El artículo 24 del Reglamento General de Protección de Datos establece que el responsable del tratamiento deberá aplicar las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el mismo es conforme con dicho Reglamento, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas.

En este sentido, la Agencia Española de Protección de Datos ha puesto a disposición de los responsables del tratamiento la herramienta Evalúa Riesgo RGPD. Dicha herramienta tiene como objeto servir de ayuda a los responsables a identificar los factores de riesgo para los derechos y libertades de los interesados cuyos datos están presentes en el tratamiento, hacer una primera evaluación del riesgo intrínseco, incluyendo la necesidad de realizar una EIPD, y estimar el riesgo residual si se utilizan medidas y garantías para mitigar los factores de riesgos específicos.

La valoración del nivel de riesgo para cada factor que efectúa la herramienta, así como el cálculo final de nivel de riesgo, tiene carácter general y supone una evaluación mínima que, en su caso, tendrá que ser ajustada por el responsable para determinar el nivel de riesgo del tratamiento con precisión.

El enlace a la herramienta Evalúa Riesgo RGPD es el siguiente: https://evalua-riesgo.aepd.es/ 

Todos los usuarios con acceso autorizado a los datos personales responsabilidad del Ayuntamiento o Entidad Local deben guardar la debida confidencialidad sobre los hechos, informaciones, conocimientos, documentos, objetos y cualesquiera otros elementos protegidos por el secreto, a los que tengan acceso con motivo de la relación con el responsable del tratamiento.

Un «dato personal» es toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona; (art. 4.1) RGPD).

Algunos ejemplos de «dato personal» pueden ser los siguientes:

• El nombre y apellidos de una persona.
• La dirección particular de una persona.
• Una dirección personal de correo electrónico.
• Un número de documento de identidad.
• La imagen de una persona en foto o video.

La normativa de protección de datos no regula el tratamiento de datos relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto (Considerando 14 RGPD). Así, por ejemplo, el NIF de una empresa no sería un «dato personal» protegido por la normativa.

El Reglamento General de Protección de Datos ha introducido una nueva e importante figura, de designación obligatoria para todas las Administraciones públicas: el «delegado de protección de datos», más conocido por sus siglas, DPD (arts. 37-39 del RGPD).

El delegado de protección de datos debe ser la figura garante del cumplimiento de la normativa de protección de datos en las Administraciones públicas, participando en todas las cuestiones relativas a la protección de datos personales que tengan lugar en las mismas.

Entre las funciones más importantes del DPD, se encuentran las de informar, asesorar y supervisar el cumplimiento de la normativa de protección de datos en la Administración Pública que le haya designado como tal.

Asimismo, las Administraciones públicas están obligadas a comunicar la designación de su DPD a la autoridad de control competente, pues este debe actuar como interlocutor de la Administración Pública correspondiente ante dicha autoridad.

El Reglamento europeo señala que el delegado de protección de datos debe ser designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos.

En nuestro país, la Agencia Española de Protección de Datos ha optado por promover un Esquema de Certificación de Delegados de Protección de Datos (Esquema AEPD-DPD), con el objetivo, entre otros, de ofrecer seguridad y fiabilidad a las Administraciones públicas que vayan a incorporar esta figura.

El «encargado del tratamiento o encargado» es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento; (art. 4.8) RGPD).

En lo tocante a este particular, el Reglamento General de Protección de Datos recoge, en su artículo 28, una serie de aspectos que afectan a la regulación jurídica del tratamiento por parte de entidades externas de los datos personales responsabilidad de las Administraciones públicas.

De tal modo, en la elaboración de los pliegos de los contratos que conlleven el tratamiento de datos personales por cuenta del Ayuntamiento o Entidad Local se han de tener en cuenta dichas exigencias.

Algunos ejemplos de «encargado del tratamiento» pueden ser los siguientes:

• Una empresa proveedora del programa informático para la gestión de los expedientes administrativos.
• Una empresa prestadora de servicios de destrucción de documentos que contengan datos personales.
• Una empresa prestadora de servicios de videovigilancia.
• Una empresa prestadora de servicios de alojamiento de datos personales en la nube.  

Con carácter general, en relación con el tratamiento de los datos personales, deberá cumplirse al menos una de las condiciones para la licitud del mismo recogidas en el artículo 6.1 del Reglamento General de Protección de Datos:

• El interesado ha dado su consentimiento para el tratamiento de sus datos personales;
• El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte;
• El tratamiento es necesario para el cumplimiento de una obligación legal;
• El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona;
• El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
• El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero.

El tratamiento de datos personales podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, en los términos previstos en el artículo 6.1 del RGPD, cuando derive de una competencia atribuida por una norma con rango de ley: en el caso de un Ayuntamiento, los poderes públicos derivan, con carácter general, de las competencias atribuidas por la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local (LRBRL).

El artículo 24 del RGPD también obliga a todos los responsables del tratamiento (por ejemplo, un Ayuntamiento) a aprobar una «Política de Protección de Datos Personales», a fin de garantizar y poder demostrar que sus actividades de tratamiento son conformes con la normativa de protección de datos personales.

A modo de ejemplo, puede consultarse la Política de Protección de Datos Personales de la Diputación de Segovia, publicada en la siguiente dirección de su Portal de Internet: https://www.dipsegovia.es/politica-de-privacidad

El vigente marco normativo de protección de datos ha prescindido del obsoleto concepto de «fichero» en favor del actual «actividad de tratamiento».

En su consecuencia, la antigua creación, notificación e inscripción de ficheros ha dado paso a la nueva obligación de elaborar y mantener un registro o inventario de las actividades de tratamiento (RAT) efectuadas bajo la responsabilidad de las empresas y Administraciones públicas, en el que habrá de constar toda la información exigida en el artículo 30 del RGPD.

Las Administraciones públicas están sujetas asimismo a una obligación adicional: la de hacer público el referido registro de actividades, que deberá ser accesible para la ciudadanía por medios electrónicos (art. 31.2 RGPD). Además, se debe publicar en formato estructurado y reutilizable (por ejemplo, Excel), tal y como exige la propia Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno (LTAIBG).

A modo de ejemplo, puede consultarse el Registro de actividades de tratamiento de la Diputación de Segovia, publicado en la siguiente dirección de su Portal de Internet: https://www.dipsegovia.es/registro-de-actividades-de-tratamiento

El «responsable del tratamiento o responsable» es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; (art. 4.7) RGPD).

Algunos ejemplos de «responsable del tratamiento» pueden ser los siguientes:

• Una diputación.
• Un ayuntamiento.
• Un ministerio.
• Una empresa.
• Una asociación.
• Un colegio profesional.

La normativa de protección de datos personales no recoge un catálogo estándar de medidas de seguridad, sino que el responsable debe implementar aquellas medidas que se adecúen al riesgo en función de las actividades de tratamiento que realice.

Ahora bien, la LOPDGDD establece la obligación, para todas las Administraciones públicas (por ejemplo, un Ayuntamiento), de aplicar a sus tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad.

Esta obligación requiere un importante “plus” de exigencia en relación con el cumplimiento del principio de seguridad de los datos, motivado por la necesidad de garantizar un elevado nivel de protección de la información de la ciudadanía, que genere la confianza suficiente en los tratamientos realizados por las Administraciones públicas.

El Reglamento General de Protección de Datos recoge obligaciones muy importantes en materia de transparencia e información sobre el tratamiento de los datos personales de la ciudadanía.

En este sentido, las Administraciones públicas han de facilitar al interesado una información más amplia que la exigida por la antigua LOPD.

Asimismo, dicha información ha de ser facilitada en un formato conciso, transparente, inteligible y de fácil acceso, utilizando un lenguaje claro y sencillo.

El vigente marco normativo de protección de datos aconseja un modelo de información por capas o niveles, que presente una información básica en un primer nivel, de forma resumida, en el mismo momento y en el mismo medio en que se recojan los datos del ciudadano, y que remita a una información amplia y detallada en un segundo nivel, más adecuado para su presentación.

Así, la elaboración de los modelos de solicitud y formularios a disposición de la ciudadanía, o de las páginas web de las Administraciones públicas, entre otros, han de tomar en consideración las exigencias en materia de transparencia e información recogidas en el RGPD.

A modo de ejemplo, puede consultarse el Portal de Internet de la Diputación de Segovia:

• Información básica: https://www.dipsegovia.es/contacto
• Información amplia y detallada: https://www.dipsegovia.es/proteccion-de-datos-personales-politica-de-privacidad

El «tratamiento» es cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción; (art. 4.2) RGPD).

El Reglamento General de Protección de Datos protege los datos personales independientemente de la tecnología utilizada para su tratamiento y se aplica tanto al tratamiento automatizado como al manual. Algunos ejemplos de «tratamiento» de datos personales pueden ser los siguientes:

• Gestión del expediente tributario de un/a ciudadano/a.
• Recogida de los datos personales de los/as alumnos/as de una acción formativa organizada por un ayuntamiento.
• La publicación de la imagen de los asistentes a un acto de un ayuntamiento en su Portal de Internet.
• La destrucción de documentos que contengan datos personales.
• El almacenamiento de documentación digitalizada que contenga datos personales en una nube de Internet.
• La grabación de imágenes a través de un sistema de cámaras o videocámaras.