GUIA PARA LA ADAPTACION DE LA PROTECCION DE DATOS EN LAS ENTIDADES LOCALES + TALLER.

Enlace a la guia

1. SOBRE LA GUIA+ TALLER

Para finalizar este año, no puedo por menos que traer a mi blog, la primera obra que he coordinado. Una obra que, como no, trata de manera totalmente práctica la adaptación de  nuestras organizaciones locales al Reglamento General de Protección de Datos y a la Ley Orgánica 3/2018  de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales .

La materia de protección de datos, a raíz de las novedades legislativas comentadas, se ha convertido en un «hit» en nuestras entidades locales. Muestra de ello son los numerosos cursos, jornadas y ponencias sobre el tema y sobre el Delegado de Protección de Datos.

Como en otras materias avanzamos a ritmo firme pero desigual, eso si, sin vuelta a atrás, por lo que esta guía creo que será muy útil en los próximos años porque tanto en las grandes ciudades como en las pequeñas y medianas entidades locales PYMEL en un momento u otro abordaran la adecuación interna en materia de protección de datos.

La guía además de ser muy práctica sirve para  abordar desde distintos niveles el cumplimiento en materia de protección de datos: desde aquella entidad local que tiene que empezar de cero, a la que ya había iniciado su adaptación material por ejemplo elaborando un registro de actividades de tratamiento o nombrando un delegado de Protección de datos.

También es un guía de 360º porque aborda la adaptación desde las perspectivas de protección de datos, seguridad y transparencia que son indisolubles  para un verdadero cumplimiento de las obligaciones legales y sobre todo para garantizar completamente los derechos de los ciudadanos.

Es una guía innovadora porque aunque aún no se ha comercializado el taller, introduce el concepto de «guia+taller» en el que se puede contratar una jornada presencial por parte de los autores con la guía como material.  Es importante resaltar que no es una consultoria sino un taller basado en la guía de forma presencial. Esta innovación permitirá que no se trate de una guía al uso, que se compra, se subraya y con los meses se olvida en la estantería sino que se explicará presencialmente como punto de partida de aquellas administraciones que quieran abordar esta implantación.

Los temas de protección de datos que he tratado en mi blog han sido las entradas más leídas, y si tengo ahora un «nombre» en esta materia es gracias Concepción Campos Acuña que me «reclutó» para su manual en materia de protección de datos.

Por eso yo, para realizar esta guía, en contado con los mejores autores posibles. Lo más expertos en protección de datos en las Entidades Locales y en los procesos de implementación de la misma.  Alguna autora se me escapó por motivos de agenda, pero ellos son:  los malagueños: Camino García Murillo, Susana Elena Cortés Ruiz y  José Domingo Gallego Alcalá con tres puntos de vista: el externo, el de una Diputación Provincial y el de un municipio de 3.000 habitantes.

María Ascensión Moro Cordero,  Responsable de la Unidad de Gestión del Conocimiento y Calidad del Ayuntamiento de Sant Feliu de Llobregat. Experta multidisciplinar,  Delegada de Protección de datos.

Joaquín Miguel Burgar Arquimbau, Funcionario de Administración Local con Habilitación de Carácter Nacional y Adjunto a Dirección en el Servicio Provincial de Asistencia Municipios de la Diputación de Castellón. Auténtico todoterreno de la asistencia a los pequeños y medianos municipios.

Juan Marquina Fuentes, Vicesecretario General de la Diputación de Orense, selecto jurista, también delegado de protección de datos y de nuevo enfocando desde las diputaciones.

Juan Antonio Pavón Pérez y José Felipe Arroba Conde en tandem , Juan Antonio como Jefe de Sección de Gastos Generales de la Excma. Diputación Provincial de Cáceres y José Felipe como experto externo en protección de datos.

En la parte editorial que ha hecho posible esto,  Luis Barrera y Gloria Hernandez.  Con saludos a Laura, Lourdes y Bea.

2. LA ENTRADA DE HOY SOBRE PROTECCIÓN DE DATOS

Y ahora si,  aunque lógicamente os invitamos a comprar la guia+taller esperando que sea de utilidad para todos los operadores jurídicos del mundo local apuntaré algunas ideas que se desarrollan en esta obra:

Objetivos específicos de la guía+taller :

Con la adquisición de esta guía, se adquirirán las competencias necesarias para aplicar correctamente la legislación en materia de protección de datos tanto en el su puesto de trabajo como a nivel de la propia organización.

Siendo la protección de datos un elemento esencial en Administraciones Públicas pues existe el deber de garantizar la privacidad y el tratamiento adecuado de los mismos, con la adquisición de la guia+taller se generará mayor confianza en los operadores jurídicos y además se cumpla con los derechos de los vecinos y de los ciudadanos.

En definitiva, se trata de ofrecer herramientas prácticas  para resolver los problemas de aplicación práctica sobre protección de datos en el día a día municipal.

Como resumen:

1. Conseguir atraer en la materia a los empleados locales.
2. Transferir un conocimiento básico en materia de protección de datos
3. Conseguir que el empleado público se quiera informar y aumentar sus conocimientos
4. Tratar numerosos casos prácticos

Como contenidos:

• Nuevo marco legal de las entidades locales
• La concepción de la seguridad como un proceso integral y transversal
• Escenarios posibles
• Elenco de protagonistas en materia de seguridad y protección de datos.
• El Delegado de Protección de Datos
• Principales obligaciones en materia de protección de datos
• Transparencia y deber de información en el proceso de recogida y tratamiento de datos personales.
• Inclusión de leyendas legales en formularios y documentos de recogida de datos.
• Los derechos de las personas en materia de protección de datos desde la perspectiva de la administración local.
• Necesidad de una base para el tratamiento de datos personales por parte de las Entidades Locales.
• Cesión de datos entre AAPP
• Base jurídica en otros casos especiales de tratamiento de datos personales en las AAPP.
• El registro de actividades de tratamiento (RAT)
• Problemática específica en el caso de las entidades locales
• Protección de datos versus transparencia
• Seguridad y protección de datos.

3.- EL TRINOMIO: PROTECCIÓN DE DATOS + SEGURIDAD + TRANSPARENCIA

Desde el 25 de mayo de 2018 resulta de aplicación directa a las Entidades Locales el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27  abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (LA LEY 6637/2016) quedando derogada la Directiva 95/46/CE. Asimismo, el 7 de diciembre de 2018 entró en vigor la tan esperada  Ley Orgánica 3/2018, de 5 de diciembre (LA LEY 19303/2018) que viene a derogar la anterior LOPD (Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal). La nueva normativa introduce cambios significativos que exigen un alto nivel de proactividad y diligencia a la hora de cumplir y estar en disposición de evidenciar dicho cumplimiento. Esto supone una necesaria asignación de recursos, tanto humanos como económicos, que implica un gran esfuerzo, especialmente para los pequeños Ayuntamientos. Con el fin de establecer una hoja de ruta que facilite la planificación y proceso de adecuación, se enumeran a continuación los distintos aspectos procedimentales y operativos que pueden facilitar el abordaje del actual marco regulatorio en materia de protección de datos.

Desde un punto de vista práctico, a la hora de implantar de forma efectiva la normativa de protección de datos, es fundamental que la organización interiorice como un elemento estratégico esencial la necesidad de contemplar la seguridad de forma integral y transversal, como una dimensión más del proceso de transformación digital.

En su página de gobierno abierto de la Diputación de Castellón podemos ver ejemplos de tranversalidad,  sólo falta añadir protección de datos.Página de gobierno abierto de la Diputación de Castellón

Por un lado y en orden de relación con la protección de datos hay que tratar  la seguridad como un proceso transversal e integral, parece razonable que la organización de la seguridad se plantee también desde una doble perspectiva: la seguridad de los sistemas de información y de los datos que se gestionan, es decir, las responsabilidades derivadas del cumplimiento del Esquema Nacional de Seguridad (ENS) y las derivadas del cumplimiento de la normativa sobre protección de datos personales. De hecho el propio RGPD establece la necesidad de adoptar medidas de carácter técnico, organizativo y de seguridad en los procesos de tratamiento de datos.

Lo cierto es que más allá del cumplimiento normativo, la seguridad compromete a todos los miembros de la organización, y es por ello que es necesario identificar claramente los responsables de velar por su cumplimiento. La organización de la seguridad es absolutamente fundamental para conseguir implantar un verdadero Sistema de Gestión de la Seguridad de la Información (SGSI) y corresponde a cada organización definir, a través de su política de seguridad, el modelo organizativo y detallar las atribuciones de cada responsable y los mecanismos de coordinación y de resolución de conflictos.

En particular, RGPD introduce nuevas figuras y funciones en el marco de la privacidad y un principio que hay que tener siempre presente: la responsabilidad proactiva, que implica la capacidad de las organizaciones de demostrar el cumplimiento de todos los principios que emanan de la normativa de protección de datos personales (considerando 78 del RGPD).

Existen ejemplos y fórmulas diversas para la organización de la seguridad y, obviamente, en su diseño influye claramente el tamaño de la institución. Es evidente que todos los miembros de la organización deben conocer las obligaciones y principios básicos en materia de seguridad y de protección de datos personales, pero es conveniente constituir un equipo de trabajo multidisciplinario que, mediante un régimen de funcionamiento estable, sea el motor de la implantación y de seguimiento en su aplicación. Y, por supuesto, será necesario identificar en esta estructura colegiada aquellos perfiles que obligatoriamente debemos contemplar en nuestras organizaciones para cumplir con la normativa.

En el mismo plano de relación con la protección de datos está la aplicación de la Ley de Transparencia. En el ámbito local es tremendamente difícil, en primer lugar, porque cada administración local es diferente. Cada Ayuntamiento es un ecosistema particular y no hay ninguno igual al otro. Además de no disponer, hoy por hoy, de medios personales y materiales para abordar la cantidad de obligaciones normativas que nos llegan de una ley, de otra, de un Real Decreto de otro…. Pero también de dificultades asociadas a la propia cultura de funcionamiento, pues uno de los mayores obstáculos es vencer las resistencias al cambio en las personas para permitir la difusión y apertura de la información, saliendo de la opacidad hacia la transparencia.

Como ya comenté en una anterior entrada: Transparencia contra protección de datos en mi opinión hay que poner PRIMERO LA TRANSPARENCIA Y LUEGO DE LA MANO LA PROTECCIÓN DE DATOS ,  el derecho de acceso es el más ejercitado teniendo en cuenta que son derechos diferentes: por un lado el derecho de acceso a la información pública y por otro el derecho de acceso a datos personales protegidos.  OJO muchas veces se confunde.

Las obligaciones de la Ley de Transparencia en materia de publicidad activa se estructuran en tres bloques temáticos:

1. a) información institucional
2. b) organizativa y de planificación;
3. c) información de relevancia jurídica e información económica, presupuestaria y estadística.

En ellos se aúnan un buen grupo de información ya objeto de publicidad por las EELL como la relativa a diversos aspectos organizativos, normativos, económico-presupuestarios, de contratación y subvenciones, entre otros, pero sin contemplar las especialidades del ámbito local, por lo que surgen numerosos problemas aplicativos a la hora de llevar a la práctica los arts. 6 a 8 de la Ley de Transparencia.

Todo instrumentado a través de los portales de transparencia y la obligación establecida en la Disposición adicional tercera de la Ley 9/2017 de 8 noviembre de contratos del sector público de:

“corresponde también al secretario la coordinación de las obligaciones de publicidad e información que se establecen en a ley 19/2013 de 9 de diciembre de transparencia, acceso a la información pública y buen gobierno. “

Con la consiguiente falta de medios personales para gestionar el portal, otro marrón más para repartir y van….transformación digital, administración electrónica, contratación pública, personal etc.

La segunda parte de la transparencia el derecho de acceso se configura de un modo más amplio en la Ley de Transparencia sobre la base de lo dispuesto en el art. 105. B de la Constitución.

Porque al ejercicio de este derecho se contrapone con un amplio conjunto de límites recogidos en el art. 14, algunos con especial impacto en el ámbito local, como la seguridad pública, la prevención, investigación y sanción de los ilícitos administrativos o disciplinarios las funciones administrativas de vigilancia, inspección y control o la garantía de la confidencialidad, el secreto requerido en los procesos de toma de decisión. A este amplio catálogo todavía ha de añadirse el límite por excelencia: la existencia de datos protegidos,

EI derecho de acceso a la información pública definido en la Ley de Transparencia debe compatibilizarse además con el derecho de acceso a la información de los interesados recogido en la Ley 39/2015, que en su art. 13 recoge el testigo de la Ley 3o/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones públicas y del procedimiento Administrativo

El segundo Pilar es la participación pública, un aspecto en el que todavía queda mucho camino por recorrer. Además de las tradicionales formas de participación del artículo 23 de la Constitución y otras figuras como el referéndum o la iniciativa legislativa, queremos poner el foco en las nuevas formas de participación: presupuestos participativos, consultas públicas de proyectos, utilización de datos abiertos, peticiones de acceso a la información pública.  Sobre esto esta última forma de participación está todavía muy poco desarrollado siendo pocas las solicitudes que se reciben y menos aun las que implican una incidencia en la acción pública.

Además, debemos hablar de la próxima entrada en vigor de En marzo 2019, a punto de terminar la legislatura, en el último pleno de 21 marzo 2019, se aprueba una proposición de ley de transparencia. Se publica Ley 10/2019 en BOCM 22 abril 2019 y entra en vigor el 1 enero 2020.

En mi opinión esta Ley incrementa notablemente la necesidad de una estructura y una organización a nivel municipal porque la cantidad de obligaciones de publicación es inabarcable.

El tercer pilar son los datos abiertos, la reutilización de la información y la puesta a disposición de la ciudadanía de la cantidad de datos relevantes que sirven para mejorar el transporte urbano, crear farolas inteligentes o demostrar con datos lo eficiente o ineficiente de las políticas públicas.

Todos estos pilares están sostenidos por una realidad que más allá de las modificaciones recientemente vistas en las normas, ha llegado para quedarse que es la administración electrónica.

El soporte electrónico permite una trazabilidad y una seguridad en principio mayor que la administración en papel.  La ley 39/2015 de 1 de octubre exige que el procedimiento sea electrónico.  También quedan aspectos por completar como la interoperabilidad entre administraciones y la integración de programas entre sí.

El RGPD añade requisitos adicionales en cuanto a la necesidad de informar a las personas interesadas, incorporando, a los requisitos ya previstos por la LOPD (identidad del Responsable del Tratamiento, finalidad del tratamiento, destinatarios de los datos y procedimiento para el ejercicio de derechos) los siguientes aspectos al deber de información:

• La base que legitima el tratamiento;
• El plazo o los criterios aplicados de conservación de la información;
• Los datos de contacto del Delegado de Protección de Datos;
• La existencia, en su caso, de decisiones automatizadas o elaboración de perfiles;
• La previsión de transferencias a Terceros Países;
• El derecho a presentar una reclamación ante las Autoridades de Control.

Y además, en el caso de que los datos no se obtengan del propio interesado, se deberá indicar:

• El origen de los datos;
• Las categorías de los datos.

La flexibilidad y  la apertura de mente a la hora de aplicar estas materias resulta una competencia básica para cualquier empleado público de cualquier administración pública. Son materias muy vivas, sujetas a instrucciones, resoluciones y jurisprudencia por lo que la práctica diaria, el día a día se construye sobre el conocimiento básico previo del trinomio:

PROTECCIÓN DE DATOS + SEGURIDAD + TRANSPARENCIA. 

Espero os haya picado la curiosidad y queráis curiosear más sobre protección de datos.

Podéis adquirir aquí la obra.

Espero vuestros comentarios.  Nos leemos.