En el presente post nos vamos a centrar en el artículo 8 de la nueva Ley Orgánica de Protección de Datos y de Garantía de los Derechos Digitales, Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Tratamiento de datos personales por obligación legal, interés público o ejercicio de poderes públicos

En su artículo 8, la nueva LOPD y GDD aclara que cuando el tratamiento de datos personales pueda considerarse fundado en el cumplimiento de una obligación legal exigible al responsable de tratamiento, en los términos previstos en el artículo 6.1.c) RGPD, será cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley, norma que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo, así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal.

Esta norma podrá también imponer condiciones especiales al tratamiento, como por ejemplo, la adopción de medidas adicionales de seguridad u otras establecidas en el capítulo IV RGPD.

Lo que establece el artículo 6 del RGPD son las bases de legitimación para la utilización de los datos personales, dentro de las cuales son dos las que sirven de base legal para la utilización y, en su caso, la cesión de datos por parte de las ADMINISTRACIONES PÚBLICAS.

• En primer lugar, cuando el tratamiento sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.
• En segundo lugar, cuando el tratamiento sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

En España, las ADMINISTRACIONES PÚBLICAS  son el conjunto de organizaciones públicas que realizan la función administrativa y de gestión del Estado y de otros entes públicos con personalidad jurídica, ya sean de ámbito regional o local.

Adaptación al RGPD y LOPDGDD de las Administraciones Públlicas

Si procede, deberán designar un delegado de Protección de Datos. (Art.37 RGPD y art. 34 LOPD y GDD)

Tienen que elaborar el Registro de Actividades de tratamiento, atendiendo especialmente a los tratamientos que incluyan categorías especiales de datos o datos de menores, teniendo en cuenta su finalidad y la base jurídica (Como ayuda pueden pedir una copia de la inscripción de ficheros en AEPD)

Luego, analizar las bases jurídicas de los tratamientos y efectuar un anánalisis de riesgos. Sobre los resultados de ese análisis, identificar e implantar las medidas técnicas y organizativas necesarias para hacer frente a los riesgos detectados sobre los derechos y libertades de los ciudadanos.

Después, verificar las medidas de seguridad tras el resultado del análisis de riesgos. Ello incluye verificar la aplicación de medidas de seguridad adecuadas, así como establecer protocolos para gestionar y , en caso, notificar quiebras de seguridad.

Si el tratamiento de datos personales es de alto riesgo, detallar e implantar un procedimiento para realizar, una evaluación de impacto y, si fuera necesario, consultar previamente a la autoridad de control (art. 35 y 36, RGPD).

Repasar cada formulario para adaptar el derecho de información a los requisitos del RGPD adaptar los procedimientos para atender los derechos de los ciudadanos, habilitando medios electrónicos.

También, deben esatblecer y revisar los procedimientos para acreditar el consentimiento de los afectados y garantizar la posibilidad de revocarlo.

Deben valorar si los encargados de tratamiento ofrecen garantías de cumplimiento establecidas y adaptar los contratos elaborados previamente.

Por último, deben confeccionar e implantar políticas de protección de datos que contemplen los requisitos del RGPD (art. 24, 25, 30) y poder acreditar su cumplimiento elaborar y llevar a cabo un plan de formación y concienciación para los empleados.

Categorías de datos personales que pueden tratar en la administración local

• De carácter identificativo (nombre, apellidos, teléfono, imagen, DNI/NIF).
• De carácter tributario (en la gestión de los tributos municipales).
• Académicos y profesionales (en la gestión de procedimientos selectivos, bolsas de empleo, recursos humanos).
• En el ejercicio de la potestad sancionadora (aquellos derivados de la tramitación de expedientes sancionadores).
• Categorías especiales de datos (origen racial, salud o vida sexual en un servicio de atención a mujeres víctimas de violencia de género o en la prestación de servicios sociales).
• El desarrollo de las “Smart Cities” también puede conllevar un tratamiento de diferentes datos de carácter personal.

Tratamientos que realiza la administración local

1. Padrón municipal de habitantes
2. Registro de documentos
3. Subvenciones y ayudas
4. Cementerio municipal
5. Sanciones
6. Recursos humanos
7. Obras y licencias
8. Biblioteca municipal
9. Policía local
10. Servicios sociales
11. Gestión de tributos
12. Educación infantil
13. Bolsas de trabajo
14. Gestión económica
15. Recaudación ejecutiva

Los Ayuntamientos son responsables del tratamiento de datos personales que efectúen. Si cuentan con Administración Institucional, será responsable cada uno de los entes.

Legitimación en el tratamiento de los datos personales