Pero en particular, las Administraciones Locales, por su
especial proximidad y cercanía al ciudadano y por la especial categoría de
algunos de los datos que gestionan (entre los que cabe incluir el padrón
municipal de habitantes, las subvenciones y ayudas, la gestión de tributos, las
bolsas de trabajo o el registro de documentos), afrontan el cumplimiento de sus
nuevas obligaciones como un relevante desafío.
Para ayudarles en dicha tarea la Agencia Española de
protección de datos (AEPD) está realizando un importante esfuerzo de
concienciación y formación, entre el que se incluyen una Guía “Protección de
datos y Administración Local” que acaba de ser presentada en Madrid, junto con
la de la Federación Española de Municipios y Provincias (FEMP) y del Consejo
General de Secretarios, Interventores y Tesoreros de Administración Local
(COSITAL).
Y es que a partir del 25 de mayo todas las administraciones,
incluidas las locales, deberán estar en condiciones de demostrar que cumplen
las exigencias establecidas por la norma europea, sin que quepa esperar ninguna
prórroga al respecto.
Nuevas obligaciones para los Ayuntamientos
Entre estas obligaciones se encuentra un notable aumento de
la información que deben ofrecer a los ciudadanos (titulares de los datos).
En especial, deberán identificar la legitimidad jurídica
sobre la que realizan el tratamiento de los datos. Y aunque en muchos casos
esta legitimidad se va a apoyar en el interés público, este no podrá ser
invocado indiscriminadamente en cualquier caso por las administraciones, sino
que deberá contar con un soporte legal.
Además, cuando el tratamiento se base en el consentimiento,
deberán tener en cuenta que a partir del reiterado 25 de mayo se habrá
producido la derogación implícita de la validez del consentimiento tácito para
la recogida de datos contemplado en el artículo 28 de la Ley 39/2015 , del
Procedimiento Administrativo Común de las Administraciones Públicas, por lo que
dicho tratamiento deberá basarse en un consentimiento informado, libre y específico.
Por otra parte, los ayuntamientos deberán adoptar medidas
adecuadas para facilitar a los ciudadanos el ejercicio de sus derechos
reconocidos en el RGPD, así como hacer accesible en formato electrónico, en
especial a través de la página web de los ayuntamientos que dispongan de ella,
del registro general de actividades de tratamiento previsto en el artículo 30
del Reglamento.
Y en cuanto al relevante tema de las notificaciones
administrativas por medio de anuncios en los boletines oficiales, Mar España
recordó que, a efectos de la normativa de protección de datos, bastará con la
identificación del interesado de que se trate por medio de su nombre y
apellidos y cuatro cifras de su DNI, sin que sean necesario ofrecer
públicamente mayor información.
Por su parte, Javier Sempere, Jefe del Área de Atención al
Ciudadano de la AEPD y autor de la mencionada Guía, mencionó la relevancia del
Esquema Nacional de Seguridad para la realización del análisis de riesgos por
parte de los Ayuntamientos; la necesidad de revisar el contenido de la
información ofrecida a los ciudadanos, pues con la nueva normativa no van a
valer las cláusulas genéricas habituales y la necesidad igualmente de controlar
el acceso por parte de las policías locales y los concejales a los datos de los
ciudadanos.
La importancia del DPO en las administraciones locales
También destacó Mar España la importancia del papel de los
delegados de protección de datos o DPO en las administraciones locales, por su
papel de asesoramiento de los responsables y encargados del tratamiento.
A estos efectos se refirió, por una parte, a la conveniencia
de que este cargo sea desempeñado por personal de la propia administración, en
particular por los secretarios y secretarios-interventores, dada su particular cualificación
jurídica para el cargo.
Sin embargo, dada la fuerte carga de trabajo que sufren
estos funcionarios en estos tiempos de plena adaptación a las exigencias de la
Ley de transparencia, de la administración electrónica o de la nueva Ley de
contratos del sector público , se hace especialmente importante el papel de las
diputaciones provinciales como órgano capaz de proveer a muchos pequeños
ayuntamientos de los medios y recursos necesarios para afrontar esta
adaptación.
A este respecto Juan Ávila, Secretario General de la FEMP
señaló que va a ser muy difícil que los ayuntamientos pequeños vayan a poder
contratar ni siquiera uno externo.
En cuanto a la posible colaboración de las diputaciones
locales para facilitar esos servicios, José Luis Pérez, Presidente de Cosital,
recordó que estos órganos deben cumplir con las obligaciones que les impone el
artículo 36 de la Ley de Bases del Régimen Local , para colaborar con los
municipios reforzando sus servicios de asistencia técnica.
Y Pérez recordó también la particular condición de las
Comunidades Autónomas uniprovinciales, que en ocasiones se muestran renuentes a
reconocer que también deben funcionar como las diputaciones provinciales en su
respectivos ámbitos geográficos.
Además, subrayó la importancia de que esta figura esté
integrada en una unidad administrativa de carácter transversal, y que cuente
con un adecuado conocimiento de los procedimientos administrativos.
Como añadió Mar España, la figura del DPO será
particularmente importante en el ámbito local como mediadora entre las
corporaciones y los ciudadanos en esta materia, por su capacidad de resolver
los conflictos que puedan surgir entre ambas partes sin necesidad de acudir a
la Agencia.
Con todo, recalcó lo preocupante de que a menos de dos meses
para el comienzo de la aplicabilidad del RGPD, solo un pequeño 4% de
ayuntamientos hayan designado un DPO.
Ello es particularmente importante si se tiene en cuenta
que, como informó también, cerca de un 4% del total de denuncias recibidas por
la Agencia tienen que ver con las Administraciones Locales. Pero que esta cifra
constituye, a su vez, el 41% del total de denuncias recibidas de las
Administraciones Públicas en su conjunto y se refleja en el 46% del total de
sanciones impuestas por la Agencia a lo largo de un año.
Diez medidas a aplicar por los Ayuntamientos
Finalmente Juan Ávila, tras recordar que los Ayuntamientos
gestionan una información de los ciudadanos que puede ser muy delicada (como la
relativa a las subvenciones otorgados o los servicios sociales prestados),
presentó un breve decálogo de puntos que las corporaciones deben tener en
cuenta para preservar los derechos de los ciudadanos.
Este decálogo incluye:
1) la necesidad de identificar los principios sobre los que
se fundamenta el tratamiento realizado; 2) de revisar la validez de los
tratamientos basados en el consentimiento a la luz de las nuevas exigencias al
respecto; 3) el cumplimiento del principio de transparencia; 4) la
identificación de los contratos concertados que impliquen tratamiento de datos
para adaptarlos en su caso al RGPD; 5) la implementación de los circuitos para
atender el ejercicio de derechos por parte de los ciudadanos; 6) subir a las
webs municipales los registros de actividades de tratamiento; 7) realizar las
evaluaciones de impacto (o PIA’s) sobre los tratamientos realizados en los que
se aprecien riesgos; 8) revisar las medidas de seguridad implantadas; 9)
designar un delegado de protección de datos y, 10) estar en disposición de
facilitar, en cualquier momento, evidencias del cumplimiento del Reglamento.
No hay comentarios:
Publicar un comentario