Ya han pasado dos años desde que entrase en vigor el Reglamento General de Protección de Datos(RGPD) aprobado por el Parlamento Europeo. Durante este tiempo, la Unión Europea ha permitido que tanto empresas como instituciones se adapten a los nuevos requisitos antes de que la normativa comience a aplicarse el próximo 25 de mayo.
Para cumplir con la misión que tienen encomendada, los ayuntamientos, y en general las administraciones públicas, tratan con datos personales de ciudadanos, por lo que se ven afectados por la nueva reglamentación. La Agencia Española de Protección de Datos (AGPD)ha concretado los principales puntos de RGPD que tiene impacto para las administraciones locales.
En primer lugar, es preciso que identifiquen con precisión las finalidades y la base jurídicaen la nueva reglamentación para los tratamientos de datos que van a llevar a cabo. En este sentido la agencia considera relevantes al menos tres cuestiones en las que pueden basarse: que el tratamiento sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, que sea preciso para el cumplimiento de una misión de interés público y que sea oportuno para satisfacer los intereses legítimos perseguidos por un tercero al que el responsable comunica los datos.
También será preciso adecuar la información que se ofrece a los interesados cuando se recogen sus datos, una información que debe ser “concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo”. Para ello, las administraciones deberán modificar los documentosque actualmente recogen estas cláusulas.
Por otro lado, tendrán que establecer mecanismos visibles, accesible y sencillos para el ejercicio de los derechos de los ciudadanos, teniendo en cuenta que el nuevo reglamento amplia estos derechos y, entre ellos, se incluye la limitación del tratamiento de los datos.
En esta misma línea, las administraciones han de fijar los procedimientos necesarios para responder a los ejercicios de estos derechos dentro de los plazos previstosy hacer un análisis de riesgos para los derechos y libertades de los ciudadanosen todos los tratamientos de datos que desarrollen. Sobre la base de este estudio, tendrán el cometido de adaptar las medidas de seguridady disponer de mecanismos para identificar las posibles violaciones de seguridadde los datos y reaccionar convenientemente ante ellas.
Resulta también importante que las administraciones locales se aseguren de que a quienes encomienden el tratamiento de datos personales estén en condiciones de cumplir el RGPD, por lo que deberán adecuar los contratos a los nuevos preceptos.
Además, a partir de ahora, será preciso contar con un Registro de Actividades de Tratamientoen el que se deje constancia de todos los tratamientos de datos que esté llevando a cabo la entidad local. En parte, este registro viene a sustituir a la obligación de notificar los fichero y tratamientos.
Asimismo, las “autoridades u organismos públicos” deberán designar un Delegado de Protección de datos (DPD)que reúna los requisitos de cualificación y competencia establecidos por el RGPD. Para el caso de entidades locales de pequeño tamaño se abre la puerta a la contratación de la actividad a terceros por un grupo de ayuntamientos o la prestación del servicio por las diputaciones provinciales.
La Agencia de Protección de Datos analiza con más detalle todas estas cuestiones en el documento El nuevo RGPD y su impacto sobre la actividad de las administraciones locales.
Resulta evidente que la adaptación a la nueva normativa europea requiere un esfuerzo por parte de los ayuntamientos pero que bien merece la pena para garantizar el correcto uso de los datos de los ciudadanos.