miércoles, 18 de abril de 2018

A PARTIR DEL 25 DE MAYO TAMBIÉN LOS AYUNTAMIENTOS DEBEN ESTAR ADAPTADOS AL RGPD


 
Por su propia naturaleza, las Administraciones Públicas recopilan y tratan grandes volúmenes de datos de los ciudadanos. Ello es necesario para poder prestar los servicios públicos que entran dentro de sus competencias y para poder realizar muchas de las funciones que tienen encomendadas. Por ello autoridades y organismos públicos se encuentran claramente afectadas por el Reglamento General de Protección de Datos (RGPD), que comenzará a ser aplicable a partir del próximo 25 de mayo.

 
Pero en particular, las Administraciones Locales, por su especial proximidad y cercanía al ciudadano y por la especial categoría de algunos de los datos que gestionan (entre los que cabe incluir el padrón municipal de habitantes, las subvenciones y ayudas, la gestión de tributos, las bolsas de trabajo o el registro de documentos), afrontan el cumplimiento de sus nuevas obligaciones como un relevante desafío.

 
Para ayudarles en dicha tarea la Agencia Española de protección de datos (AEPD) está realizando un importante esfuerzo de concienciación y formación, entre el que se incluyen una Guía “Protección de datos y Administración Local” que acaba de ser presentada en Madrid, junto con la de la Federación Española de Municipios y Provincias (FEMP) y del Consejo General de Secretarios, Interventores y Tesoreros de Administración Local (COSITAL).
 
Como señaló en dicho acto la directora de la Agencia, Mar España, el problema para que los Ayuntamientos puedan afrontar las nuevas obligaciones derivadas del Reglamento no es de personal, pues cuerpos como el de los Secretarios municiapales están sobradamente cualificados para ello, sino del poco tiempo disponible para adaptarse al Reglamento. "Disponemos del personal, de los medios y de las herramientas, lo que ya no tenemos es tiempo", enfatizó.

 

Y es que a partir del 25 de mayo todas las administraciones, incluidas las locales, deberán estar en condiciones de demostrar que cumplen las exigencias establecidas por la norma europea, sin que quepa esperar ninguna prórroga al respecto.

Nuevas obligaciones para los Ayuntamientos

 

Entre estas obligaciones se encuentra un notable aumento de la información que deben ofrecer a los ciudadanos (titulares de los datos).

 

En especial, deberán identificar la legitimidad jurídica sobre la que realizan el tratamiento de los datos. Y aunque en muchos casos esta legitimidad se va a apoyar en el interés público, este no podrá ser invocado indiscriminadamente en cualquier caso por las administraciones, sino que deberá contar con un soporte legal.

 

Además, cuando el tratamiento se base en el consentimiento, deberán tener en cuenta que a partir del reiterado 25 de mayo se habrá producido la derogación implícita de la validez del consentimiento tácito para la recogida de datos contemplado en el artículo 28 de la Ley 39/2015 , del Procedimiento Administrativo Común de las Administraciones Públicas, por lo que dicho tratamiento deberá basarse en un consentimiento informado, libre y específico.

 

Por otra parte, los ayuntamientos deberán adoptar medidas adecuadas para facilitar a los ciudadanos el ejercicio de sus derechos reconocidos en el RGPD, así como hacer accesible en formato electrónico, en especial a través de la página web de los ayuntamientos que dispongan de ella, del registro general de actividades de tratamiento previsto en el artículo 30 del Reglamento.

 

Y en cuanto al relevante tema de las notificaciones administrativas por medio de anuncios en los boletines oficiales, Mar España recordó que, a efectos de la normativa de protección de datos, bastará con la identificación del interesado de que se trate por medio de su nombre y apellidos y cuatro cifras de su DNI, sin que sean necesario ofrecer públicamente mayor información.

 

Por su parte, Javier Sempere, Jefe del Área de Atención al Ciudadano de la AEPD y autor de la mencionada Guía, mencionó la relevancia del Esquema Nacional de Seguridad para la realización del análisis de riesgos por parte de los Ayuntamientos; la necesidad de revisar el contenido de la información ofrecida a los ciudadanos, pues con la nueva normativa no van a valer las cláusulas genéricas habituales y la necesidad igualmente de controlar el acceso por parte de las policías locales y los concejales a los datos de los ciudadanos.

La importancia del DPO en las administraciones locales

 

También destacó Mar España la importancia del papel de los delegados de protección de datos o DPO en las administraciones locales, por su papel de asesoramiento de los responsables y encargados del tratamiento.

 

A estos efectos se refirió, por una parte, a la conveniencia de que este cargo sea desempeñado por personal de la propia administración, en particular por los secretarios y secretarios-interventores, dada su particular cualificación jurídica para el cargo.

 

Sin embargo, dada la fuerte carga de trabajo que sufren estos funcionarios en estos tiempos de plena adaptación a las exigencias de la Ley de transparencia, de la administración electrónica o de la nueva Ley de contratos del sector público , se hace especialmente importante el papel de las diputaciones provinciales como órgano capaz de proveer a muchos pequeños ayuntamientos de los medios y recursos necesarios para afrontar esta adaptación.

 

A este respecto Juan Ávila, Secretario General de la FEMP señaló que va a ser muy difícil que los ayuntamientos pequeños vayan a poder contratar ni siquiera uno externo.

 

En cuanto a la posible colaboración de las diputaciones locales para facilitar esos servicios, José Luis Pérez, Presidente de Cosital, recordó que estos órganos deben cumplir con las obligaciones que les impone el artículo 36 de la Ley de Bases del Régimen Local , para colaborar con los municipios reforzando sus servicios de asistencia técnica.

 

Y Pérez recordó también la particular condición de las Comunidades Autónomas uniprovinciales, que en ocasiones se muestran renuentes a reconocer que también deben funcionar como las diputaciones provinciales en su respectivos ámbitos geográficos.

 

Además, subrayó la importancia de que esta figura esté integrada en una unidad administrativa de carácter transversal, y que cuente con un adecuado conocimiento de los procedimientos administrativos.

 

Como añadió Mar España, la figura del DPO será particularmente importante en el ámbito local como mediadora entre las corporaciones y los ciudadanos en esta materia, por su capacidad de resolver los conflictos que puedan surgir entre ambas partes sin necesidad de acudir a la Agencia.

 

Con todo, recalcó lo preocupante de que a menos de dos meses para el comienzo de la aplicabilidad del RGPD, solo un pequeño 4% de ayuntamientos hayan designado un DPO.

 

Ello es particularmente importante si se tiene en cuenta que, como informó también, cerca de un 4% del total de denuncias recibidas por la Agencia tienen que ver con las Administraciones Locales. Pero que esta cifra constituye, a su vez, el 41% del total de denuncias recibidas de las Administraciones Públicas en su conjunto y se refleja en el 46% del total de sanciones impuestas por la Agencia a lo largo de un año.

Diez medidas a aplicar por los Ayuntamientos

 

Finalmente Juan Ávila, tras recordar que los Ayuntamientos gestionan una información de los ciudadanos que puede ser muy delicada (como la relativa a las subvenciones otorgados o los servicios sociales prestados), presentó un breve decálogo de puntos que las corporaciones deben tener en cuenta para preservar los derechos de los ciudadanos.

 

Este decálogo incluye:

 

1) la necesidad de identificar los principios sobre los que se fundamenta el tratamiento realizado; 2) de revisar la validez de los tratamientos basados en el consentimiento a la luz de las nuevas exigencias al respecto; 3) el cumplimiento del principio de transparencia; 4) la identificación de los contratos concertados que impliquen tratamiento de datos para adaptarlos en su caso al RGPD; 5) la implementación de los circuitos para atender el ejercicio de derechos por parte de los ciudadanos; 6) subir a las webs municipales los registros de actividades de tratamiento; 7) realizar las evaluaciones de impacto (o PIA’s) sobre los tratamientos realizados en los que se aprecien riesgos; 8) revisar las medidas de seguridad implantadas; 9) designar un delegado de protección de datos y, 10) estar en disposición de facilitar, en cualquier momento, evidencias del cumplimiento del Reglamento.

No hay comentarios:

Publicar un comentario