A partir del próximo 25 de mayo, el Reglamento General de Protección de Datos de la Unión Europea (RGPD) será de aplicación efectiva, simultáneamente en todos los países de la Unión, tras su entrada en vigor el pasado año 2016.

Como es de suponer las Administraciones Públicas no son ajenas al cambio que va a suponer esta nueva Normativa y en su calidad de Responsables, Corresponsables o Encargados del Tratamiento, se verán obligadas a actualizar sus procedimientos de gestión para adecuarse a lo previsto por el RGPD.

Para todas las organizaciones va a suponer un cambio significativo en la forma en que se gestiona la información de naturaleza personal y no lo va a ser menos para las AAPP. Este impacto se va a ver reflejado especialmente en los siguientes aspectos:

  1. Se verán obligadas a identificar claramente y con precisión las finalidades y la base jurídica de los tratamientos de datos que lleven a cabo.

  2. Referido al anterior punto, habrá que identificar el interés del tratamiento en el marco del interés público o el ejercicio de los poderes y competencias que les son propias.

  3. Será fundamental la revisión del otorgamiento del consentimiento por parte de los ciudadanos a las diferentes AAPP para que éste se adecue correctamente a lo previsto por el RGPD.

  4. La información sobre el ejercicio de derechos que las AAPP ofrezcan a los ciudadanos destinatarios de los diferentes servicios públicos, tendrá que ser revisada para que, tal como prevé el RGPD, esta sea “concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo”. Por tanto, será necesario revisar los clausulados informativos en todas las áreas de trabajo de la Administración.

  5. El ejercicio de derechos, tendrá que ser llevado a cabo a través de mecanismos que garanticen estos derechos y sean fácilmente accesibles a los ciudadanos.

  6. Las AAPP tendrán que ser muy cuidadosas en la selección de proveedores que vayan a prestar servicios como encargados del tratamiento, o puedan tener acceso a datos personales, pues el RGPD prevé que estos terceros ofrezcan garantías sobre los tratamientos realizados, igual que ya viene ocurriendo ahora.

  7. Deberá mantenerse a disposición de las autoridades de control un Registro de las Actividades de Tratamiento, donde se recojan todos los tratamientos relacionados con datos personales, indicándose para cada uno de ellos, qué información personal se gestiona y las medidas de seguridad establecidas. Éste tendrá que estar siempre actualizado.

  8. Será necesario realizar una evaluación de impacto en la protección de datos (EIPD) para aquellos tratamientos que entrañen riesgo para los derechos y libertades de los ciudadanos, consistiendo en un análisis de riesgo que focaliza en determinado tratamiento, o conjunto homogéneo de ellos, para prever posibles incidencias y diseñar acciones de tratamiento que mitiguen los riesgos evaluados como inaceptables. Si aun así el resultado de la EIPD no es favorable, se elevará consulta previa a la AEPD antes de arriesgarse a implantar el tratamiento evaluado.
  9. En el diseño tanto de nuevos servicios a la ciudadanía, como de trámites administrativos, deberán aplicarse los principios de seguridad desde el diseño y por defecto.

  10. Se deberán establecer mecanismo de respuesta rápida ante las incidencias y violaciones de seguridad que puedan afectar a los datos personales. En un máximo de 72 horas, se deberá comunicar cualquier brecha de seguridad a las autoridades de control. Cuando la violación de seguridad entrañe un grave riesgo para los derechos y libertades de los ciudadanos, ésta se comunicará adicionalmente a los interesados.

  11. Se establece la obligatoriedad de implantar la figura del Delegado de Protección de Datos, que ejercerá el control de las políticas de seguridad y será el interlocutor entre la autoridad de control y la organización pública, de una parte, y entre ésta y los ciudadanos o afectados por los tratamientos, de otra, informando y gestionando respecto las posibles consultas o incidencias.

  12. Como afirma la AEPD en su circular de diciembre de 2017, en el caso de las Administraciones públicas la aplicación de medidas de seguridad estará marcada por los criterios establecidos en el Esquema Nacional de Seguridad (ENS). Asimismo, en el proyecto de nueva LOPD, se señala que el ENS incluirá las medidas que deban implantarse en caso de tratamientos de datos de carácter personal. No obstante, cabe recordar que para cumplir con las disposiciones del RGPD, además de las medidas correspondientes a seguridad, deben incluirse las específicas jurídico-organizativas de protección de datos.