E L impacto del RGPD sobre las entidades públicas o Administraciones Públicas (AAPP) es elevado pues siempre actúan como responsables y encargados de tratamientos de datos personales. En el desarrollo de muchas de sus actividades, consecuentemente, se ven impactadas por el RGPD y afectadas por sus previsiones. En el nuevo Reglamento General de Protección de Datos (RGPD) de la Unión Europea muchos casos y artículos definen los efectos del RGPD ante estas entidades publicas. Aunque serán (en general) los mismos que para cualquier otro responsable o encargado, en algunas áreas, sin embargo, existen especificaciones para las entidades públicas.
- Necesidad de identificar con precisión las finalidades y la base jurídica de los tratamientos que llevan a cabo. Esta obligación no deriva sólo de la necesidad de cumplir con el principio de legalidad establecido en el RGPD, sino que viene impuesta por el hecho de que las finalidades o la base jurídica de los tratamientos son informaciones que deben proporcionarse a los interesados (arts. 13 y 14 RGPD) y recogerse en el registro de actividades de tratamiento.
-
En el caso de la actividad de las AAPP, el impacto del RGPD que cause, será muy habitual. La base jurídica de los tratamientos será el cumplimiento de una tarea en interés público o el ejercicio de poderes públicos. Tanto el interés público como los poderes públicos que justifican el tratamiento deben estar establecidos en una norma de rango legal.
-
En los casos en que la base jurídica de los tratamientos sea el consentimiento, éste deberá tener las características previstas por el RGPD. El impacto ante la AAPP exige que sea informado, libre, específico y otorgado por los interesados mediante una manifestación Esta manifestación muestra su voluntad de consentir o mediante una clara acción afirmativa. Los consentimientos conocidos como “tácitos”, basados en la inacción de los interesados, dejarán de ser válidos a partir de la fecha de aplicación del RGPD, incluso para tratamientos iniciados con anterioridad.
- Necesidad de establecer procedimientos que permitan responder a los ejercicios de derechos en los plazos previstos por el RGPD. Otro impacto del RGPD en las entidades públicas será que, en algunos casos será preciso valorar la necesidad de que sean los encargados del tratamiento con los que se haya contratado la prestación de determinados servicios los que colaboren en la atención a las solicitudes de los interesados. En estos casos, esa colaboración debe incluirse en los contratos de encargo de tratamiento.
- Necesidad de hacer un análisis de riesgo, para evitar el impacto negativo del RGPD para los derechos y libertades de los ciudadanos de todos los tratamientos de datos que se desarrollen. El RGPD hace depender la aplicación de todas las medidas de cumplimiento que prevé para responsables y encargados del nivel y tipo de riesgo que cada tratamiento implique para los derechos y libertades de los afectados. Por ello, todo tratamiento, tanto los ya existentes como los que se pretenda iniciar, deben ser objeto de un análisis de riesgos. En el contexto de las AAPP se dispone de metodologías de análisis de riesgos focalizadas principalmente en la seguridad de la información.
- Un gran impacto del RGPD sobre las entidades públicas AAPPN está en la necesidad de revisar las medidas de seguridad. ¿Qué medidas de seguridad se realizan a los tratamientos a la luz de los resultados del análisis de riesgo? La normativa española de protección de datos contiene previsiones específicas sobre medidas de seguridad atendiendo básicamente al tipo de datos que se tratan. El RGPD, sin embargo, deja sin efecto esas previsiones, en la medida en que exige que las medidas de seguridad se adecúen a las características de los tratamientos, sus riesgos, el contexto en que se desarrollan, el estado de la técnica y los costes. En el caso de las AAPP, la aplicación de las medidas de seguridad estará marcada por los criterios establecidos en el Esquema Nacional de Seguridad.
CONSEJO: Esas metodologías deben ampliarse para incluir riesgos asociados al incumplimiento de las disposiciones del RGPD. También adaptar todos los procedimientos e instrumentos y asumir su actualización.
Otro impacto del RGPD sobre las entidades públicas AAPP: La necesidad de designar un Delegado de Protección de Datos (DPD)
El RGPD prevé que todas las “autoridades u organismos públicos” nombrarán un DPD. También establece cuáles habrán de ser los criterios para su designación (cualidades profesionales y conocimientos en derecho y práctica de la protección de datos), su posición en la organización y sus funciones. Prevé, igualmente, que en el caso de las autoridades u organismos públicos puedan nombrarse un único DPD para varios de ellos, teniendo en cuenta su tamaño y estructura organizativa.