • Bases contempladas en el art. 6 RGPD: a) b) c) d) e) Consentimiento del afectado. Ejecución de un contrato en que el afectado es parte. Obligación legal aplicable al responsable. Intereses vitales del afectado o de un tercero. Misión realizada en interés público o en ejercicio de poderes públicos conferidos al responsable. f) Satisfacción de intereses legítimos del responsable o de un tercero que prevalecen sobre los intereses, derechos y libertades del interesado. 31

Obligaciones de las Entidades Locales Identificación de la legitimación de los tratamientos de datos personales • Bases contempladas en el art. 6 RGPD: a) Consentimiento del afectado: excepcionalmente. Ejemplo: “newsletter”. b) Ejecución de un contrato en que el afectado es parte. c) Obligación legal aplicable al responsable: norma con rango de ley (art. 8 LOPDGDD). Ejemplo: obligaciones con la AEAT y la SS. d) Intereses vitales del afectado o de un tercero. e) Misión realizada en interés público o en ejercicio de poderes públicos conferidos al responsable: norma con rango de ley (art. 8 LOPDGDD). Ejemplo: RRHH: TREBEP y normativa de función pública aplicable. Ejemplo: impuestos municipales: TRLRHL. f) Satisfacción de intereses legítimos del responsable o de un tercero que prevalecen sobre los 32 intereses, derechos y libertades del interesado. Excepcionalmente: DA 10ª LOPDGDD.

Obligaciones de las Entidades Locales Identificación de la legitimación de los tratamientos de datos personales Disposición adicional décima. Comunicaciones de datos por los sujetos enumerados en el artículo 77. 1. Los responsables enumerados en el artículo 77. 1 de esta ley orgánica podrán comunicar los datos personales que les sean solicitados por sujetos de derecho privado cuando cuenten con el consentimiento de los afectados o aprecien que concurre en los solicitantes un interés legítimo que prevalezca sobre los derechos e intereses de los afectados conforme a lo establecido en el artículo 6. 1 f) del Reglamento (UE) 2016/679. 33

Obligaciones de las Entidades Locales El registro de actividades de tratamiento • Sustituye a la obligación de notificar ficheros: es un documento interno que no hay que notificar a la AEPD, pero deberá ponerse a disposición de la autoridad de control a solicitud de ésta. • Ha de constar por escrito. • Ha de tenerse en cuenta al DPD para cualquier adición, modificación o exclusión del RAT. • Nueva obligación de publicidad activa en la LTAIBG: Artículo 6 bis: Registro de actividades de tratamiento. Los sujetos enumerados en el artículo 77. 1 de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, publicarán su inventario de actividades de tratamiento en aplicación del artículo 31 de la citada Ley Orgánica. 34

Obligaciones de las Entidades Locales El registro de actividades de tratamiento (responsables) • Contenido del inventario: contenido del registro + base legal del tratamiento. a) b) c) d) e) f) g) h) i) • Nombre y datos de contacto del responsable y del DPD. Fines del tratamiento. Categorías de interesados. Categorías de datos personales objeto de tratamiento. Categorías de destinatarios a quienes se comunican datos personales. Transferencias internacionales de datos con identificación del país u OOII y garantías. Plazos previstos para la supresión de las distintas categorías de datos. Medidas técnicas y organizativas de seguridad adoptadas. Base legitimadora del tratamiento. Accesible por medios electrónicos (artículo 31 LOPDGDD). 35

Obligaciones de las Entidades Locales El registro de actividades de tratamiento (encargados) • Contenido del inventario: contenido del registro + base legal del tratamiento. a) b) c) d) • Nombre y datos de contacto del encargado, de cada responsable y del DPD. Categorías de tratamientos por cuenta de cada responsable. Transferencias internacionales de datos con identificación del país u OOII y garantías. Medidas técnicas y organizativas de seguridad adoptadas. Accesible por medios electrónicos (artículo 31 LOPDGDD). 36

Obligaciones de las Entidades Locales 37

Obligaciones de las Entidades Locales El registro de actividades de tratamiento • Podrá realizarse a partir de los ficheros notificados a la AEPD: solicitud de copia de inscripción de ficheros. • NO es un registro de ficheros, sino de actividades de tratamiento: • Por ejemplo: Un fichero de RRHH cuya finalidad fuese la gestión de los mismos así como la provisión de puestos de trabajo supondría dos actividades de tratamiento diferentes. Por lo tanto, habría que configurar cada uno de ellos como una actividad de tratamiento diferente. • Por ejemplo: El fichero de videovigilancia de un edificio de un Ayuntamiento y el relativo al control de acceso al citado edificio, podrían ser una única actividad de tratamiento, puesto que la finalidad es la misma: seguridad. 38

Obligaciones de las Entidades Locales El registro de actividades de tratamiento • Tratamientos en las Administraciones locales: • • • Padrón municipal de habitantes Gestión de tributos Gestión económica Recursos humanos Policía Local Sanciones Obras y licencias Biblioteca Servicios sociales Subvenciones y ayudas Videovigilancia y control de acceso 39

Obligaciones de las Entidades Locales El registro de actividades de tratamiento • Categorías de datos objeto de tratamiento en las Administraciones locales: • • • Identificativos: nombre y apellidos, dirección, teléfono, imagen, DNI/NIE Tributarios: para la gestión de los tributos municipales Académicos y profesionales Financieros: bancarios Derivados del ejercicio de la potestad sancionadora (infracciones, sanciones) Categorías especiales de datos: salud, afiliación sindical, vida sexual 40

Obligaciones de las Entidades Locales El registro de actividades de tratamiento • Actividad de tratamiento: Padrón municipal a) b) c) d) e) f) g) h) i) Nombre y datos de contacto del responsable y del DPD: dpd@ayuntamiento. es Fines del tratamiento: Gestión del padrón municipal de habitantes acorde a los fines que establece al respecto la LBRL y demás normativa local aplicable. Usos también con fines históricos, estadísticos y científicos. Categorías de interesados: ciudadanos residentes en el municipio. Categorías de datos personales objeto de tratamiento: Datos identificativos: DNI/Nº de tarjeta de residencia/número de identificación de extranjero, nombre, apellidos, domicilio habitual, nacionalidad, sexo, lugar y fecha de nacimiento. Datos académicos y profesionales. Categorías de destinatarios a quienes se comunican datos personales: INE, Fy. CS, órganos del Estado y Comunidades Autónomas… Transferencias internacionales de datos con identificación del país u OOII y garantías: no existen. Plazos previstos para la supresión de las distintas categorías de datos: no, aunque se produzca la baja del padrón, es necesario conservar los datos a efectos históricos, estadísticos y científicos. Medidas técnicas y organizativas de seguridad adoptadas: Anexo II del ENS, descritas en la Política de Seguridad de la Información del Ayuntamiento. 41 Base legitimadora del tratamiento: 6. 1. c) cumplimiento de obligación legal.

Obligaciones de las Entidades Locales El registro de actividades de tratamiento • Actividad de tratamiento: Seguridad a) b) c) d) Nombre y datos de contacto del responsable y del DPD: dpd@ayuntamiento. es Fines del tratamiento: Garantizar la seguridad de personas e instalaciones. Categorías de interesados: ciudadanos que acuden al Ayuntamiento y personal del mismo. Categorías de datos personales objeto de tratamiento: Respecto al control de acceso: nombre, apellidos, DNI/NIF, empresa/administración. Respecto a la videovigilancia: Imagen. e) Categorías de destinatarios a quienes se comunican datos personales: Fy. CS, Juzgados y tribunales. f) Transferencias internacionales de datos con identificación del país u OOII y garantías: no existen. g) Plazos previstos para la supresión de las distintas categorías de datos: un mes. h) Medidas técnicas y organizativas de seguridad adoptadas: Anexo II del ENS, descritas en la Política de Seguridad de la Información del Ayuntamiento. 42 i) Base legitimadora del tratamiento: 6. 1. e) misión realizada en interés público.

Obligaciones de las Entidades Locales • RAT de la AEPD: El registro de actividades de tratamiento Actividad de promoción Agenda de la AEPD Atención a los derechos de las personas Consulta Previa Artículo 36 del RGPD Consultas Encuestas y estudios Formación Gestión de autorizaciones y acreditaciones Gestión de Brechas de Seguridad Gestión de RRHH Transparencia: acceso a la información Gestión presupuestaria y económica Gestión y control de la biblioteca Procedimientos de inspección de datos Provisión de puestos de trabajo Quejas y sugerencias Recaudación Régimen interior Registro de Delegados de Protección de Datos Registro de E/S Seguridad 43

Obligaciones de las Entidades Locales Análisis de riesgos • Necesidad de llevar a cabo un análisis de riegos para los derechos y libertades de los ciudadanos de todos los tratamientos de datos desarrollados por el responsable • Necesario para determinar las medidas técnicas y organizativas que habrán de imponerse sobre el tratamiento • GUÍA DE ANÁLISIS DE RIESGOS • Actualmente en el ámbito público existen metodologías y herramientas de análisis de riesgos (MAGERIT, PILAR) para determinar las medidas de seguridad de la información 44

Obligaciones de las Entidades Locales Análisis de riesgos • Supuestos de riesgo (Considerando 75 RGPD): • Posibles situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados • Posible privación de derechos y libertades o del control sobre los datos • Tratamiento de categorías especiales de datos (genéticos, salud, visa sexual, …) • Evaluación de aspectos personales de los afectados para creación de perfiles • Afectados en situación de especial vulnerabilidad (menores) • Tratamiento gran cantidad de datos personales que afecten a un gran número de interesados 45

Obligaciones de las Entidades Locales Medidas de seguridad • Procederán del resultado del análisis de riesgos • Responsables y encargados deben aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta • Estado de la técnica y costes de aplicación • Naturaleza, alcance, contexto y fines del tratamiento • Riesgos para los derechos y libertades de las personas • El Reglamento no establece listado estructurado de medidas, aunque establece algunas prevenciones, como la seudonimización o el cifrado. • La adhesión a un código de conducta o a un mecanismo de certificación podrá servir de elemento para demostrar cumplimiento. 46

Obligaciones de las Entidades Locales Medidas de seguridad Disposición adicional primera. Medidas de seguridad en el ámbito del sector público. El Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos personales, para evitar su pérdida, alteración o acceso no autorizado. Los responsables enumerados en el artículo 77. 1 deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad. En los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad. 47

Obligaciones de las Entidades Locales Implantación de medidas de seguridad • Protección de datos desde el diseño: • Medidas técnicas y organizativas adecuadas (p. ej. seudonimización, minimización) para aplicar principios de PD de forma eficaz y proteger los derechos. • En el momento de determinar los medios para el tratamiento y en el momento del tratamiento (integrar necesarias garantías). • Teniendo en cuenta: - Naturaleza, ámbito, contexto y fines del tratamiento - Riesgos de diversa probabilidad y gravedad (no sólo alto riesgo) - Estado de la técnica y coste 48

Obligaciones de las Entidades Locales Implantación de medidas de seguridad • Protección de datos por defecto: • Tratamiento por defecto sólo de datos personales necesarios para cada fin específico: - Cantidad de datos recopilados Extensión del tratamiento Periodo de almacenamiento Accesibilidad. En particular, evitar la accesibilidad a un número indeterminado. 49

Obligaciones de las Entidades Locales Evaluación de impacto • Cuando el tratamiento por su naturaleza, alcance, contexto o fines entraña un alto riesgo para los derechos y libertades de las personas físicas. No es un análisis de riesgos, sino una evaluación más detallada y pormenorizada derivada del resultado del análisis previo. Supuestos de obligatoriedad: • Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado e implique la adopción de decisiones • Tratamiento a gran escala de las categorías especiales de datos • Observación sistemática a gran escala de una zona de acceso público • Además las autoridades de protección de datos publicarán listas de tratamientos que la requieran y de los que no la requieran • GUÍA DE EVALUACIÓN DE IMPACTO • No será necesario realizar la EIPD cuando el tratamiento se base en una Ley que la incorpore 50 como parte de la evaluación general de impacto.

Obligaciones de las Entidades Locales Notificación de quiebras de seguridad • Necesario establecer protocolos para gestionar y notificar las quiebras de seguridad. • Notificación a la AEPD en 72 horas necesaria si existe riesgo para derechos y libertades de las personas físicas: • Naturaleza de la quiebra de seguridad: categorías de afectados (por ejemplo: menores, discapacitados, empleados, ciudadanos), Nº aproximado de afectados, Categorías de datos comprometidos (por ejemplo: Identificativos, salud, laborales)… • Nombre y datos de contacto del DPD. • Posibles consecuencias de la quiebra de seguridad sufrida. • Medidas adoptadas o propuestas para remediar esta quiebra 51

Obligaciones de las Entidades Locales Notificación de quiebras de seguridad • Notificación a los interesados necesaria cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, salvo si: • Se han adoptado y aplicado medidas sobre los datos personales afectados, particularmente aquellas que hagan ininteligibles los datos para cualquier persona que no esté autorizada a acceder ellos (por ejemplo: se han cifrado los datos personales). • El responsable ha adoptado medidas ulteriores que garanticen que ya no existe un alto riesgo para los derechos y libertades. • Que esta comunicación fuese un esfuerzo desproporcionado, optándose por una comunicación pública o medida semejante por la que se informe de forma efectiva a los afectados. • Los entes de la Administración Local pueden elaborar un Plan de Contingencias con la finalidad de mitigar los daños cuando se produzca una quiebra de seguridad. También deben 52 mantener un registro de los incidentes de seguridad.

Obligaciones de las Entidades Locales Obligaciones en relación con sus encargados del tratamiento • Deber de diligencia en la elección del encargado del tratamiento: que ofrezca suficientes garantías en lo referente a conocimientos especializados, fiabilidad y recursos, con vistas a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del RGPD. Ejemplo: servicios de cloud computing de fuera de la UE: que cumplan régimen de TTII. • El contrato ha de fijar: • Las instrucciones del responsable del tratamiento. • El deber de confidencialidad. • Las medidas de seguridad. • El régimen de la subcontratación. • La forma en que el encargado asistirá al responsable en el cumplimiento de responder el ejercicio de los derechos de los afectados. • La colaboración en el cumplimiento de las obligaciones del responsable. • El destino de los datos al finalizar la prestación: destrucción, devolución, transferencia… 53

Obligaciones de las Entidades Locales Obligaciones en relación con sus encargados del tratamiento • Adecuar los contratos ya celebrados en la medida de lo posible. DT 5ª LOPDGDD: Disposición transitoria quinta. Contratos de encargado del tratamiento. Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022. Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del Reglamento (UE) 2016/679 y en el Capítulo II del Título V de esta ley orgánica. 54

Obligaciones de las Entidades Locales Transferencias internacionales de datos • Cuando los datos personales se envían fuera del ámbito del Espacio Económico Europeo se produce una transferencia internacional de datos. • El uso cada vez más frecuente de tecnologías de la información y la comunicación o la generalización de servicios “en nube” (“cloud computing”), supone que aumenten las posibilidades de que se transfieran estos datos fuera del EEE. • En este sentido, el RGPD contiene una serie de supuestos (artículos 45 y 46), que permiten realizar dichas transferencias internacionales sin necesidad de solicitar una autorización previa por parte de las autoridades de protección de datos. 55

Índice 1. Conceptos básicos sobre protección de datos. 2. Obligaciones de las Entidades Locales como responsables del tratamiento. 3. Atención a los derechos de los interesados. 4. Tratamientos de datos en las Entidades Locales. 56

Los derechos de los afectados Atención a los derechos de los ciudadanos • • Derecho de acceso. Derecho de rectificación. Derecho de supresión (“derecho al olvido”). Derecho a la limitación del tratamiento. Derecho a la portabilidad de los datos. Derecho de oposición. Derecho a no ser objeto de decisiones individuales automatizadas. Derecho de información. 57

Los derechos de los afectados Derecho de información Información que debe proporcionarse: ●Identidad y datos de contacto del responsable y, en su caso, de su representante; ●Datos de contacto del DPD; ●Fines y base jurídica del tratamiento; ●Intereses legítimos del responsable o de un tercero si la base es el art. 6. 1. f); ●Destinatarios o las categorías de destinatarios de los datos personales; ●Transferencias internacionales previstas; ●Plazo de conservación o criterios utilizados para su determinación; ●Existencia de los derechos de acceso, rectificación o supresión, limitación del tratamiento, oposición y portabilidad; ●Posibilidad de revocación del consentimiento; ●Derecho a presentar una reclamación ante una autoridad de control; ●En el supuesto de que la comunicación de datos personales sea obligatoria, se debe informar de las posibles consecuencias de no facilitar los datos; ●Información sobre la posible existencia de decisiones automatizadas, incluida la elaboración de perfiles, la lógica aplicada y las consecuencias previstas. Si se proyecta tratar los datos para otros fines, se proprocionará información previamente. ●Excepción: No aplicable si el interesado ya dispone de la información. ● 58

Los derechos de los afectados 59

Los derechos de los afectados Derecho de información Información que debe proporcionarse si los datos no se han obtenido del interesado: Mismos elementos, y además: ●Categorías de datos personales. ●Fuente de la que proceden los datos y, en su caso, si proceden de fuentes de acceso público. Considerando 61: si el origen no puede determinarse por haberse utilizado varias fuentes, información general. ● ● Si se proyecta tratar los datos para otros fines, se proprocionará información previamente. Excepción: No aplicable si: ●- El interesado ya dispone de la información. ●- La comunicación resulta imposible o requiere de un esfuerzo desproporcionado. ●- La obtención o la comunicación está prevista en el Derecho de la UE o de un EM. ●- Los datos tienen carácter confidencial por secreto profesional. 60

Los derechos de los afectados Derecho de información Formas habituales de recogida de datos y a través de las cuales hay que informar: Formas para informar en caso de datos ya disponibles o tratamientos adicionales: correo postal, mensajería electrónica, notificaciones emergentes en aplicaciones. . . 61

Índice 1. Conceptos básicos sobre protección de datos. 2. Obligaciones de las Entidades Locales como responsables del tratamiento. 3. Atención a los derechos de los interesados. 4. Tratamientos de datos en las Entidades Locales. 62

Disposición adicional séptima. Identificación de los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos. 1. Cuando sea necesaria la publicación de un acto administrativo que contuviese datos personales del afectado, se identificará al mismo mediante su nombre y apellidos, añadiendo cuatro cifras numéricas aleatorias del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente. Cuando la publicación se refiera a una pluralidad de afectados estas cifras aleatorias deberán alternarse. Cuando se trate de la notificación por medio de anuncios, particularmente en los supuestos a los que se refiere el artículo 44 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, se identificará al afectado exclusivamente mediante el número completo de su documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente. Cuando el afectado careciera de cualquiera de los documentos mencionados en los dos párrafos anteriores, se identificará al afectado únicamente mediante su nombre y apellidos. En ningún caso debe publicarse el nombre y apellidos de manera conjunta con el número completo del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente. 2. A fin de prevenir riesgos para víctimas de violencia de género, el Gobierno impulsará la elaboración de un protocolo de colaboración que defina procedimientos seguros de publicación y notificación de actos 63 administrativos, con la participación de los órganos con competencia en la materia.

ORIENTACIONES PROVISIONALES AEPD/AVPD/APDCAT/CTPDA Criterio provisional propuesto para tratar de evitar que la adopción de fórmulas distintas en aplicación de la citada disposición pueda dar lugar a la publicación de cifras numéricas de los documentos identificativos en posiciones distintas en cada caso, posibilitando la recomposición íntegra de dichos documentos (completo en www. aepd. es). La publicación de documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente podrá realizarse de la siguiente forma: • Dado un DNI con formato 12345678 X, se publicarán los dígitos que en el formato que ocupen las posiciones cuarta, quinta, sexta y séptima. En el ejemplo: ***4567**. • Dado un NIE con formato L 1234567 X, se publicarán los dígitos que en el formato ocupen las posiciones, evitando el primer carácter alfabéticos, cuarta, quinta, sexta y séptima. En el ejemplo: ****4567*. • Dado un pasaporte con formato ABC 123456, al tener sólo seis cifras, se publicarán los dígitos que en el formato ocupen las posiciones, evitando los tres caracteres alfabéticos, tercera, cuarta, quinta y sexta. En el ejemplo: *****3456. 64

Disposición final duodécima. Modificación de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. Se modifican los apartados 2 y 3 del artículo 28 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, que pasan a tener la siguiente redacción: «Artículo 28. […] 2. Los interesados tienen derecho a no aportar documentos que ya se encuentren en poder de la Administración actuante o hayan sido elaborados por cualquier otra Administración. La administración actuante podrá consultar o recabar dichos documentos salvo que el interesado se opusiera a ello. No cabrá la oposición cuando la aportación del documento se exigiera en el marco del ejercicio de potestades sancionadoras o de inspección. Las Administraciones Públicas deberán recabar los documentos electrónicamente a través de sus redes corporativas o mediante consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto. Cuando se trate de informes preceptivos ya elaborados por un órgano administrativo distinto al que tramita el procedimiento, estos deberán ser remitidos en el plazo de diez días a contar desde su solicitud. Cumplido este plazo, se informará al interesado de que puede aportar este informe o esperar a su remisión por el órgano competente. 3. Las Administraciones no exigirán a los interesados la presentación de documentos originales, salvo que, con carácter excepcional, la normativa reguladora aplicable establezca lo contrario. Asimismo, las Administraciones Públicas no requerirán a los interesados datos o documentos no exigidos por la normativa reguladora aplicable o que hayan sido aportados anteriormente por el interesado a cualquier Administración. A estos efectos, el interesado deberá indicar en qué momento y ante qué órgano administrativo presentó los citados documentos, debiendo las Administraciones Públicas recabarlos electrónicamente a través de sus redes corporativas o de una consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto, salvo que conste en el procedimiento la oposición expresa del interesado o la ley especial aplicable requiera su consentimiento expreso. Excepcionalmente, si las Administraciones Públicas no pudieran recabar los citados documentos, podrán solicitar 65 nuevamente al interesado su aportación. »

Disposición adicional octava. Potestad de verificación de las Administraciones Públicas. Cuando se formulen solicitudes por cualquier medio en las que el interesado declare datos personales que obren en poder de las Administraciones Públicas, el órgano destinatario de la solicitud podrá efectuar en el ejercicio de sus competencias las verificaciones necesarias para comprobar la exactitud de los datos. 66

Gracias por su atención www. aepd. es @AEPD_es