El Reglamento General de Protección de Datos fue publicado en mayo de 2016, entrando en vigor ese mismo mes. Sin embargo, no será aplicable hasta el 25 de mayo de 2018.
Las modificaciones introducidas por el Reglamento hacen necesaria una alineación entre la normativa existente y la práctica de las Administraciones Públicas. Con esta intención, la Agencia Española de Protección de Datos ha publicado dos documentos que hacen referencia al tratamiento de datos personales en el desarrollo de las actividades de las Administraciones Públicas.
Tabla de contenidos
El impacto del Reglamento General de Protección de datos sobre la actividad de las Administraciones Públicas
¿En qué puntos incide el nuevo Reglamento sobre la actividad de las Administraciones Públicas?
- Sobre la identificación de las finalidades y la base jurídica de los tratamientos que llevan a cabo, que en el caso de la actividad de las Administraciones Públicas será muy habitual que la base jurídica de los tratamientos sea el cumplimiento de una tarea en interés público o el ejercicio de poderes públicos
- En los casos en que la base jurídica de los tratamientos sea el consentimiento, éste deberá tener las características previstas por el Reglamento General de Protección de Datos, que exige que sea informado, libre, específico y otorgado por los interesados mediante una manifestación que muestre su voluntad de consentir o mediante una clara acción afirmativa.
- En la adecuación de las informaciones que se ofrecen a los interesados cuando se recogen sus datos a las exigencias del RGPD (arts. 13 y 14).
- Sobre la necesidad de establecer mecanismos visibles, accesibles y sencillos, incluidos los medios electrónicos, para el ejercicio de derechos. Así como el establecimiento de procedimientos que permitan responder a los ejercicios de derechos en los plazos previstos por el RGPD.
- La valoración de si los encargados que hayan contratado o vayan a contratar operaciones de tratamiento, ofrecen garantías de cumplimiento del RGPD.
- La adecuación de los contratos de encargo que actualmente se tengan suscritos a las previsiones del RGPD.
- La necesidad de hacer un análisis de riesgo para los derechos y libertades de los ciudadanos de todos los tratamientos de datos que se desarrollen.
- El establecimiento de un Registro de Actividades de Tratamiento.
- La revisión de las medidas de seguridad que se aplican a los tratamientos a la luz de los resultados del análisis de riesgo de los mismos.
- El establecimiento de mecanismos para identificar con rapidez la existencia de violaciones de seguridad de los datos y reaccionar ante ellas.
- La valoración de si los tratamientos que se realizan requieren una Evaluación de Impacto sobre la Protección de Datos porque supongan un alto riesgo para los derechos y libertades de los interesados y de disponer de una metodología para llevarla a cabo.
- La designación de un Delegado de Protección de Datos (DPD).
- La adaptación de los instrumentos de transferencia internacional de datos personales a las previsiones del RGPD.
Consulta AQUÍ el documento completo.
El Delegado de protección de datos en las Administraciones públicas
El Reglamento General de Protección de Datos (RGPD) de la Unión Europea dispone que los responsables y encargados de tratamiento deberán designar un Delegado de Protección de Datos (DPD) en los supuestos que el propio RGPD establezca.
Entre los supuestos en que habrá de designarse un DPD se encuentra el de que “el tratamiento lo lleve a cabo una autoridad u organismo público”, tanto en calidad de responsable como en funciones de encargado de tratamiento (art. 37.1.a RGPD).
Las características y funciones de este DPD serán las siguientes:
1. Posición
El RGPD prevé que cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público se pueda designar un único delegado de protección de datos para varios de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.
2. Perfil profesional
El RGPD establece que el DPD será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar sus funciones.
3. Funciones
El RGPD señala entre las funciones del DPD las de:
- Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del RGPD y de otras disposiciones de protección de datos de la Unión o de los Estados miembros
- Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales
Consulta AQUÍ el documento completo.