FAQs – PREGUNTAS SOBRE EL NUEVO REGLAMENTO DE PROTECCIÓN DE DATOS
1. ¿Cuál es el objeto de la normativa de protección de datos?
El objeto de la normativa de protección de datos es garantizar y proteger las libertades públicas y los derechos fundamentales de las personas físicas, sobretodo su honor e intimidad personal y familiar. Tanto el Reglamento (UE) General de Protección de datos 2016/679 (en adelante RGPD) como la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de Derechos Digitales (en adelante LOPD-GDD) tienen como objeto la protección de la intimidad de las personas y la libre circulación de datos entre los Estados miembros. (RGPD art. 1).
2. ¿En qué supuestos se puede aplicar la normativa de protección de datos?
La normativa de protección de datos se aplica a tratamientos de protección de datos, ya sean automatizados o manuales. Estos datos han de ser de carácter personal para ser objeto de aplicación de la normativa aquí tratada. (RGPD art. 2.1).
3. ¿Qué tratamientos de datos personales están excluidos de la normativa de protección de datos? Se dan varios casos en los que no debemos aplicar esta normativa, entre los cuales encontramos los siguientes:
-
Los tratamientos efectuados en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea, para lo que el RGPD nos dirige a los Títulos V y VI del Tratado de la Unión Europea (TUE). (RGPD art. 2.2).
-
Los tratamientos llevados a cabo por personas físicas en el desarrollo de actividades personales o domésticas sólo cuando se refieran a la vida privada o familiar de los particulares. (RGPD art. 2.2.c))
-
Los tratamientos que realizan las autoridades competentes para prevenir, investigar, detectar o enjuiciar infracciones penales, y para ejecutar sanciones penales. (RGPD art. 2.2.d)).
-
Los tratamientos de datos referidos a personas fallecidas, pudiendo cancelarse por los familiares u otras personas vinculadas al fallecido. (LOPD-GDD art. 2.2b)).
-
Los tratamientos sometidos a la normativa sobre protección de materias clasificadas. (LOPD-GDD art. 2.2.c)).
4. ¿Qué materias se rigen por su normativa específica? Son varios los casos en que el tratamiento de datos personales está regulado de forma particular con el fin de amoldar la protección de éstos a sus especiales singularidades. Estos casos son:
-
El tratamiento de datos personales por parte de las instituciones, órganos y organismos de la Unión Europea, en cuyo caso se aplicará el Reglamento (UE) 2018/1725, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos. (RGPD art. 2.3).
-
Los tratamientos que se regulen por la legislación de régimen electoral. (LOPD-GDD art. 2.3).
-
Los ficheros que consistan en almacenar datos contenidos en los informes personales de calificación a que se refiere la legislación del régimen del personal de las Fuerzas Armadas.
-
Los tratamientos del Registro Civil y del Registro Central de penados y rebeldes. (LOPD-GDD art. 2.3).
-
Los tratamientos de datos personales procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad de acuerdo con los supuestos recogidos en la normativa. (LOPD-GDD art. 22.6).
5. ¿En qué territorios puede aplicarse la normativa de protección de datos? Un tratamiento de datos se regirá por esta normativa cuando sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento y cuando utilicen medios situados en territorio español. También se aplicará esta legislación a aquellos tratamientos de datos a los que, no estando establecido el responsable del tratamiento en territorio español , sea aplicable la legislación española.
6. ¿Qué es un dato de carácter personal? Es cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. Serán datos personales:
-
Nombre, apellidos y dirección.
-
DNI.
-
Datos incluidos en una solicitud de residencia.
-
Número de teléfono si se asocia a una persona.
-
Imagen.
-
Datos de un registro de trabajo relativos a un trabajador.
-
Correo electrónico.
-
Dirección IP.
7. ¿Qué es un dato de carácter personal relacionado con la salud? Es una información concerniente a la salud pasada, presente o futura, ya sea física o mental, de un individuo. No se tendrá como dato de carácter especial el grado de discapacidad que sufra una persona.
8. ¿Qué son los datos biométricos? Son datos personales que hacen referencia a características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, tales como imágenes faciales o datos dactiloscópicos.
9. ¿Qué es un dato disociado? Es un dato que no permite la identificación de un afectado o interesado.
10. ¿Qué es un fichero? Un fichero es un conjunto organizado de datos de carácter personal que permite el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
11. ¿Qué es un tratamiento? Es cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, tales como la recogida, registro u organización. (ver pregunta 14)
12. ¿Qué son las fuentes accesibles al público? Son aquellos ficheros cuya consulta puede ser realizada por cualquier persona que no esté impedida por una norma limitativa. Tienen este carácter el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo.
Tienen carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.
13. ¿Qué es la seudonimización? Es el tratamiento de datos personales de tal forma que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado.
14. ¿Qué es un tratamiento de datos? Se trata de cualquier operación o conjunto de ellas, o procedimiento técnico, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción. Ejemplo de ello serían: el padrón municipal de habitantes, gestión de tributos, educación infantil o sanciones.
15. ¿Cuándo es lícito un dato? Un dato es lícito cuando se obtiene de alguna de las siguientes formas:
-
el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines. (LOPD-GDD art. 6). (Por ejemplo, la inscripción en una bolsa de empleo)
-
el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales. (LOPD-GDD art. 6).
-
el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. (LOPD-GDD art. 8.1).
-
el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física. (RGPD art. 6.1.d)).
-
el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. (LOPD-GDD art.8.2).
-
el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. (RGPD art. 6.1.f)).
16. ¿Qué significa que el tratamiento de datos ha de ser leal? Esto significa que la información que se presta al titular de los datos ha de ser adecuada al afectado o interesado para que éste conozca el alcance real del consentimiento que presta o, en caso de no precisarse, los fines de la recogida y el modo de ejercitar los derechos.
17. ¿Cuándo no es necesario obtener el consentimiento previo del interesado? Los casos en que no se requiere el consentimiento del interesado para el tratamiento de sus datos se encuentran en el art. 6.1 RGPD, siendo éstos los siguientes:
-
“el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
-
el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
-
el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
-
el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño”.
En el caso de España, serán consideradas como obligación legal las normas de Derecho de la Unión Europea y las normas con rango de ley (LOPD-GDD art. 8.1).
18. ¿Cuándo podrá basarse un tratamiento de datos en la protección de intereses vitales de las personas físicas? ¿Qué debemos entender por intereses vitales? Podremos basar un tratamiento de datos en esta finalidad cuando no se pueda hacer dicho tratamiento en otra diferente (RGPD considerando 46). Por interés vital debemos entender aquel interés que resulte esencial para la vida del interesado o de un tercero, pudiendo ser éste referente a la integridad física o la vida, o distinto a ello siempre que sea vital. Es frecuente ligar el interés vital a otras finalidades de carácter público como fines humanitarios.
19. ¿Cuándo podrá considerarse un tratamiento de datos fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos? Un tratamiento de datos fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable sólo podrá considerarse como tal cuando exista una competencia atribuida al responsable mediante una norma con rango. (LOPD-GDD art. 8.2). Aquí encontramos los casos siguientes:
-
Tratamiento de datos del Padrón Municipal (por la Ley de Bases de Régimen Local).
-
Tratamiento de datos de los impuestos municipales (por la Ley reguladora de las Haciendas Locales).
20. ¿Es necesario obtener el consentimiento del interesado para obtener datos necesarios para la ejecución de un contrato? Del artículo 6.1.b) RGPD podemos extraer que no es necesario un consentimiento previo para la obtención de datos, pues ya se ha dado este consentimiento para la realización del contrato. Por su parte, el Reglamento de la Ley Orgánica de Protección de datos (en adelante RLOPD), aprobado por el Real Decreto 1720/2007, establece unos límites a esta exención del consentimiento, fijando de esta forma en su artículo 10.3.b) que “los datos de carácter personal podrán tratarse sin necesidad del consentimiento del interesado cuando […] se recaben por el responsable del tratamiento con ocasión de la celebración de un contrato o precontrato o de la existencia de una relación negocial, laboral o administrativa de la que sea parte el afectado y sean necesarios para su mantenimiento o cumplimiento”.
21. ¿Es posible utilizar datos personales que han sido obtenidos para unos fines concretos de forma ulterior? Sí. Si observamos el art. 5.1.e) RGPD, encontraremos que podrán tratarse éstos ulteriormente con “fines de investigación científica o histórica o fines estadísticos”. Esto se debe al interés público que pueden almacenar dichos datos. Hay que decir que esto es aplicable a los datos de categorías especiales. En cualquier caso, estos tratamientos posteriores a los fines iniciales han de regirse por el artículo 89.1 RGPD, en el que se exige el establecimiento de garantías adecuadas para los derechos y libertades de los interesados. Por su parte, el RD 1720/2007 regula de la misma forma este tema en su artículo 9.
22. ¿Qué debe entenderse por fines estadísticos? Por fines estadísticos ha de entenderse cualquier operación de recogida y tratamiento de datos personales necesarios para encuestas estadísticas o para la producción de resultados estadísticos.
23. ¿Están los fines genealógicos incluidos en la investigación? Sí. Según el considerando 160 del RGPD, han de entenderse incluidos los fines genealógicos en la investigación sin perjuicio de la no aplicabilidad de la norma a personas fallecidas.
24. ¿Puede realizarse un tratamiento de datos posterior con fines compatibles con los iniciales? El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial. En tal caso, no se requiere una base jurídica aparte distinta de la que permitió la obtención de los datos personales.
De acuerdo con el artículo 89, apartado 1 del RGPD, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales ("limitación de la finalidad").
Ahora bien, cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcional, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas lo dispuesto en el art. 6.4 RGPD.
25. ¿Cuándo se quiebra el principio de compatibilidad de los fines? El principio de compatibilidad de los fines quiebra en las materias del artículo 23 del Reglamento General de Protección de Datos. Así pues, mediante este artículo, se pretende defender objetivos de interés público como la seguridad del Estado, la defensa o la seguridad pública utilizando medidas legislativas del Derecho de la Unión o de los Estados miembros.
26. ¿Qué datos debemos recabar para un fin específico? Siguiendo el artículo 5.1.c) RGPD, éstos han de ser “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”. El RD 1720/2007 es más estricto y exige en su artículo 8.4 que “sólo podrán ser objeto de tratamiento los datos que sean adecuados, pertinentes y no excesivos en relación con las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”. Lo que se pretende con esto es reducir el número de datos que se tratan con el fin de reducir riesgos para el interesado. Esto es lo que se conoce como Principio de minimización de los datos.
27. ¿Puedo instalar un sistema de videovigilancia en un centro de educación infantil? Según el informe 475/2014 de la AEPD (Agencia Española de Protección de Datos), la instalación de un sistema de videovigilancia para controlar al personal laboral es excesivo, pues ésto puede tratarse mediante mecanismos menos agresivos y/o intrusivos. Sí podría instalarse dicho sistema si estuviésemos ante una situación concreta de incumplimientos laborales muy graves o cualquier otra finalidad que hicieran proporcional el uso del sistema.
28. ¿Qué es el principio de exactitud? Este principio establece que los datos deben ser exactos y, si fuera necesario, actualizados. Según el artículo 5.1.d) RGPD, han de adoptarse “todas las medidas razonables para que se supriman o rectifiquen sin delación los datos personales que sean inexactos con respecto a los fines para los que se tratan”. La LOPD-GDD regula este principio en su artículo 4, guiándose en todo momento por el artículo 5.1.d) RGPD.
El RD 1720/2007 establece en su artículo 8.5 que se considerarán exactos los datos que sean recogidos directamente del afectado y que sean facilitados por éste. Por otro lado, en el mismo artículo, establece que los datos inexactos serán cancelados y sustituidos de oficio por datos rectificados/completados en un plazo de 10 días.
29. ¿Cuánto tiempo debemos mantener en nuestro poder datos de los interesados? Guiándonos por el artículo 5.1.e) RGPD, éstos serán “mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales”. Sin embargo, podrán conservarse durante periodos más largos para fines de archivo de interés público, fines de investigación científica o histórica o fines estadísticos. Esto se vincula con el derecho de supresión o de cancelación.
30. ¿Qué derechos pueden ejercitar los interesados? Los derechos que recoge el RGPD y la LOPD-GDD son: derecho de acceso, derecho de rectificación, derecho de supresión, derecho a la limitación del tratamiento, derecho a la portabilidad de los datos y derecho de oposición.
31. ¿En qué consiste el derecho de acceso? Gracias a este derecho, el interesado podrá obtener del responsable del tratamiento una confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales e información adicional como los fines del tratamiento o el derecho a presentar una reclamación ante una autoridad de control. (art. 15 RGPD).
32. ¿Qué permite el derecho de rectificación? El derecho de rectificación permite al interesado obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernen. (art. 16 RGPD).
33. ¿Qué es el derecho de supresión? (Art. 17.1 RGPD) Se trata de un derecho que permite al interesado obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan. Para ello es necesario que:
-
los datos ya no sean necesarios en relación a los fines para los que fueron recogidos,
-
el interesado retire el consentimiento,
-
el interesado se oponga al tratamiento con arreglo al artículo 21.1 o 21.2 RGPD,
-
los datos personales hayan sido tratados ilícitamente,
-
los datos personales deban suprimirse para el cumplimiento de una obligación legal.
-
Los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información que se encuentran en el artículo 8, apartado 1 del RGPD.
34. ¿En qué consiste el derecho a la limitación del tratamiento? Los datos cuyo tratamiento se haya limitado sólo podrán ser objeto de tratamiento con el consentimiento del interesado o para la formulación, el ejercicio o la defensa de reclamaciones. (Art. 18.2 RGPD). Este derecho supone la adopción de una medida cautelar que reduce el tratamiento a la conservación de los datos para la formulación, el ejercicio o la defensa de reclamaciones.
35. ¿Qué condiciones han de cumplirse para obtener del responsable de tratamiento la limitación del tratamiento? (Art. 18.1 RGPD) Son varias las condiciones, las cuales serán alternativas:
-
el interesado impugne la exactitud de los datos personales,
-
el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso,
-
el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, ejercicio o la defensa de reclamaciones,
-
el interesado se haya opuesto al tratamiento en virtud del artículo 21, apartado 1, del Reglamento General de Protección de Datos, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.
36. ¿Qué permite el derecho de oposición? Este derecho permite al interesado oponerse a que los datos que le conciernan sean objeto de un tratamiento basado en el artículo 6.1 letras e) o f).
37. ¿Cómo deben tratarse los datos personales? Los datos han de tratarse de tal forma que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (art. 5.1.f) RGPD).
38. ¿En qué consiste el deber de información? El deber de información consiste en la implementación de medidas oportunas para facilitar al interesado una información determinada, así como cualquier comunicación relativa al tratamiento. Dicha información ha de ser facilitada por escrito u otros medios, como los electrónicos.
39. ¿Cuándo debe informar el responsable del tratamiento a los interesados? Son varios los supuestos en los que el responsable ha de informar a los interesados y a otros responsables:
-
cuando los fines del tratamiento ya no requieran la identificación del titular de los datos y el responsable demuestre que ya no está en condiciones de identificarlo, le ha de informar de esta circunstancia (art. 11.2 RGPD),
-
cuando se efectúe un tratamiento de datos, ya sean obtenidos del interesado o de otras fuentes, así como comunicar la información relativa al ejercicio de sus derechos (art. 12 y 13 RGPD),
-
cuando el interesado lo solicite, se le informará de los destinatarios a los que se les ha comunicado sus datos (art.19 RGPD),
-
cuando se produzcan violaciones de seguridad de los datos personales (art. 34 RGPD),
-
cuando existan normas corporativas vinculantes (art. 47.2.g RGPD)),
-
cuando no exista decisión de adecuación o garantías adecuadas y cuando se haya producido una transferencia por intereses legítimos imperiosos del responsable, deberá informar de los riesgos de las transferencias internacionales de datos.
40. ¿Cuándo debe informar el responsable del tratamiento a otros responsables de tratamientos? El responsable deberá informar:
-
cuando el interesado ejercite su derecho al olvido, deberá informar de su ejercicio.
-
Cuando se produzcan modificaciones en el tratamiento como consecuencia del ejercicio de derechos por parte de los interesados, a los destinatarios de los datos.
41. ¿Cuándo debe informar el responsable del tratamiento a la autoridad de control? Se deberá informar a la autoridad de control:
-
cuando se trate de violaciones de seguridad de los datos personales,
-
antes de proceder al tratamiento cuando exista alto riesgo y no se tomen medidas para mitigarlo,
-
cuando se haya efectuado una transferencia internacional que no esté basada en decisiones de adecuación, garantías adecuadas, o normas corporativas vinculantes, ni en alguno de los supuestos del art. 49.1.g) RGPD.
42. ¿De qué debe informar un encargado de tratamiento al responsable de tratamiento? Deberá informarlo de:
-
cualquier cambio previsto en la incorporación o sustitución de otros encargados,
-
del deber de tratar los datos siguiendo instrucciones distintas a las del responsable,
-
si, en su opinión, una instrucción infringe el RGPD u otras disposiciones en materia de protección de datos.
43. ¿Cómo debemos realizar nuestro deber de información?
Atendiendo al artículo 12.1 RGPD, el responsable debe informar a los interesados de forma concisa, transparente, inteligible y accesible. Para ello es necesario utilizar un lenguaje claro y sencillo, por lo que no debemos utilizar tecnicismos que hagan difícil la lectura. En el caso de los niños se han de extremar la claridad y sencillez.
44. ¿Qué medios utilizaremos para informar?
Para ejercer nuestro deber de información podemos utilizar cualquier medio que permita dejar constancia por escrito del contenido de la información, pudiéndose utilizar medios electrónicos. Además, tal y como establece el artículo 12.1 RGPD, “cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios”.
45. ¿Cuánto ha de pagar el interesado por la información recibida?
Nada. La información facilitada, así como toda comunicación y cualquier actuación serán a título gratuito. Sin embargo, cuando las solicitudes sean manifiestamente infundadas o excesivas, el responsable del tratamiento podrá cobrar un canon razonable por los costes administrativos afrontados o bien, negarse a actuar respecto a la solicitud.
46. ¿Qué información debe facilitarse al interesado?
(Art. 13 y 14 RGPD) Tanto para datos obtenidos de interesados como los que no, la información a facilitar es:
-
identidad y datos de contacto del responsable y, en su caso, de su representante y del delegado de protección de datos (DPD);
-
fines y base jurídica del tratamiento;
-
destinatarios o categorías de destinatarios de los datos personales;
-
intención del responsable de transferir datos personales a un tercer país u organización internacional;
-
plazo durante el que se van a conservar los datos personales o los criterios para determinar el plazo;
-
existencia del derecho de los interesados a solicitar al responsable del tratamiento el acceso a sus datos personales, y exigir su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento;
-
derecho a presentar una reclamación ante una autoridad de control;
-
existencia de decisiones automatizadas;
-
informar sobre fines posteriores a los iniciales y sus circunstancias;
-
intereses legítimos del responsable o de un tercero;
-
si la comunicación de datos personales es un requisito legal o contractual y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de no facilitar dichos datos.
Además de esta información, si se trata de datos obtenidos del interesado ha de informársele del derecho a retirar el consentimiento en cualquier momento. Por su parte, la LOPD-GDD, en sus artículos 11.1 y 11.2, establece que deberá facilitarse, junto a la información recogida en el art. 13 RGPD, una información básica y una dirección electrónica u otro medio que permita acceder a la restante información. Dicha información básica será la identidad del responsable del tratamiento y de su representante, y la finalidad del tratamiento.
Por otro lado, si se trata de datos que no han sido obtenidos del interesado, según el art. 11.3 LOPD-GDD, habrá de entenderse por información básica las categorías de datos objeto del tratamiento y las fuentes de las que procedieran los datos.
47. ¿Cuándo debe facilitarse la información?
En el caso de datos personales obtenidos del interesado, se facilitará la información en el momento en que estos se obtengan, mientras que, para los que no se obtienen del interesado se fijan tres circunstancias en el art. 14.3 RGPD, las cuales son:
-
“dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un mes, habida cuenta de las circunstancias específicas en las que se traten dichos datos;
-
si los datos personales han de utilizarse para comunicación con el interesado, a más tardar en el momento de la primera comunicación a dicho interesado, o
-
si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez”.
48. ¿Cuáles son las excepciones al deber de información?
Existen varias excepciones al deber de información, siendo la principal excepción la que se da en el caso de que el interesado ya disponga de la información.
Otra excepción la constituye aquella en la que los datos no se han obtenido del interesado, en cuyo caso el responsable no estará obligado a informar cuando resulte imposible o suponga un esfuerzo desproporcionado.
También está exceptuado del deber de información el responsable cuando los datos personales que no se han obtenido del interesado deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional, la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, o cuando la comunicación esté expresamente establecida por el Derecho que establezca medidas adecuadas para proteger los intereses legítimos del interesado.
49. ¿Qué son las Cookies?
Son un tipo de dispositivo de los denominados de almacenamiento y recuperación de datos y que consiste en un archivo o programa informático que el propietario de la página web que se visita instala en el ordenador del navegante y que le permite almacenar datos sobre las páginas visitadas.
50. ¿Qué finalidades tienen las Cookies?
Las Cookies tienen dos finalidades:
-
Evitar descargar datos la próxima vez que se visite la página web para que la navegación sea más rápida, y
-
obtener información sobre los usuarios y navegantes interesantes para comerciantes.
51. ¿En qué consiste el principio de consentimiento previo y en qué casos no se aplica?
El principio de consentimiento previo persigue obtener del interesado su consentimiento con anterioridad al tratamiento de sus datos, rigiendo en todo momento el principio de libertad probatoria. No se aplicará el principio de consentimiento previo en aquellos casos en que se trate información que proceda de alguna fuente de acceso público.
52. ¿A qué nos referimos con el principio de libertad probatoria?
Tal y como establece el artículo 7 RGPD, en su apartado 1, por este principio de libertad probatoria habrá de entenderse una libertad de forma para la obtención del consentimiento del interesado siempre y cuando “el responsable deberá ser capaz de demostrar que aquel [interesado] consintió el tratamiento de sus datos personales”. Por lo tanto, podríamos recoger el consentimiento en papel y no, por ejemplo, de forma verbal a no ser que se esté grabando dicha conversación. El RD 1720/2007 recoge en sus artículos 12 a 17 una redacción más detallada acerca de la obtención del consentimiento.
53. ¿Qué debemos entender por consentimiento acreditado e inequívoco?
Por consentimiento acreditado debemos entender aquel que ha sido otorgado y el cual puede ser demostrado por el responsable tal y como establece el art. 7.1 RGPD y el art. 12.3 RD 1720/2007 (“corresponderá al responsable del tratamiento la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho”).
Por consentimiento inequívoco ha de entenderse aquel que no genera dudas del otorgamiento de dicho consentimiento. Tal y como declaró la AEPD (Agencia Española de Protección de Datos), “el consentimiento inequívoco es aquel que se ha prestado mediante una manifestación o mediante una clara acción afirmativa”.
54. ¿Es posible un consentimiento tácito?
Atendiendo al Reglamento General de Protección de Datos, considerando 32, el consentimiento SIEMPRE será expreso, no constituyendo consentimiento “el silencio, las casillas ya marcadas o la inacción”. Por tanto, como establece el considerando ya mencionado, “el consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre”.
55. ¿Qué es un consentimiento específico e informado?
Un consentimiento específico, según la AEPD, es aquel referido a una determinada operación de tratamiento y para una finalidad determinada. Por otra parte, un consentimiento informado es aquel en el que se ha informado al interesado de los fines que tendrán los datos que han sido recabados (Art. 6.1 y 6.2 LOPD-GDD y considerando 32 y Art. 7.2 RGPD). Según el considerando 42 del RGPD, “para que el consentimiento sea informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales”.
56. ¿Qué significa que un consentimiento es libre y revocable?
Según la AEPD, un consentimiento es libre cuando se obtiene sin vicio alguno en los términos del Código Civil (debemos entender por vicios aquellas circunstancias que generen engaño, miedo, coacción…). De otro lado tenemos la revocabilidad del consentimiento, que ofrece al interesado la posibilidad de retirar el consentimiento libremente en cualquier momento, manteniéndose la licitud del tratamiento (art. 7.3 RGPD).
57. ¿Qué ocurre si un interesado revoca su consentimiento a la vez que ejercita el derecho de cancelación?
Al haber bloqueado/borrado el dato a la vez que se niega a su tratamiento, no es necesario responder al interesado acerca de la revocación, sino que basta con informarle de la cancelación.
58. ¿Qué pasa si se revoca el consentimiento sin ejercitar ningún otro derecho?
En este caso sí hay que contestar expresamente a esa solicitud a fin de que el interesado sea conocedor del fin del tratamiento.
59. ¿Cómo se debe obtener el consentimiento para tratamiento de datos especialmente protegidos?
El consentimiento para el tratamiento de datos especialmente protegidos (raciales, ideológicos, religiosos…) ha de ser expreso y por escrito, existiendo dos grupos de datos especialmente protegidos (referentes a ideología y creencias y referentes a la salud y la etnia) que cuentan con algunas excepciones.
60. ¿Cuándo no es necesario el consentimiento expreso y por escrito para datos que revelen ideología, pertenencia a partidos políticos y sindicatos, religión y creencias?
Esto sólo es posible en el caso de que el tratamiento de estos datos lo realice un partido, sindicato, iglesia u otra entidad de sus afiliados/asociados siempre y cuando no se pretenda comunicar dichos datos a terceros (art. 9.2.d) RGPD) y, según la letra c) del artículo 9.2 RGPD, cuando se pretenda “proteger los intereses vitales del interesado o de otra persona física cuando el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento”.
61. ¿En qué casos no es necesario el consentimiento expreso y por escrito para datos relativos a origen racial, a la salud y a la vida sexual?
No será necesario recabar el consentimiento para este tipo de datos sólo cuando así lo establezca una ley por razones de interés general, tal y como dispone el art. 9.2 LO 3/2018 (LOPD-GDD) y, según la letra c) del artículo 9.2 RGPD, cuando se pretenda “proteger los intereses vitales del interesado o de otra persona física cuando el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento”.
62. ¿Pueden tratarse datos personales de menores de edad sólo con su consentimiento?
Sí, es posible realizar un tratamiento de datos personales de un menor basándonos sólo en su consentimiento, pero tan solo si éste es mayor de 14 y no existan prohibiciones legales específicas que requieran la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico (art. 7.1 LOPD-GDD).
63. ¿Qué ocurre con los menores de 14 años?
En caso de tratamientos de datos de menores de 14 años que se funden en el consentimiento del menor, se requerirá, además, el consentimiento del titular de la patria potestad o tutela, al igual que en las limitaciones existentes para menores de edad mayores de 14 años (art. 7.2 LO 3/2018).
El responsable del tratamiento será quien garantice que se ha comprobado de manera efectiva la edad del menor y la autenticidad del consentimiento prestado en su caso por los padres, tutores o representantes legales (RLOPD art. 13.4).
Por otro lado, atendiendo al art. 13.2 RLOPD, “en ningún caso podrán recabarse del menor datos que permitan obtener información sobre los demás miembros del grupo familiar, o sobre las características del mismo […] sin el consentimiento de los titulares de tales datos”.
64. ¿En qué ocasiones no es necesario el consentimiento del titular de la patria potestad o tutela para menores de 14 años?
Según el considerando nº 38 del Reglamento General de Protección de Datos, “el consentimiento del titular de la patria potestad o tutela no debe ser necesario en el contexto de los servicios preventivos o de asesoramiento ofrecidos directamente a los niños”, entendiéndose referido siempre a las actuaciones de las Administraciones Públicas y otros entes público con fines de protección de los menores.
65. ¿Puede un menor de 14 años efectuar disposiciones patrimoniales asociadas al tratamiento de datos?
No, se requiere el consentimiento del titular de la patria potestad o tutela de acuerdo con el Código Civil.
66. ¿Se pueden enviar los resultados académicos a los padres o tutores sin el consentimiento de los menores?
Según los artículos 154 y 269 del Código Civil sí se puede, puesto que se está haciendo en pro de la educación del menor, que es un deber de los padres o tutores.
————————————————————————
DERECHOS DE LOS INTERESADOS
67. ¿Cuánto tiempo tiene el responsable del tratamiento para responder a una solicitud? El responsable deberá responder a la solicitud de cualquier interesado en el plazo de un mes a contar desde la recepción de la solicitud, pudiéndose prorrogar dicho plazo hasta dos meses más en caso necesario debido a la complejidad y el número de solicitudes.
68. ¿Qué debe hacer el responsable en caso de prorrogarse el plazo de respuesta? En caso de que deba prorrogarse el plazo de respuesta a una solicitud, el responsable deberá informar al interesado de dicha prórroga indicando el tiempo y los motivos por los que ésta se produce. Esto ha de hacerse dentro del plazo original establecido, es decir, dentro del primer mes a contar desde la recepción de la solicitud (art. 12.3 RGPD).
69. ¿Qué ocurre en caso de no actuación del responsable del tratamiento? En caso de no actuación del responsable del tratamiento, éste deberá informar al interesado, en el plazo de un mes a partir de la recepción de la solicitud, sobre la negativa o la no actuación y sobre los recursos que cabe interponer y ante quién ha de interponerlos (art. 12.4 RGPD).
70. ¿Se puede solicitar información adicional al solicitante? En caso de que el responsable tenga dudas razonables con la identidad de la persona física que realiza la solicitud, éste puede puede solicitar que se facilite información adicional necesaria para confirmar la identidad del interesado (art. 12.5 RGPD).
71. ¿A qué información tiene acceso el interesado? (Derecho de acceso) El interesado tiene acceso, según el artículo 15.1 RGPD, “a los datos personales y a la siguiente información:
-
fines del tratamiento;
-
las categorías de datos personales de que se trate;
-
los destinatarios o categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales;
-
de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;
-
la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;
-
el derecho a presentar una reclamación ante una autoridad de control;
-
cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;
-
la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4 y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado”.
72. ¿Cómo ha de facilitarse la información? La información se facilitará por el responsable mediante una copia de los datos personales objeto del tratamiento siempre que no se afecte negativamente a los derechos y libertades de terceros. Si se solicita una segunda copia o más, el responsable podrá requerir un canon razonable basado en los costes administrativos (art. 15.3 RGPD).
Artículo 13.3 LOPD-GDD: “A los efectos establecidos en el artículo 12.5 del Reglamento (UE) 2016/679 se podrá considerar repetitivo el ejercicio del derecho de acceso en más de una ocasión durante el plazo de seis meses, a menos que exista causa legítima para ello”.
73. ¿Cuándo se facilitará la información en formato electrónico? Se facilitará en forma electrónica siempre que el interesado presente la solicitud por estos medios y no haya solicitado que se le facilite la información por otros medios (art. 15.3 RGPD).
74. ¿Qué debe indicar la solicitud de rectificación? (Derecho de rectificación)Esta solicitud debe incluir los datos a los que se refiere y la corrección que haya de realizarse. Además, deberá ir acompañada de la documentación justificativa de lo solicitado (art. 14 LO 3/2018 y art. 32.1 primer párrafo RLOPD).
75. ¿Qué ha de hacer el responsable del tratamiento cuando los datos se han cedido a terceros? En este caso, el responsable deberá notificar la solicitud de rectificación a los terceros a quienes se cedieron los datos para que éstos procedan a su rectificación también (art. 19 RGPD).
76. ¿Qué contenido debe tener la solicitud de supresión? (Derecho de cancelación o supresión) “La solicitud de cancelación, el interesado deberá indicar a qué datos se refiere, aportando el efecto la documentación que lo justifique” art. 32.1 segundo párrafo RLOPD.
77. ¿Qué plazo hay para responder a una solicitud de rectificación o cancelación? El plazo que marca el RLOPD para estas solicitudes se encuentra en el artículo 32.2, siendo éste de un máximo de 10 días a contar desde la recepción de la solicitud.
78. ¿Cómo se debe actuar en el caso de haber cedido datos de los que se requiere su cancelación? Según el RGPD, en su artículo 17.2, el responsable del tratamiento deberá tomar las medidas necesarias para informar a aquellos responsables que estén tratando datos personales de la solicitud de supresión.
Por su parte, el RLOPD dispone únicamente en su art. 32.3 que “si los datos rectificados o cancelados hubieran sido cedidos previamente, el responsable del fichero deberá comunicar la rectificación o cancelación efectuada al cesionario”.
79. ¿En qué supuestos no se puede realizar la supresión de un dato? Según el artículo 17.3 RGPD, no se aplicará la supresión “cuando el tratamiento sea necesario:
-
-
para ejercer el derecho a la libertad de expresión e información;
-
para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique el responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable;
-
por razones de interés público en el ámbito de la salud pública de conformidad con el artículo 9, apartado 2, letras h) e i), y apartado 3;
-
con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento, o
-
para la formulación, el ejercicio o la defensa de reclamaciones”.
-
80. ¿Qué debe incluir la solicitud de oposición a un tratamiento? (Derecho de oposición) A tenor de lo dispuesto en el artículo 35.1 RLOPD, cuando la oposición se refiera a un tratamiento en el que no es necesario el consentimiento del interesado para el tratamiento, la solicitud deberá contar con motivos fundados y legítimos, relativos a una concreta situación personal del afectado, que justifiquen el ejercicio de este derecho.
81. ¿Cómo saber si los motivos dados por el interesado son suficientes para el ejercicio del derecho? Para saber si son suficientes los motivos para ejercitar el derecho de oposición habrá que hacer una ponderación entre los motivos del tratamiento y los que alega el interesado.
82. ¿Qué debe hacer el responsable ante la oposición del interesado a un tratamiento de sus datos necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos? En este caso, basándonos en el Considerando 69 RGPD, será el responsable del tratamiento el que esté obligado a demostrar “que sus intereses legítimos imperiosos prevalecen sobre los intereses o los derechos y libertades fundamentales del interesado”. Se recoge esta misma idea en el artículo 21.1 RGPD.
83. ¿Qué ocurre si el tratamiento tiene fines de investigación científica o histórica o fines estadísticos? Al igual que en el resto de circunstancias o casos, el interesado puede oponerse al tratamiento de datos personales que le conciernan siempre y cuando este tratamiento no sea necesario para el cumplimiento de una misión realizada por razones de interés público (art.21.6 RGPD).
84. ¿Existe derecho de oposición ante aquellos tratamientos que se pueden realizar sin recabar consentimiento del interesado? Sí, el interesado podrá ejercitar su derecho de oposición ante tratamientos que no requieran recabar consentimiento del interesado. Para ello es necesario que el interesado funde su decisión en un motivo legítimo y fundado que se refiera a su situación personal y, además, que no exista una ley que disponga lo contrario (art. 34.a) RLOPD).
85. ¿Tiene el interesado derecho de oposición ante una decisión basada únicamente en un tratamiento automatizado? Sí, un interesado puede ejercitar su derecho de oposición en una decisión basada únicamente en un tratamiento automatizado que produzca efectos jurídicos en él o le afecte significativamente de modo similar (art. 22.1 RGPD).
86. ¿En qué casos es lícito realizar el tratamiento y tomar una decisión automatizada?
Atendiendo al artículo 22.2 RGPD, los tratamientos en los que no se aplica el derecho de oposición son aquellos:
-
en los que la decisión automatizada es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento;
-
en los que la decisión automatizada está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o
-
que se basan en el consentimiento explícito del interesado.
87. ¿Pueden emplearse en este tipo de tratamientos categorías especiales de datos? No, salvo que el tratamiento se realice con el consentimiento del afectado o se trate de un interés público esencial impuesto por el Derecho de la Unión Europea o del Estado miembro (arts. 9.1 y 9.2.a) y g) RGPD).
88. ¿En qué supuestos surge el derecho a la limitación de los datos? (Derecho a la limitación de datos)
Los casos en los que surge este derecho se encuentran en el art. 18.1 RGPD y son los siguientes:
-
-
“el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos;
-
el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;
-
el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;
-
el interesado se haya opuesto al tratamiento en virtud del artículo 21, apartado 1, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado”.
-
89. ¿Qué métodos se pueden utilizar para limitar el tratamiento de datos? Basándonos en el considerando 67 RGPD, se podrán utilizar métodos como el traslado temporal de datos a otro sistema de tratamiento, impedir el acceso de usuarios a los datos personales seleccionados o retirada temporal de los datos publicados de un sitio web.
—————————————————————-
90. ¿Qué tratamientos de datos personales están prohibidos? Están prohibidos todos aquellos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical. También están prohibidos el tratamiento de datos genéticos, datos biométricos, datos relativos a la salud y datos relativos a la vida sexual o los de orientación sexual de una persona (art. 9.1 RGPD).
91. ¿Deben considerarse las fotografías incluidas en categorías especiales de datos? A tenor de lo dispuesto en el Considerando 51 RGPD, “el tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales” siempre y cuando no pueda identificarse de manera unívoca a una persona. En este último caso, el tratamiento de fotografías deberá incluirse en los tratamientos prohibidos por el artículo 9.1 RGPD.
92. ¿Cuando no se aplica esta prohibición?
Todas las excepciones de la prohibición de tratamientos se encuentran recogidas en el artículo 9.2 RGPD, siendo las circunstancias libres de prohibición las siguientes:
-
-
el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales;
-
el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social;
-
el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
-
el tratamiento es efectuado, en el ámbito de sus actividades legítimas, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos;
-
el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;
-
el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;
-
el tratamiento es necesario por razones de un interés público esencial;
-
el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social;
-
el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, y
-
el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.
-
93. ¿Puede considerarse el acceso del público a documentos oficiales de interés público? Sí y, por tanto, los datos personales de documentos que se encuentren en poder de una autoridad pública o un organismo público podrán ser comunicados públicamente por dicha autoridad u organismo de acuerdo con el Derecho de la Unión o de los Estados miembros que se les aplique (art. 86 RGPD).
94. ¿Qué es la reutilización de la información del sector público a la que se refiere el Considerando 154 RGPD? Es la acción por la que se pretende aprovechar la gran cantidad de información que almacenan las Administraciones Públicas a través del sector privado con el fin de que éste genere riqueza y empleo.
95. ¿Cuáles son las condiciones establecidas para esta reutilización de la información? Para conocer las condiciones de la reutilización de la información en el sector público hay que dirigirse al artículo 8 de la Ley 18/2015, de 9 de julio, sobre reutilización de la información del sector público. En dicho artículo se establecen las siguientes 6 condiciones:
-
“Que el contenido de la información, incluyendo sus metadatos, no sea alterado.
-
Que no se desnaturalice el sentido de la información.
-
Que se cite la fuente.
-
Que se mencione la fecha de la última actualización.
-
Cuando la información contenga datos de carácter personal, la finalidad o finalidades concretas para las que es posible la reutilización futura de datos.
-
Cuando la información, aún siendo facilitada de forma disociada, contuviera elementos suficientes que pudieran permitir la identificación de los interesados en el proceso de reutilización, la prohibición de revertir el procedimiento de disociación mediante la adición de nuevos datos obtenidos de otras fuentes”.
96. ¿A qué información pública hay que dar acceso? Habrá que dar acceso a aquella información que contenga datos meramente identificativos relacionados con la organización, funcionamiento o actividad pública del órgano administrativo (art. 15.2 Ley 19/2013).
97. ¿Existe alguna excepción al acceso a la información del sector público? Sí. No se podrá conceder acceso a la información del sector público cuando prevalezca la protección de datos personales sobre el interés público en la divulgación (art. 15.2 Ley 19/2013).
98. ¿Qué ocurre si la información pública solicitada contiene datos personales que no son especialmente protegidos? En este caso, “el órgano al que se dirija la solicitud concederá el acceso previa ponderación suficientemente razonada del interés público en la divulgación de la información y los derechos de los afectados cuyos datos aparezcan en la información solicitada”, tal y como dispone el art. 15.3 de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno.
99. ¿Qué criterios se tienen en cuenta en la ponderación? A tenor de lo dispuesto en el art. 15.3 Ley 19/2013, los criterios son los 4 siguientes:
-
“El menor perjuicio a los afectados derivado del transcurso de los plazos establecidos en el artículo 57 de la Ley 16/1985, de 25 de junio, del Patrimonio Histórico Español.
-
La justificación por los solicitantes de su petición en el ejercicio de un derecho o el hecho de que tengan la condición de investigadores y motiven el acceso en fines históricos, científicos o estadísticos.
-
El menor perjuicio de los derechos de los afectados en caso de que los documentos únicamente contuviesen datos de carácter meramente identificativo de aquellos.
-
La mayor garantía de los derechos de los afectados en caso de que los datos contenidos en el documento puedan afectar a su intimidad o a su seguridad, o se refieran a menores de edad.
100. ¿Cómo debe tratarse el Número Nacional de Identificación? Al tratarse de un dato personal, tal y como establece el artículo 87 RGPD, “se utilizará únicamente con las garantías adecuadas para los derechos y las libertades del interesado con arreglo al presente Reglamento”.
101. ¿Qué poderes tienen las autoridades de control respecto de los responsables o encargados que tengan el deber profesional de guardar secreto? Para estas situaciones se establecen 2 poderes en el artículo 58.1 RGPD, concretamente en las letras e) y f), y son los siguientes:
-
“obtener del responsable y del encargado del tratamiento el acceso a todos los datos personales y a toda la información necesaria para el ejercicio de sus funciones;
-
obtener el acceso a todos los locales del responsable y del encargado del tratamiento, incluidos cualesquiera equipos y medios de tratamiento de datos, de conformidad con el Derecho procesal de la Unión o de los Estados miembros”.
102. ¿Quién es el responsable del tratamiento? Es una persona física o jurídica, autoridad pública, servicio u otro organismo que determina los fines y medios del tratamiento (art. 4.7 RGPD). (ver pregunta 156)
103. ¿Cuáles son las obligaciones del responsable? A la guía del artículo 24.1 RGPD, el responsable del tratamiento deberá aplicar medidas técnicas y organizativas apropiadas para garantizar y demostrar que el tratamiento es conforme al Reglamento General de Protección de Datos. El apartado 2 del mismo artículo añade que entre esas medidas se incluye, en el caso concreto, la aplicación de las oportunas políticas de protección de datos.
104. ¿Cómo puede el responsable demostrar el cumplimiento de las obligaciones? Puede hacerlo mediante la adhesión a códigos de conducta aprobados a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42.
105. ¿Cuándo habrán de aplicarse las medidas técnicas y organizativas? Esto ha de hacerse en el momento de determinar los medios de tratamiento y en el momento del propio tratamiento de acuerdo con el artículo 25 RGPD.
106. ¿Qué se pretende garantizar con estas medidas técnicas y organizativas? Lo que se busca con las medidas técnicas y organizativas que aplique el responsable del tratamiento es que solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento refiriéndose esta limitación a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad (art. 25.2 RGPD).
107. ¿Qué establece el RGPD en el caso de que existan, al menos, 2 responsables? En dicho caso, el artículo 26 RGPD, en su apartado 1, establece que éstos “serán considerados corresponsables del tratamiento”, y deberán fijar de forma clara y mediante acuerdo las responsabilidades de cada uno en lo referente al cumplimiento de las obligaciones que impone el RGPD.
108. ¿Qué deben los corresponsables aclarar? Son dos las tareas a realizar por éstos a su reconocimiento:
-
Deben establecer sus respectivas obligaciones en lo referente al ejercicio de los derechos de los interesados y al cumplimiento del deber de información.
-
las funciones que se atribuye cada uno y sus relaciones con los interesados.
109. ¿Cuándo nace la obligación de designar un representante? Esta obligación surge, de acuerdo con el 27 RGPD, cuando los responsables/encargados de un tratamiento de datos personales de personas residentes en la Unión Europea no estén establecidos en la Unión.
110. ¿Qué es un encargado del tratamiento? Es un agente que presta sus servicios a un responsable del tratamiento, es decir, se trata de una persona que oferta al responsable en cuestión unas garantías para aplicar medidas técnicas y organizativas apropiadas a un tratamiento concreto, de tal forma que dicho tratamiento se realice de acuerdo con el Reglamento General de Protección de Datos y garantice la protección de los derechos del interesado (art. 28.1 RGPD). Ejemplo de esto sería que el ayuntamiento encargue a un tercero la gestión de cobro de impuestos, la elaboración de las nóminas de su personal o el mantenimiento de los equipos informáticos.
111. ¿Cómo ha de realizar el encargado el tratamiento en cuestión? Las acciones del encargado estarán regidas en todo momento por un contrato u otro acto jurídico que vincula al encargado con el responsable y, además, establece “el objeto, duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable”.
Así pues, mediante dicho contrato, el responsable establece las directrices a seguir por el encargado en el tratamiento de los datos personales. Dichas directrices se pueden encontrar en el art. 28.3 RGPD.
112. ¿Puede un encargado recurrir a otro encargado? Sí, pero será necesario que el responsable dé su autorización previamente y por escrito (art. 28.2 RGPD).
113. ¿Cómo deben realizar las tareas estos subencargados? Los subencargados deberán firmar un contrato u otro acto jurídico con el encargado por el cual éstos quedarán sometidos a las mismas directrices y obligaciones a las que se ha sometido previamente el encargado respecto del responsable (art. 28.4 RGPD).
114. En caso de existencia de subencargados, ¿quién es el responsable del tratamiento? En ese caso, al igual que ante la ausencia de subencargados, “el encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado” (art. 28.4 RGPD).
115. ¿Debe el responsable de tratamiento cooperar con la autoridad de control? Sí. Atendiendo al artículo 31 RGPD, el responsable y el encargado del tratamiento han de cooperar con la autoridad de control que lo solicite. En el caso de España, existen 3 autoridades de control que tienen asignadas dichas funciones y competencias, que son Agencia Vasca, la Autoridad Catalana de Protección de Datos y la Agencia Española de Protección de Datos.
116. ¿Qué es un registro de actividades de tratamiento? Se trata de una medida de seguridad que se encuentra regulada en el artículo 30 RGPD. Tiene como fin la clasificación y diferenciación de actividades que realice la entidad en cuestión en las que se traten datos personales y de las cuales sean responsables.
117. ¿Qué entidades u organizaciones no están obligadas a realizar un registro de actividades de tratamiento? No están obligados a realizar este registro empresas u organizaciones con menos de 250 personas, salvo que dicho tratamiento suponga un riesgo para los derechos y libertades de los interesados, no sea ocasional, o contenga categorías especiales de datos personales o datos personales de carácter penal (art. 30.5 RGPD). Por tanto, las administraciones públicas SÍ están obligadas a realizar este registro de actividades de tratamiento.
118. ¿Cómo debe realizarse el registro de actividades de tratamiento? El registro de actividades de tratamiento debe realizarse por escrito (se incluye en este caso el formato electrónico) y ha de estar disponible para la autoridad de control que lo solicite.
119. ¿Qué personas deben realizar el registro de actividades de tratamiento? Atendiendo al artículo 30 RGPD, en sus apartados 1 y 2, estarán obligados a realizar este registro tanto el responsable/corresponsable como los encargados del tratamiento, existiendo diferencias entre el contenido del registro según quien lo realice.
120. ¿Cuál es el contenido del registro si lo realiza el responsable/corresponsable? Según el artículo 30.1 RGPD, el contenido del registro de actividades de tratamiento será el siguiente cuando lo realice el responsable:
-
nombre y datos de contacto del responsable y del delegado de protección de datos.
-
fines del tratamiento.
-
descripción de las categorías de interesados y datos personales.
-
categorías de destinatarios de datos personales.
-
transferencias de datos personales a un tercer país o una organización internacional.
-
los plazos previstos para la supresión de datos.
-
descripción general de las medidas técnicas y organizativas de seguridad.
121. ¿Cuál es el contenido del registro si lo realiza el encargado del tratamiento? Para conocer el contenido del registro de actividades de tratamiento cuando éste ha sido realizado por el encargado debemos dirigirnos al art. 30.2 RGPD. Así pues el contenido es:
-
nombre y datos de contacto del encargado(s) y del responsable por cuenta del cual actúa.
-
categorías de tratamientos realizados por cuenta del responsable.
-
transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional.
-
descripción general de las medidas técnicas y organizativas de seguridad.
122. ¿Qué medidas técnicas y organizativas son apropiadas para garantizar un nivel de seguridad adecuado al riesgo? Según el artículo 32 RGPD, apartado 1, las medidas apropiadas son:
-
seudonimización y cifrado de datos personales;
-
capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
-
capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
-
proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
123. ¿Es necesario tomar medidas sobre el personal? Sí, y habrá que hacerlo tanto para el personal que dependa del responsable, como para el que dependa del encargado del tratamiento. Habrá que hacerlo con el fin de que quien tenga acceso a los datos sólo pueda tratarlos de acuerdo con las instrucciones del responsable, salvo que se esté obligado por el Derecho a acceder a los datos (art. 32.4 RGPD).
124. ¿Se deben establecer medidas de seguridad en el tratamiento de datos personales? Sí. Atendiendo al artículo 79 RLOPD, serán los responsables y los encargados los obligados a implantar medidas de seguridad acordes al Título VIII del Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos (RLOPD).
125. ¿Qué niveles de seguridad existen? Las medidas de seguridad exigibles pueden clasificarse en tres niveles de seguridad: básico, medio y alto.
126. ¿En qué casos se establecen medidas de seguridad de nivel básico? Este tipo de medidas se utilizará para todos los ficheros o tratamientos de datos personales de acuerdo con el artículo 81.1 RLOPD.
127. ¿Cuáles son las medidas de seguridad de nivel básico? Las medidas de seguridad de nivel básico se encuentran reguladas en los artículos 89 a 94 del Real Decreto 1720/2007, siendo éstas:
-
definir y documentar de forma clara las funciones y obligaciones de los diferentes usuarios o de los perfiles de usuarios en el documento de seguridad;
-
definir las funciones de control y las autorizaciones delegadas por el responsable;
-
hacer conocer al personal las normas de seguridad que le afecten, así como las consecuencias en caso de incumplimiento;
-
crear un procedimiento de notificación y gestión de las incidencias que afecten a datos personales;
-
establecer un registro de incidencias en el que conste el tipo de incidencia, el momento en que ésta se ha producido/detectado, la persona que realiza la notificación, a quién se comunica, los efectos que se deriven o pudieran derivarse de la incidencia y las medidas correctoras a aplicar;
-
contar con una relación actualizada de usuarios y accesos autorizados;
-
establecer mecanismos que eviten que un usuario acceda a recursos con derechos distintos de los autorizados;
-
asegurar que sólo el personal autorizado pueda conceder, alterar o anular el acceso autorizado sobre los recursos;
-
someter al personal ajeno a la organización que tenga acceso a los recursos a las mismas condiciones y obligaciones de seguridad a las que está sometido el personal de la organización;
-
inventariar los soportes y documentos que contengan datos personales;
-
identificar el tipo de información con que cuenta cada soporte;
-
establecer un acceso restringido al lugar de almacenamiento de los soportes;
-
la salida de soportes y documentos con datos personales ha de ser autorizada por el responsable;
-
fijar medidas para el transporte y desecho de soportes para evitar su sustracción, pérdida o acceso indebido a la información;
-
adoptar medidas que permitan identificar y autenticar a los usuarios;
-
establecer un procedimiento de asignación y almacenamiento de contraseñas, las cuales cambiarán anualmente;
-
almacenar las contraseñas de forma ininteligible;
-
hacer una copia de respaldo semanal y establecer procedimientos para generar copias de respaldo y recuperación de datos;
-
verificar cada seis meses que los procedimientos de realización de copias de respaldo y de recuperación de los datos funcionan adecuadamente;
-
reflejar en el documento de seguridad el acceso facilitado a un encargado del tratamiento;
-
controlar que los ficheros temporales cumplen el nivel de seguridad correspondiente y borrarlos cuando no sean necesarios;
-
autorizar de forma previa los trabajos realizados fuera de los locales del responsable o del encargado;
-
garantizar un nivel de seguridad semejante a los accesos en local en los accesos através de redes de telecomunicaciones.
128. ¿A qué ficheros o tratamientos de datos personales deben aplicarse las medidas de seguridad de nivel medio? Para conocer los casos en que estas medidas se utilizan debemos dirigirnos al apartado 2 del artículo 81 del Real Decreto 1720/2007. Estos ficheros o tratamientos son los siguientes:
-
-
“Los relativos a la comisión de infracciones administrativas o penales.
-
Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre (actualmente se aplicaría el artículo 20 de la Ley Orgánica 3/2018, de 5 de diciembre).
-
Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.
-
Aquellos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.
-
Aquellos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
-
Aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos”.
-
129. ¿Cuáles son las medidas de seguridad de nivel medio? Las medidas de seguridad de nivel medio se encuentran tasadas entre el artículo 95 y el artículo 100 del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos (RLOPD), siendo éstas:
-
Designación de uno o varios responsables de seguridad, los cuales se encargarán de controlar y coordinar las medidas definidas en el documento de seguridad.
-
Someter a auditoría interna o externa cada 2 años los sistemas de información y las instalaciones de tratamiento y almacenamiento de datos.
-
Crear un registro de entradas y salidas de soportes que incluya el tipo de documento o soporte, la fecha y hora, el emisor o destinatario, el número de documentos o soportes, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción o entrega.
-
Fijar un límite de intentos repetidos de acceso no autorizado.
-
Establecer controles de acceso físico a los locales en los que se hallen los sistemas de información.
-
Realizar un registro de los procedimientos realizados de recuperación de datos con la persona que ejecuta el proceso, los datos que se restauran y qué datos han de grabarse manualmente en el proceso de recuperación.
130. ¿Cuándo han de adoptarse medidas de seguridad de nivel alto? Las medidas de seguridad de nivel alto serán necesarias en tratamientos de datos de categoría especial, tratamientos con fines policiales que recaben datos sin consentimiento de las personas afectadas y en tratamientos que contengan datos derivados de actos de violencia de género.
131. ¿Cuáles son las medidas de seguridad de nivel alto? Las medidas de seguridad de nivel alto se encuentran en los artículos 101-104 RLOPD, las cuales son:
-
Utilizar sistemas de etiquetado para cifrar (a personas sin acceso) y, a la vez, identificar (personas con acceso autorizado) los soportes.
-
Cifrar los datos cuando se distribuyan soportes.
-
Evitar el tratamiento de datos personales en dispositivos portátiles que no permitan el cifrado de datos.
-
Realizar las copias de respaldo y los procedimientos de recuperación de datos en un lugar distinto al que se encuentren los equipos informáticos que los tratan.
-
Crear un registro de acceso con la identificación del usuario, la fecha y hora en que se realiza, el fichero al que se accede, el tipo de acceso y su autorización o denegación.
-
Revisar dicho registro de acceso cada mes y elaborar un informe de las revisiones realizadas y los problemas encontrados.
-
Mantener la información del registro durante, al menos, 2 años.
132. ¿Qué es el Documento de Seguridad? Se trata de un documento en el que el responsable del tratamiento tiene la obligación, a tenor del artículo 88.1 RLOPD, de incluir las medidas técnicas y organizativas a aplicar que sean acordes con la normativa de seguridad vigente.
133. ¿Qué tipo de documento es el documento de seguridad? El documento de seguridad es un documento de carácter interno para la organización en cuestión, pudiendo ser único para todos los ficheros o tratamientos o individualizado para cada fichero o tratamiento.
134. ¿Qué debe contener el documento de seguridad? De acuerdo con el artículo 88, apartado 3, de la RLOPD, el documento de seguridad debe tener como contenido los siguientes apartados:
-
“Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
-
Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.
-
Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.
-
Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
-
Procedimiento de notificación, gestión y respuesta ante las incidencias.
-
Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.
-
Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos”.
En caso de que se apliquen medidas de nivel medio o alto, el documento deberá contener además:
-
Identificación del responsable o responsables de seguridad.
-
Controles periódicos que se deban realizar para verificar el cumplimiento de lo establecido en el documento.
135. ¿Debe actualizarse el documento de seguridad? Sí. El documento de seguridad debe actualizarse siempre que ocurran cambios importantes en el sistema de información, en la organización, en el tratamiento, en el contenido de la información utilizada en los tratamientos o por los controles periódicos realizados.
136. ¿Qué es una Evaluación de Impacto de Protección de Datos? Una EIPD es un proceso utilizado para describir, según la AEPD, “un tratamiento de datos personales, evaluar su necesidad y proporcionalidad y gestionar los potenciales riesgos para los derechos y libertades a los que estarán expuestos los datos personales en función de las actividades de tratamiento que se lleven a cabo con los mismos, determinando las medidas necesarias para reducirlos hasta un nivel de riesgo aceptable”.
137. ¿Cuándo ha de realizarse una Evaluación de Impacto? Las evaluaciones de impacto se han diseñado para aquellos tratamientos en los que exista un alto riesgo para los derechos y libertades de las personas físicas (art. 35 RGPD).
138. ¿Cuáles son los tratamientos considerados de alto riesgo? Son todos aquellos que impliquen una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado y aquellos sobre cuya base se tomen decisiones que causen efectos jurídicos para las personas físicas que les afecten significativamente de modo similar. Se incluyen además los tratamientos a gran escala de categorías especiales de datos y en observaciones sistemáticas a gran escala de una zona de acceso público. Ver pregunta 140.
139. ¿Qué riesgos pueden conllevar los tratamientos de datos? Atendiendo al Considerando 75 RGPD, los riesgos pueden consistir en:
-
Daños y perjuicios físicos, materiales o inmateriales.
-
Discriminaciones.
-
Usurpaciones de identidad o fraudes.
-
Pérdidas financieras.
-
Daños reputacionales.
-
Pérdidas de confidencialidad de datos sujetos al secreto profesional.
-
Reversiones no autorizadas de la seudonimización.
-
Otros perjuicios económicos o sociales significativos.
140. ¿En qué tratamientos se considera la existencia de un riesgo? Según el Considerando antes mencionado, los tratamientos en los que se presume riesgo son:
-
Los que contienen datos de categoría especial o referentes a condenas e infracciones penales.
-
Los que evalúen aspectos personales, tales como:
-
el análisis o la predicción de aspectos referidos al rendimiento en el trabajo,
-
situación económica,
-
salud,
-
preferencias o intereses personales,
-
fiabilidad o comportamiento,
-
situación o movimientos que tengan como fin crear o utilizar perfiles personales.
-
-
Los que traten datos personales de personas vulnerables, como los niños.
-
Los que impliquen una gran cantidad de datos personales y afecte a un gran número de interesados.
141. ¿Qué debe incluir la evaluación de impacto? Atendiendo al art. 35.7 RGPD, son 4 los elementos que ha de contener una evaluación de impacto, los cuales son:
-
descripción de las operaciones de tratamiento previstas y de los fines del tratamiento;
-
evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;
-
riesgos para los derechos y libertades de los interesados; y
-
medidas previstas para hacer frente a los riesgos teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.
142. ¿En qué consiste el deber de consulta previa? Se trata de un deber del responsable de consultar a la AEPD, antes de tratar datos, que surge cuando una Evaluación de Impacto revele que el tratamiento conlleva un alto riesgo si no se toman medidas para evitarlo.
143. ¿Qué información hay que dar cuando se realiza una consulta? Según el artículo 36.3 RGPD, la información a facilitar es la siguiente:
-
responsabilidades respectivas del responsable, corresponsables y encargados implicados en el tratamiento;
-
fines y medios del tratamiento previsto;
-
medidas y garantías establecidas para proteger los derechos y libertades de los interesados;
-
datos de contacto del delegado de protección de datos; y
-
cualquier otra información que se le solicite por parte de la autoridad de control.
144. ¿Cuál es el plazo para resolver y otorgar autorización? El plazo establecido por el artículo 26.2 RGPD para que la autoridad de control asesore por escrito al responsable es de 8 semanas, pudiéndose prorrogar hasta otras 6 semanas más, en función de la complejidad del tratamiento previsto.
145. ¿Qué información debe dar la autoridad de control al responder? Ésta deberá otorgar la autorización o bien, en caso de que no resultase dicho tratamiento conforme con el RGPD, deberá asesorar al responsable por escrito indicando los errores a resolver o las medidas a tomar. En un caso extremo, puede llegar a prohibir el tratamiento.
146. ¿Cuál es la diferencia entre una notificación y una comunicación de una violación de seguridad? La diferencia entre ambas es que una notificación dirige la información a la autoridad de control, mientras que la comunicación la dirige a los interesados. Hay que decir que ambas son obligatorias ante la existencia de una violación.
147. ¿Cuándo ha de realizarse una notificación? Una notificación ha de realizarse en caso de que se produzca una violación de seguridad de los datos personales (art. 33.1 RGPD), entendiéndose por violación de seguridad toda violación “que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos” (art. 4.12 RGPD).
148. ¿Cuándo hay que realizar una comunicación? En este caso no hay que comunicar cualquier violación, sino sólo aquellas que suponen un riesgo para los derechos y libertades de las personas físicas.
149. ¿Qué debe contener una notificación? Atendiendo al artículo 33.3 RGPD, la notificación ha de contener, como mínimo:
-
Descripción de la naturaleza de la violación de seguridad de los datos personales (si es posible, incluir las categorías y número de interesados afectados y de registros de datos afectados).
-
Nombre y datos de contacto del Delegado de Protección de Datos.
-
Consecuencias posibles de la violación de seguridad.
-
Medidas adoptadas o propuestas por el responsable del tratamiento para solucionar la violación de seguridad.
150. ¿Cómo debe realizarse la comunicación de una violación de seguridad? La comunicación de una violación de seguridad deberá realizarse sin dilación indebida, tal y como establece el artículo 34 RGPD en su apartado 1. En lo que se refiere a su contenido, la comunicación se hará con un lenguaje claro y sencillo, incluyendo la naturaleza de la violación de seguridad, el nombre y datos de contacto del DPD, las posibles consecuencias de la violación de seguridad y las medidas adoptadas o propuestas por el responsable del tratamiento (art. 34.2 RGPD).
151. ¿Puede exigir la Autoridad de Control realizar una comunicación? Sí, la Autoridad puede exigir al responsable del tratamiento que comunique una brecha de seguridad cuando considere que existe un alto riesgo. En un caso extremo, la Autoridad de Control puede llegar a imponer el cumplimiento de determinadas condiciones.
152. ¿Cuándo debe designarse a un DPD? Un Delegado de Protección de Datos se designará, atendiendo al art. 37.1 RGPD, cuando:
-
el tratamiento lo lleve a cabo una autoridad u organismo público;
-
las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, por su naturaleza, alcance o fines, necesiten una observación habitual y sistemática de interesados a gran escala, o
-
las actividades principales del responsable o del encargado consistan en tratamiento a gran escala de categorías especiales de datos personales y datos relativos a condenas e infracciones penales.
153. ¿Cuáles son las funciones de un Delegado de Protección de Datos? El artículo 39 RGPD establece las funciones mínimas que desempeñará un Delegado de Protección de Datos (DPD), siendo éstas:
-
informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud de la legislación vigente;
-
supervisar el cumplimiento de lo dispuesto en la legislación vigente aplicable;
-
ofrecer el asesoramiento que se solicite acerca de la evaluación de impacto relativa a la protección de datos;
-
cooperar con la autoridad de control; y
-
actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento.
154. ¿Cuáles son las infracciones establecidas en nuestra legislación? Las infracciones que puede cometer un sujeto responsable se encuentran recogidas en los artículos 72, 73 y 74 de la Ley Orgánica 3/2018 (LOPD-GDD) y en los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, siendo éstas muy numerosas. Éstas se encuentran clasificadas en leves, graves y muy graves, castigándose con una sanción pecuniaria que dependerá de la gravedad de la infracción, su carácter continuado, el volumen de tratamientos efectuados, la actividad principal del infractor, el volumen de negocio, los beneficios obtenidos como consecuencia de la comisión de la infracción, la intencionalidad, la reincidencia, la implantación (o no) de procedimientos adecuados, y cualquier otra circunstancia relevante.
———————————————————
GUÍA DE PROTECCIÓN DE DATOS PARA LAS ADMINISTRACIONES LOCALES
155. ¿Qué datos son considerados como “de categoría especial”? Serán considerados de “categoría especial”, de acuerdo con el artículo 9 RGPD, los datos que:
-
revelen ideología, afiliación sindical, religión y creencias;
-
hagan referencia al origen racial o a la vida sexual;
-
se refieran a la comisión de infracciones penales o administrativas; y
-
sean relativos a la salud del interesado.
Además, se han incluido dos nuevas categorías de datos especiales: los datos genéticos y los datos biométricos.
156. ¿Quién es el responsable del tratamiento de datos? Es una persona física o jurídica, autoridad pública, servicio u otro organismo que determina los fines y medios del tratamiento. En el caso de la Administración Local, el responsable del tratamiento será el municipio y la diputación provincial.
157. ¿De qué tratamientos serán responsables del tratamiento las diputaciones provinciales? Sólo serán responsables de aquellos tratamientos sobre los que decidan los fines, siendo encargados del tratamiento de aquéllos derivados de la prestación de asistencia en favor de los municipios.
158. ¿Qué es un Análisis de Riesgos? Se trata de un análisis previo que se realiza a los nuevos tratamientos de datos con el fin de fijar las medidas de seguridad más adecuadas para garantizar las libertades y los derechos de las personas afectadas. Este Análisis de Riesgos se encuentra regulado, de forma tácita, en los artículos 25 y 32 del Reglamento General de Protección de Datos. En entidades locales inferiores a 20.000 habitantes, el Análisis de Riesgos puede realizarse con el soporte de la Diputación Provincial.
159. ¿Qué organismos o entidades públicos requieren un Delegado de Protección de Datos?
-
Los Ayuntamientos con menos de 20.000 habitantes pueden designar su DPD o articularlo a través de la Diputación Provincial.
-
Los Ayuntamientos con más de 20.000 habitantes pueden crear un departamento de apoyo para el DPD.
-
La Diputación provincial deberá designar su DPD.
-
En las empresas municipales, en función de los tratamientos de datos realizados, pueden designarse un DPD.
-
Cuando existan secretarios, interventores y tesoreros, éstos podrían actuar como DPD mientras no haya conflicto de intereses con el ejercicio de sus funciones en la gestión del ente local.
CASOS PRÁCTICOS DE LA GUÍA
160. ¿Pueden cederse los datos del Padrón Municipal a la policía local en el ejercicio de sus funciones? Sí, pero siempre han de cumplirse 3 requisitos:
-
se utilizan sólo aquellos datos que son adecuados, pertinentes y no excesivos;
-
la comunicación se realiza en el marco de expedientes concretos y con necesidades debidamente justificadas; y
-
se garantiza la confidencialidad y seguridad de los datos personales.
161. ¿Pueden utilizarse los datos del padrón para fomentar la participación ciudadana? Sí, se pueden utilizar los datos del padrón para fomentar la participación ciudadana. Esto se debe a la obligación que tienen las Corporaciones Locales, de acuerdo con el artículo 69 LBRL, de facilitar información sobre su actividad y la participación de los ciudadanos; y al deber definido por el artículo 25 LBRL de promover actividades y satisfacer las necesidades de los vecinos mediante la prestación de servicios. Sin embargo, para otros tratamientos distintos, será necesario que exista una previsión legal o que se otorgue el consentimiento por parte de los vecinos.
162. ¿Podemos comunicar información al propietario de un inmueble de las personas inscritas en el mismo? De acuerdo con el artículo 16, apartado 3, de la Ley de Bases de Régimen Local, estos datos se podrán ceder a otras Administraciones públicas sin consentimiento del afectado cuando sean necesarios, por lo tanto, salvo que haya consentimiento del interesado, no podrán cederse estos datos.
163. ¿Se pueden publicar las actas de los Plenos municipales en Internet? Sí, aunque si el acta contiene datos de carácter personal, se deberá recabar el consentimiento previo del afectado, siempre y cuando éstos no se refieran a actos debatidos en el Pleno o a disposiciones objeto de publicación en el Boletín Oficial que corresponda, en cuyo caso sí podrán publicarse sin consentimiento.
Por otra parte, no podrán publicarse aquellas actas en las que el Pleno haya declarado secreto el debate y votación por afectar al honor e intimidad de los ciudadanos.
164. ¿Se pueden grabar las sesiones del Pleno?¿Y compartirlas en redes sociales? Sí, podemos grabar las sesiones del Pleno y compartirlas en redes sociales. Sin embargo, al igual que en la anterior pregunta, cuando el Pleno considere que el debate y votación han de ser secretos, éstos no podrán grabarse ni compartirse en redes sociales.
165. ¿Pueden los concejales de la oposición acceder a documentación obrante en el Ayuntamiento en el ejercicio de sus funciones? Sí, puesto que la Ley de Bases de Régimen Local, a la vez que les otorga a estos la posibilidad de consultar la documentación, obliga al Alcalde a facilitar todos los antecedentes, datos o información obre en poder de los servicios de la Corporación. Este acceso estará limitado sólo al cumplimiento de las funciones del concejal, no pudiéndose acceder a esta información con otros fines.
166. ¿Puede cederse a los concejales los datos referentes a un proceso selectivo? Sí, pero han de ser los datos más recientes, puesto que si se precisan datos de ejercicios anteriores, debe justificarse cómo ayuda esto al ejercicio de control de la oposición en la acción del Gobierno Municipal.
167. ¿Pueden los concejales de la oposición acceder a datos tributarios obrantes en el ayuntamiento? De acuerdo con el art. 95 LGT, los concejales no constan como destinatarios de este tipo de información, por lo que no podrán acceder a esta información.
168. ¿Se pueden publicar en Internet imágenes de las fiestas locales? Cuando exista un interés público en su conocimiento y resulte adecuada, pertinente y no excesiva en relación con el libre ejercicio de la libertad de información, se considerará lícita la captación de imágenes y su posterior difusión.
169. ¿Se pueden publicar sanciones administrativas en el Boletín Oficial del Estado? Atendiendo al art. 44 LPAC, las publicaciones de sanciones administrativas en el Boletín Oficial del Estado podrán realizarse “cuando los interesados en un procedimiento sean desconocidos, se ignore el lugar de la notificación o bien, intentada ésta, no se hubiese podido practicar”.
170. ¿Se puede publicar en la web del Ayuntamiento una licencia de obra concedida? Se podrá publicar una licencia de obra siempre que se cuente con el consentimiento del afectado, puesto que dicha licencia puede contener nombre y apellidos del solicitante, dirección postal, etc. A esto hay que añadir que no existe ningún deber legal de las Administraciones Públicas de realizar tal publicación.
171. ¿Puede un ciudadano publicar en internet las declaraciones de bienes de los concejales de un Ayuntamiento que ha obtenido con el ejercicio del derecho de acceso de la Ley 19/2013? Este acceso se ha realizado conforme a la Ley 19/2013, de transparencia, acceso a la información pública y buen gobierno, por lo que cualquier tratamiento posterior, como su publicación en redes, debe ajustarse al Reglamento General de Protección de Datos.
172. ¿Se puede instalar GPS en los coches del personal al servicio de un Ayuntamiento con la finalidad de mejorar la prestación del servicio? Sí, en casos en que el tratamiento sea necesario para la ejecución de un contrato, siempre que los datos de localización se obtengan cuando estos estén en servicio, prestando las funciones públicas que les son propias. Además, es necesario informar a los trabajadores que vayan a utilizar los vehículos del tratamiento de datos.
173. ¿Se pueden publicar las horas extraordinarias de la policía local con nombres, apellidos y número de los agentes y las horas acumuladas? La publicación que aquí tratamos podrá realizarse siempre que exista un Acuerdo que lo prevea entre los representantes de la Administración y de los trabajadores. De no ser así, será necesario el consentimiento expreso de los afectados.
174. ¿Se pueden instalar cámaras de videovigilancia que graben la vía pública? La instalación de videocámaras en lugares públicos es competencia exclusiva de las Fuerzas y Cuerpos de Seguridad. Su uso en lugares público tiene la finalidad de seguridad en beneficio de la convivencia ciudadana, la erradicación de la violencia y la utilización pacífica de las vías y espacios públicos, además de prevenir la comisión de delitos, faltas e infracciones relacionados con la seguridad públicas.
Para la instalación de estos dispositivos se requiere la autorización de instalación que otorga la Delegación del Gobierno, a cuyo organismo habrá de presentar la Comisión de Garantías de la Videovigilancia un informe preceptivo y vinculante.
175. ¿Qué requisitos debe cumplir la instalación de videovigilancia para el control de tráfico? La instalación y uso de videocámaras y de cualquier otro medio de captación y reproducción de imágenes relativos al tráfico lo realizará la autoridad encargada de la regulación del tráfico a los fines previstos en el Real Decreto Legislativo 6/2015 por el que se aprueba el texto refundido de la Ley sobre Tráfico, Circulación de Vehículos a Motor y Seguridad vial.
Serán las Administraciones públicas con competencia para la regulación del tráfico, las que autoricen la instalación y uso de estos dispositivos, adoptando una resolución a tal efecto.
176. ¿Puede un sistema de videovigilancia grabar la voz? No, pues se trata de una medida intrusiva, puesto que con la imagen nada más sería suficiente para proteger la seguridad del edificio en cuestión.
177. ¿Se puede comunicar los datos de un denunciante al denunciado? Si el denunciante ha manifestado de forma expresa su deseo de confidencialidad o el departamento que tramita el expediente considera que debe garantizar su identidad, podrá denegarse al denunciado el acceso a los datos personales del denunciante.
178. ¿Se puede facilitar a un tercero el DNI o número de teléfono existente en un expediente administrativo? Depende de si el procedimiento administrativo al que corresponde el expediente ha finalizado o no. Si este no ha finalizado, sólo tendrán acceso a estos datos los que ostenten la condición de interesado, mientras que si el procedimiento ha terminado, el acceso se tramitará de acuerdo con la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información y buen gobierno.
179. ¿Se puede notificar la resolución de un procedimiento administrativo de forma conjunta a todos los interesados incluyendo todos sus datos de contacto? En este caso no es necesario que los datos de contacto de los interesados, como son el domicilio o número de teléfono, sean comunicados al resto debido a que puede ser contrario al principio de minimización de datos del RGPD.
180. ¿Qué información se puede publicar en el Portal de Transparencia? Esta acción se regula por la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, que regula en su Capítulo II la “Publicidad activa”, así pues, la legitimación de esta publicación se basaría en el art. 6.1.c) RGPD.
Cuando en dicha información existiesen datos de categorías especiales, la publicidad sólo se llevará a cabo previa disociación de los mismos. Por otro lado, los afectados por la publicación podrán ejercitar el derecho de oposición a la publicación de sus datos.
181. ¿Se pueden publicar los datos de los licitadores y actas de las mesas de contratación? ¿y los miembros de las mesas de contratación y comités de expertos? Al ser un deber legal, se basaría en el artículo 6.1.c) RGPD, pero hay que tener en cuenta las siguientes consideraciones:
-
Se identificará a los licitadores participantes (personas físicas), con su nombre y apellidos y las últimas cuatro cifras del NIF.
-
No es necesaria la publicación de las firmas del Presidente y Secretario de la mesa en la publicación de las actas de la mesa de contratación.
-
Se publicará a los miembros de las mesas de contratación y comités de expertos con sus nombres y apellidos y los cargos que ostentan.
-
Podrán ejercer el derecho de oposición los afectados.
182. ¿Puede el secretario interventor del Ayuntamiento acceder a los expedientes de ayudas sociales concedidas? El art. 222 del Real Decreto Legislativo 2/2004, de 5 de marzo, por el que se aprueba el texto refundido de la Ley Reguladora de las Haciendas Locales, establece que “los funcionarios que tengan a su cargo la función interventora así como los que se designen para llevar a efecto los controles financiero y de eficacia, ejercerán su función con plena independencia y podrán recabar cuantos antecedentes consideren necesarios, efectuar el examen y comprobación de los libros, cuentas y documentos que consideren precisos, verificar arqueos y recuentos y solicitar de quien corresponda, cuando la naturaleza del acto, documento o expediente que deba ser intervenido lo requiera, los informes técnicos y asesoramientos que estimen necesarios”, por lo que el secretario interventor del Ayuntamiento podría acceder a los expedientes de ayudas sociales basándose en el art. 9.2.g) RGPD.
183. ¿Puede un ente local usar el número de móvil de un ciudadano para enviarle una comunicación a través de un sistema de mensajería instantánea? Sí, siempre que se haya obtenido el número de móvil con esa finalidad, ya que, de no ser así se estaría incumpliendo los principios relativos al tratamiento que recoge el Reglamento General de Protección de Datos en su artículo 5, apartado 1, letra b).
184. ¿Cómo se debe cumplir con el derecho de información a través de línea telefónica o correo electrónico? En caso de ejercerse este derecho a través de teléfono, se facilitará información básica mediante una locución clara y concisa, dirigiendo el resto de información a través de otro medio adicional accesible al afectado (en persona o vía telemática). En el caso de practicarse el ejercicio a través de correo electrónico, se dará cumplimiento mediante el otorgamiento de información básica y un enlace en el que el afectado pueda obtener el contenido de la información de la segunda capa.
185. ¿Pueden instalarse cámaras de videovigilancia en las aulas de un centro escolar? No. Tanto si se trata por la seguridad de los niños como si se trata por el control de asistencia de éstos o de los docentes, está prohibida la instalación de cámaras de videovigilancia en las aulas de un centro educativo. Esto se debe a que se considera una medida intrusiva y desproporcionada (art. 5.1.c) RGPD), puesto que dicha instalación sí puede llevarse a cabo en pasillos, patio y comedor y se conseguiría el mismo resultado sin tratar tantos datos de los menores.