JORNADA "NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS"

La Federación de Municipios de Madrid tiene el compromiso, aprobado por su Junta de Gobierno, de continuar con la formación para nuestros Alcaldes/as, Concejales/as y técnicos/as de los Ayuntamientos de la Comunidad de Madrid.

Es por tanto, que la FMM organizó ayer una Jornada para tratar las principales novedades que el Reglamento Europeo de Protección de Datos plantea a las administraciones públicas.

REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS

El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), que sustituirá a la actual normativa vigente y que comenzará a aplicarse el 25 de mayo de 2018. Este periodo de dos años ha tenido como objetivo permitir que los Estados de la Unión Europea, las Instituciones y también las empresas y organizaciones que tratan datos vayan preparándose y adaptándose para el momento en que el Reglamento sea aplicable.

El Reglamento 2016/679 es muy parecido a la legislación nacional de protección de datos, pero tiene algunas novedades que las empresas y cualquier organismo deberían tener en cuenta. De cara a adaptarse a las nuevas necesidades, conviene conocer con detalle estas novedades para asegurarse que nuestra empresa u organización está cumpliendo la legalidad de forma estricta.

La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea («la Carta») y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE) establecen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.)

Conscientes de los riesgos que pueden suponer para los derechos y libertades de los ciudadanos los tratamientos informatizados y a gran escala de su información personal, la mayor parte de los países de nuestro entorno reconocen el derecho a la protección de datos.

EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS (RGPD) EN LAS ADMINISTRACIONES PÚBLICAS

El nuevo Reglamento General de Protección de Datos (RGPD) afecta a las Administraciones Públicas (AAPP) que actúan como responsables y encargados de tratamientos de datos personales en el desarrollo de sus actividades. En muchos casos, los efectos del RGPD serán los mismos que para cualquier otro responsable o encargado. En algunas áreas, sin embargo, existen particularidades para el sector público.

Las modificaciones que deberán realizarse en relación al RGPD son:

1. Necesidad de identificar con precisión las finalidades y la base jurídica de los tratamientos que llevan a cabo.

2. En el caso de la actividad de las AAPP será muy habitual que la base jurídica de los tratamientos sea el cumplimiento de una tarea en interés público o el ejercicio de poderes públicos.

3. En los casos en que la base jurídica de los tratamientos sea el consentimiento, éste deberá tener las características previstas por el RGPD, que exige que sea informado, libre, específico y otorgado por los interesados mediante una manifestación que muestre su voluntad de consentir o mediante una clara acción afirmativa. Los consentimientos conocidos como “tácitos”, basados en la inacción de los interesados, dejarán de ser válidos a partir de la fecha de aplicación del RGPD, incluso para tratamientos iniciados con anterioridad.

4. Necesidad de adecuar la información que se ofrece a los interesados cuando se recogen sus datos a las exigencias del RGPD (arts. 13 y 14). El RGPD obliga a ofrecer una información que es más amplia que la actualmente exigida por la Ley Orgánica de Protección de Datos, siendo la información que se proporcione “concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo”.

5. Necesidad de establecer mecanismos visibles, accesibles y sencillos, incluidos los medios electrónicos, para el ejercicio de derechos. Estos mecanismos, en particular cuando se trate del ejercicio por medios electrónicos, deben incorporar procedimientos para verificar la identidad de los interesados que los utilizan.

6. Necesidad de establecer procedimientos que permitan responder a los ejercicios de derechos en los plazos previstos por el RGPD.

7. Necesidad de valorar si los encargados con los que se hayan contratado o se vayan a contratar operaciones de tratamiento ofrecen garantías de cumplimiento del RGPD, estableciendo una obligación de diligencia debida en la elección de los encargados de tratamiento que deben aplicar todos los responsables, contratando únicamente encargados que estén en condiciones cumplir con el RGPD.

8. Necesidad de adecuar los contratos de encargo que actualmente se tengan suscritos a las previsiones del RGPD.

9. Necesidad de hacer un análisis de riesgo para los derechos y libertades de los ciudadanos de todos los tratamientos de datos que se desarrollen.

10. Necesidad de establecer un Registro de Actividades de Tratamiento. Este registro sustituye, en parte, a la obligación de notificar los ficheros y tratamientos a las autoridades de protección de datos.

11. Necesidad de revisar las medidas de seguridad que se aplican a los tratamientos a la luz de los resultados del análisis de riesgo de los mismos. En el caso de las AAPP, la aplicación de las medidas de seguridad estará marcada por los criterios establecidos en el Esquema Nacional de Seguridad.

12. Necesidad de establecer mecanismos para identificar con rapidez la existencia de violaciones de seguridad de los datos y reaccionar ante ellas.

13. Necesidad de valorar si los tratamientos que se realizan requieren una Evaluación de Impacto sobre la Protección de Datos.

14. Necesidad de designar un Delegado de Protección de Datos (DPD). La designación del DPD debe comunicarse a las autoridades de protección de datos.

15. Necesidad de adaptar los instrumentos de transferencia internacional de datos personales a las previsiones del RGPD.