La Agencia Española de Protección de Datos ha publicado hasta ahora diferentes documentos destinados a facilitar la adecuación al RGPD de las Administraciones públicas (AAPP), especialmente las Entidades Locales (EELL). Su objetivo es que sirvan como hoja de ruta o hilo conductor de las diferentes actividades necesarias para lograr la adecuada implantación del RGPD en las mismas:
1) Decálogo para la adaptación al RGPD en las Administraciones públicas, consistiendo en una representación secuencial de seis tareas principales y seis actividades paralelas, en 2 páginas de extensión.
2) Guía sectorial de la AEPD: Protección de Datos y Administración Local, consistiendo en una guía que trata conceptos básicos, cómo adecuar el RGPD a los tratamientos y consultas frecuentes planteadas en el ámbito de los Ayuntamientos, con una extensión de 57 páginas.
3) EL NUEVO RGPD Y SU IMPACTO SOBRE LA ACTIVIDAD DE LAS ADMINISTRACIONES LOCALES, documento de 6 páginas, con 15 aspectos a tener en cuenta en la adecuación al RGPD de un Ayuntamiento.
4) EL IMPACTO DEL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS SOBRE LA ACTIVIDAD DE LAS ADMINISTRACIONES PUBLICAS, análogo al anterior, pero generalizando para cualquier AALL, en 5 páginas y 15 aspectos a tener en cuenta.
Ahora que queda escasamente algo más de un mes para que el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo sea de aplicación efectiva, no está de más dar un vistazo a las tareas pendientes que muchas AAPP tienen por delante.
La hoja de ruta del RGPD establece dos caminos paralelos para esta correcta adecuación. Por un lado, establece una serie de tareas de análisis como son:
- La necesidad de designar a un Delegado de Protección de Datos o DPD (también conocido como DPO por las siglas de su denominación en inglés), algo preceptivo para las AAPP [Vid. Art. 37.1.a) RGPD], aunque pueden llegar a designar un único DPD el conjunto de varios organismos públicos [Vid. Art. 37.3 RGPD].
- Elaborar el Registro de Actividades de Tratamiento, espina dorsal del nuevo Reglamento, que sustituye a la obligación de registrar ante la Autoridad de Control los ficheros de datos de la Administración [Vid. Art. 30 RGPD]. Debe tenerse en cuenta que los datos deben tratarse de manera lícita, leal y transparente; recogidos con fines determinados, explícitos y legítimos; y obtenerse y conservarse adecuados, pertinentes y exactos [Vid. Art. 5.1 RGPD].
- Analizar la licitud de los tratamientos y su base jurídica. Ésta no únicamente puede basarse en el consentimiento del interesado, sino para el cumplimiento de una obligación legal o para el cumplimiento de una misión basada en el interés público o en el ejercicio de poderes en base a competencias públicas [Vid. Art. 6.1 RGPD]. La ponderación de derechos en base a un interés legítimo no es de aplicación a las AAPP, salvo a sus organizaciones dependientes o vinculadas, sujetas a Derecho privado [Vid. Último párrafo art. 6.1 RGPD].
- Realizar un proceso de apreciación (identificación, análisis y evaluación) de riesgos, determinando claramente aquellos que se consideren inaceptables. Los riesgos a considerar son jurídico/organizativos respecto a la protección de datos y tecnológicos. Para éstos últimos se puede recurrir al proceso de apreciación de riesgos efectuado para dar cumplimiento al Esquema Nacional de Seguridad (ENS) [Vid. Art. 24.1 RGPD].
- Tratar los riesgos inaceptables mediante controles técnicos y/u organizativos que los mitiguen o eviten, verificando que dichas medidas han mitigado el valor del riesgo inicial por debajo del umbral de riesgo inaceptable. A este nuevo valor le llamaremos riesgo residual que, si sigue siendo elevado, deberá seguir mitigándose mediante la aplicación de nuevas medidas. [Vid. Art. 25.2].
- si el tratamiento es de alto riesgo, detallar e implantar un procedimiento para realizar, una evaluación de impacto en la Protección de Datos (EIPD) – conocida como PIA por los anglosajones – [Vid. Art. 35 RGPD]. Si fuera necesario debido al resultado adverso de la EIPD, consultar previamente a realizar el tratamiento con la autoridad de control [Vid. Art. 35 RGPD]. La EIPD también está basada en el riesgo, pero focalizada en determinado tratamiento.
De forma paralela y en un ámbito más operativo, las administraciones públicas tendrán que:
- Revisar y adecuar los formularios de recogida de información, para que la concesión del consentimiento se corresponda con el principio de acción afirmativa del usuario y la información que se le ofrezca, sea lo más clara y concreta posible, aconsejándose en dos capas (la resumida primero y la detallada después) siempre que sea posible.
- Establecer y adecuar los procedimientos de ejercicio de derechos del ciudadano, teniendo en cuenta que con el RGPD aparecen de nuevos [Vid. Arts. 16 a 20 RGPD].
- Elaborar procedimientos varios: acreditar, obtener y revocar el consentimiento, notificar brechas de seguridad de datos personales, etc.
- Valorar de forma efectiva a los proveedores como encargados de tratamiento para asegurar que ofrecen medidas que garanticen el cumplimiento del RGPD, adaptando los contratos de encargado del tratamiento al nuevo Reglamento europeo.
- Elaborar las políticas de protección de datos necesarias para garantizar al ciudadano la confidencialidad de sus datos personales, acompañadas de las medidas de seguridad que determina el ENS.
- Establecer procesos de formación y concienciación del personal de la Administración, en base a una planificación y no a la improvisación.
- Cabe recordar que debido al principio de accountability, o responsabilidad proactiva, todo tiene que quedar evidenciado.
Como vemos, son múltiples las tareas que las Administraciones públicas tienen por delante para la preparación y cumplimiento de lo previsto por el RGPD, pudiendo apoyarse en el ENS en todas aquellas medidas que corresponda.