La Ley de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) tiene sus importantes repercusiones en los Ayuntamientos. La administración local en relación con los tratamientos de datos de carácter personal debe cumplir con la legislación vigente.
Los Ayuntamientos son esenciales para los ciudadanos, en la medida que prestan un servicio público, y con ello tratan datos de carácter personal. Los Ayuntamientos como responsables deben cumplir los principios que contempla el RGPD en sus artículos 5 a 11.
Algunas claves de la protección de datos para los Ayuntamientos
A continuación vamos a reseñar algunas de las claves de la protección de datos que los Ayuntamientos deben tener en cuenta y llevar a cabo.
A) Designación de un Delegado de Protección de datos (DPD)
Se introduce como figura obligatoria y su nombramiento debe ser comunicado a la Agencia Española de Protección de Datos. Debe tener conocimientos de Derecho y sus funciones están reguladas en el artículo 39 del RGPD
Una de las opciones de su elección es a través de la externalización en una empresa privada que actuaría como encargado del tratamiento del Ayuntamiento.
B) Elaborar el Registro de Actividades de tratamiento (RAT)
Se implanta como nueva obligación, recogido en el artículo 30 del RGPD que viene a sustituir a la notificación de los ficheros en la Agencia Española de Protección de Datos. Deben mantenerse por escrito, incluso en formato electrónico y debe estar a disposición de la Autoridad de Control, en el que se incluya una descripción de los tratamientos de datos que realicen.
C) Efectuar un análisis de riesgos
El RGPD obliga a llevar a cabo una valoración del riesgo de los tratamientos que realicen, para establecer las medidas a aplicar para cumplir con garantías y garantizar la confidencialidad, la integridad y la disponibilidad de los datos personales.
D) Gestionar y notificar las quiebras de seguridad
Cuando se produzca una violación o quiebra de seguridad, el Ayuntamiento, siempre que exista riesgo para los derechos y libertades de las personas físicas, deberá notificarlo a la AEPD (Agencia Española de Protección de Datos), en un plazo máximo de 72 horas y a las personas cuyos datos personales se hayan visto afectados por la quiebra de seguridad, cuanto antes.
E) Realizar una evaluación de impacto (EIPD)
La EIPD es una herramienta con carácter preventivo que se debe realizar para poder identificar, evaluar y gestionar los riesgos a los que están expuestas las actividades de tratamiento, con el objetivo de garantizar los derechos y libertades de las personas físicas.
F) Deber de informar
Siempre que se recaben datos personales, el responsable del tratamiento debe informar al interesado, para lo cual es necesario adecuar los formularios que se estén utilizando actualmente en los Ayuntamientos para recabar información de los ciudadanos. La información se ha de ofrecer de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.
G) Establecer procedimientos para atender los derechos de los ciudadanos
Los afectados pueden ejercitar ante el Ayuntamiento que trate sus datos de carácter personal, los derechos de acceso, rectificación, supresión (“derecho al olvido”), oposición y limitación al tratamiento de los mismos. Se deberá responder en el plazo máximo de un mes. Este plazo puede prorrogarse otros dos meses en caso necesario, si bien se deberá informar al ciudadano de la citada prórroga en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación. Si el ciudadano presentase la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el ciudadano solicite que se facilite de otro modo. Se deben establecer mecanismos visibles, accesibles y sencillos, incluidos medios electrónicos, para el ejercicio de derechos.
H) Plan de formación y concienciación para los empleados
Se debe formar a los empleados en las obligaciones que deben cumplir con respecto a la legislación vigente. Si conocen las obligaciones a cumplir, podrán cumplirlas.
I) Transferencias Internacionales de datos
Cuando los datos personales se envían fuera del ámbito de la Unión Europea, se produce una transferencia internacional de datos. Los artículos 45 y 46 del RGPD hablan de supuestos que permiten realizar dichas transferencias internacionales sin necesidad de solicitar una autorización previa por parte de las autoridades de control.
Desde Nubelia abrimos un nuevo abanico, la adaptación de los Ayuntamientos a la nueva LOPDGDD. Desde nuestro equipo de profesionales descubrimos este mundo complejo con el único objetivo de convertirlo en sencillo. ¡Y lo conseguimos!
