Las Administraciones Públicas como Responsables en el RGPD
🏛️ Las Administraciones Públicas como Responsables en el RGPD
Guía Práctica · Unidad 3 · Serie Protección de Datos en la Administración
Hoy publico en el blog la tercera entrega de la serie sobre Protección de Datos, dedicada a cómo actúan las Administraciones Públicas como responsables del tratamiento bajo el RGPD, cuáles son sus obligaciones de responsabilidad proactiva, y cómo se estructuran sus relaciones con los encargados de tratamiento.
Esta entrega es especialmente relevante para el personal de la Administración Pública, técnicos, responsables de área, gestores de contratos y cualquier profesional que deba tomar decisiones sobre datos personales en su actividad diaria.
1️⃣ El Principio de Responsabilidad Proactiva (Accountability)
El artículo 5.2 del RGPD establece la obligación de demostrar el cumplimiento, no solo de cumplir. En inglés, este principio se denomina "accountability", un concepto sin traducción exacta al castellano pero que podemos resumir así:
📌 No basta con cumplir la norma. Hay que poder demostrarlo, con evidencias, de forma continua y rastreable.
¿Qué implica en la práctica?
✅ Aplicar medidas técnicas y organizativas apropiadas al riesgo del tratamiento.
✅ Documentar todas las decisiones tomadas: quién, cuándo, por qué y en qué condiciones.
✅ Revisar y actualizar esas medidas cuando sea necesario.
✅ Implicar a todo el personal que interviene en el tratamiento de datos, no solo al DPD.
✅ Adoptar una actitud activa y preventiva, no reactiva.
Las medidas clave vinculadas a este principio son:
- Gestión del riesgo para los derechos y libertades de los interesados.
- Implementación del principio de transparencia hacia la ciudadanía.
- Designación de un Delegado de Protección de Datos (DPD).
- Mantenimiento de un Registro de Actividades de Tratamiento (RAT).
- Realización de Evaluaciones de Impacto (EIPD) cuando el tratamiento pueda suponer alto riesgo.
- Notificación de brechas de seguridad a la autoridad de control y a los interesados.
- Obtención de certificados, sellos de privacidad y adhesión a códigos de conducta.
💡 La responsabilidad proactiva no es un documento: es una cultura de protección de datos integrada en la organización.
2️⃣ Responsable vs. Encargado del Tratamiento en las Administraciones Públicas
Definiciones clave (art. 4 RGPD):
| Figura | Definición |
|---|---|
| Responsable del tratamiento | Quien determina los fines y medios del tratamiento (art. 4.7). |
| Encargado del tratamiento | Quien trata datos personales por cuenta del responsable (art. 4.8). |
¿Cómo aparece esta relación en la Administración?
En el sector público, la relación responsable-encargado se formaliza habitualmente a través de:
- 📄 Encomiendas de gestión
- 📄 Convenios administrativos
- 📄 Contratos administrativos (DA 25ª Ley 9/2017 de Contratos del Sector Público)
⚠️ Caso especial: Unidades TIC transversales
En muchas administraciones, unidades de informática o agencias tecnológicas asumen funciones de gestión de sistemas de información (desarrollo de sedes electrónicas, gestión de la intranet, servicios cloud...) sin firmar un contrato específico de encargo de tratamiento.
El art. 33.5 de la LOPDGDD lo regula expresamente:
"En el ámbito del sector público podrán atribuirse las competencias propias de un encargado del tratamiento a un determinado órgano mediante la adopción de una norma reguladora de dichas competencias, que deberá incorporar el contenido exigido por el artículo 28.3 del RGPD."
Esto significa que un Real Decreto o Decreto autonómico de estructura orgánica puede funcionar como acto de encargo de tratamiento, sin necesidad de contratos adicionales.
Contenido mínimo del contrato o acto de encargo de tratamiento:
- 📌 Instrucciones del responsable del tratamiento.
- 🔒 Deber de confidencialidad.
- 🛡️ Medidas de seguridad aplicables.
- 🔗 Régimen de subcontratación permitida.
- 👤 Asistencia al responsable en el ejercicio de derechos de los interesados.
- 🤝 Colaboración en el cumplimiento de obligaciones del responsable.
- 🗑️ Destino de los datos al finalizar la prestación.
📚 La AEPD, junto con las autoridades vasca y catalana, ha publicado las "Directrices para la elaboración de contratos entre responsables y encargados del tratamiento", disponibles en su web.
3️⃣ Privacidad desde el Diseño y por Defecto (art. 25 RGPD)
🔧 Privacidad desde el Diseño (Privacy by Design)
La protección de datos debe integrarse desde la primera fase de diseño de un sistema, producto o servicio, no añadirse al final como una capa. El RGPD le otorga categoría de requisito legal.
Las principales estrategias para implementarla son:
| Estrategia | Objetivo |
|---|---|
| Minimizar | Tratar solo los datos estrictamente necesarios. |
| Ocultar | Limitar la exposición de datos (cifrado, control de accesos, disociación). |
| Separar | Mantener conjuntos de datos independientes para distintos tratamientos. |
| Abstraer | Reducir el nivel de detalle (agregación, seudonimización, K-anonimidad). |
| Informar | Dar transparencia activa más allá del mínimo legal. |
| Controlar | Proporcionar al ciudadano mecanismos de control sobre sus datos. |
| Cumplir | Incorporar las políticas de protección de datos al ciclo de vida del tratamiento. |
| Demostrar | Registrar y auditar las decisiones tomadas (accountability). |
🔐 Privacidad por Defecto (Privacy by Default)
Solo deben tratarse los datos estrictamente necesarios para cada finalidad. Esto se concreta en cuatro estrategias:
- Recogida: recopilar únicamente los datos imprescindibles.
- Tratamiento: acceder al mínimo de datos necesario en cada proceso.
- Conservación: eliminar los datos cuando dejen de ser necesarios.
- Accesibilidad: limitar el acceso de terceros a los datos.
⚖️ Principio "need-to-know": cada empleado accede solo a los datos que necesita para su trabajo. Principio "need-to-disclosure": la divulgación a terceros se limita a lo estrictamente necesario.
4️⃣ El Registro de Actividades de Tratamiento (RAT) y el Inventario
📋 El RAT (art. 30 RGPD)
El RAT es una herramienta de gestión, no un mero formulario. Contiene, como mínimo:
Para el Responsable del tratamiento:
- Nombre y contacto del responsable, corresponsable, representante y DPD.
- Fines del tratamiento.
- Categorías de interesados y de datos personales.
- Categorías de destinatarios (incluidos terceros países).
- Transferencias internacionales y sus garantías.
- Plazos de supresión previstos.
- Descripción general de las medidas de seguridad (art. 32.1).
Para el Encargado del tratamiento:
- Nombre y contacto del encargado y de cada responsable por cuya cuenta actúa.
- Categorías de tratamientos por cuenta de cada responsable.
- Transferencias internacionales y sus garantías.
- Medidas de seguridad generales.
⚠️ Las organizaciones con menos de 250 personas están exentas, salvo que el tratamiento entrañe riesgo para derechos y libertades, no sea ocasional o incluya categorías especiales de datos.
🌐 El Inventario (art. 31.2 LOPDGDD)
Las Administraciones Públicas deben publicar un inventario público y accesible electrónicamente con la información del art. 30 RGPD y la base legal de cada tratamiento. Este inventario es la versión pública del RAT, sin información interna sensible.
📢 Todos los tratamientos de las AA.PP. deben ser transparentes y accesibles al ciudadano a través de la web, sede electrónica o Portal de Transparencia.
5️⃣ Políticas de Protección de Datos
Las políticas de protección de datos son directrices que rigen la forma de actuar de la organización en el tratamiento de datos personales a lo largo de todo su ciclo de vida. El RGPD no exige un documento con ese título, sino que las directrices estén integradas en los procedimientos internos (RRHH, contratación, teletrabajo, desarrollo de aplicaciones, etc.).
💡 Una política de protección de datos es efectiva, práctica y ejecutiva. No es una declaración de intenciones: es una forma de actuar.
6️⃣ El Enfoque de Riesgo en el RGPD
El RGPD menciona el término "riesgo" en 73 ocasiones a lo largo de su texto. El enfoque de riesgo orienta la protección de datos hacia la persona, no hacia los intereses de la organización.
Distinción fundamental:
| Tipo de Gestión de Riesgo | Orientada a... |
|---|---|
| Riesgo para derechos y libertades | La persona interesada (el ciudadano). |
| Riesgo de cumplimiento normativo | La organización (evitar sanciones). |
⚠️ Estas dos gestiones de riesgo son complementarias pero no equivalentes. No se puede sustituir el cumplimiento normativo mediante medidas técnicas, ni desplazar la responsabilidad a terceros mediante seguros o contratos.
¿Qué tipos de daños debe contemplar la gestión del riesgo?
Según el Considerando 75, los riesgos para los derechos y libertades incluyen: discriminación, usurpación de identidad, pérdidas financieras, daño reputacional, pérdida de confidencialidad, perjuicios económicos o sociales, y privación del control sobre los propios datos.
7️⃣ Evaluaciones de Impacto de Protección de Datos (EIPD)
¿Cuándo es obligatorio realizarlas? (art. 35 RGPD)
Siempre que un tratamiento pueda entrañar un alto riesgo, especialmente cuando:
- Se realice evaluación sistemática y exhaustiva basada en tratamiento automatizado o elaboración de perfiles con efectos jurídicos.
- Se traten a gran escala categorías especiales de datos (salud, origen racial, creencias, etc.) o datos sobre condenas penales.
- Se lleve a cabo observación sistemática a gran escala de zonas de acceso público.
- Se usen nuevas tecnologías con impacto en derechos y libertades.
- Se traten datos de personas vulnerables (menores, pacientes, solicitantes de asilo...).
Fases de una EIPD:
- Análisis preliminar: ¿es necesaria la EIPD?
- Contexto: descripción del ciclo de vida de los datos.
- Proporcionalidad: evaluación de necesidad y proporcionalidad del tratamiento.
- Identificar amenazas y riesgos.
- Evaluar los riesgos.
- Tratar los riesgos: medidas para mitigarlos.
- Plan de acción y conclusiones.
- Supervisión continua: revisar ante cambios en el tratamiento.
🛠️ La AEPD pone a disposición la herramienta GESTIONA y ha publicado la Guía práctica para las EIPD sujetas al RGPD.
8️⃣ La Seguridad en el RGPD
Los tres pilares de la seguridad de los datos:
- 🔒 Confidencialidad: impedir el acceso no autorizado (principio need-to-know).
- ✅ Integridad: garantizar que los datos son exactos, veraces y no han sido alterados.
- 📂 Disponibilidad: garantizar el acceso, rectificación y supresión cuando sea necesario.
El RGPD añade un cuarto pilar: la resiliencia, es decir, la capacidad de mantener la confidencialidad, integridad y disponibilidad en condiciones adversas.
⚠️ La seguridad es necesaria, pero no suficiente. Debe entenderse como un elemento más dentro del proceso de cumplimiento, no como el fin último.
El Esquema Nacional de Seguridad (ENS)
En el ámbito de las Administraciones Públicas españolas, el ENS es la norma de referencia en materia de seguridad. La Disposición Adicional Primera de la LOPDGDD determina que el ENS debe adaptarse al enfoque de riesgo del RGPD, incorporando el riesgo para los derechos y libertades en la determinación de las medidas de seguridad.
Notificación de Brechas de Seguridad
| Obligación | Plazo | Destinatario |
|---|---|---|
| Notificación a la autoridad de control (AEPD) | Antes de 72 horas desde el conocimiento | AEPD (o autoridad autonómica competente) |
| Comunicación a los interesados | Cuanto antes si el riesgo es alto | Ciudadanos afectados |
| Notificación del encargado al responsable | Sin dilación | Responsable del tratamiento |
Información mínima a comunicar a la AEPD:
- Naturaleza de la brecha (categorías de datos y de interesados afectados, número aproximado de registros).
- Datos de contacto del DPD.
- Posibles consecuencias de la brecha.
- Medidas adoptadas o propuestas para mitigar sus efectos.
📌 El responsable está exento de notificar a los interesados si puede demostrar que la brecha no entraña riesgo para sus derechos y libertades, o si los datos afectados estaban cifrados (principio de responsabilidad proactiva, Considerando 85).
✅ Resumen Ejecutivo: Lo que debes recordar
| Concepto | Clave práctica |
|---|---|
| Accountability | Cumplir Y demostrar. Todo documentado, rastreable y revisado. |
| Responsable / Encargado | Relación siempre formalizada en contrato o acto jurídico equivalente. |
| Privacy by Design | La privacidad se diseña, no se añade al final. |
| Privacy by Default | Solo los datos mínimos, solo cuando sean necesarios. |
| RAT | Herramienta de gestión, no formulario. Obligatorio y accesible a la autoridad. |
| Inventario | Versión pública del RAT. Obligatorio para todas las AA.PP. |
| EIPD | Análisis de riesgo previo al tratamiento cuando este implique alto riesgo. |
| Seguridad | Confidencialidad + Integridad + Disponibilidad + Resiliencia. Proporcional al riesgo. |
| Brechas | 72h para notificar a la AEPD. Cuanto antes al interesado si hay alto riesgo. |
#ProteccionDeDatos #RGPD #LOPDGDD #AdministracionPublica #IsabelOrtizIA
Comentarios
Publicar un comentario