Área de Protección de Datos

El nuevo Estatuto de Autonomía para Andalucía, que fue aprobado el año 2007, reconoció explícitamente el “derecho de todas las personas al acceso, corrección y cancelación de sus datos personales en poder de las Administraciones públicas andaluzas” (artículo 32). Y, en consonancia con la consagración de este derecho, el Estatuto atribuyó a la Comunidad Autónoma ya en ese año 2007 “la competencia ejecutiva sobre protección de datos de carácter personal, gestionados por las instituciones autonómicas de Andalucía, Administración autonómica, Administraciones locales, y otras entidades de derecho público y privado dependientes de cualquiera de ellas, así como por las universidades del sistema universitario andaluz” (artículo 82).

La Ley 1/2014, de 24 de junio, de Transparencia Pública de Andalucía ha venido a asignar dicha competencia al Consejo de Transparencia y Protección de Datos de Andalucía. Así es; según establece su artículo 43.1, el Consejo es la “autoridad independiente de control en materia de protección de datos (...) en la Comunidad Autónoma de Andalucía”. De ahí que entre las atribuciones que dicha Ley encomienda a la Dirección del Consejo se incluya la de “desempeñar las funciones previstas en la legislación sobre protección de datos para su ejercicio por las agencias autonómicas en su caso” [art 48.1.i), así como la de “resolver las consultas que en materia de (...) protección de datos le planteen las administraciones y entidades sujetas a esta Ley” [art. 48.1.e)].

Sin embargo, la asunción efectiva por parte de este Consejo de la competencia en materia de protección de datos quedó diferida en virtud de lo establecido en la Disposición transitoria tercera del Decreto 434/2015, de 29 de septiembre, por el que se aprueban los Estatutos del Consejo de Transparencia y Protección de Datos de Andalucía.

La Orden de 1 de agosto de 2019, de la Consejería de Turismo, Regeneración, Justicia y Administración Local, ha venido a fijar el 1 de octubre de 2019 como la fecha de inicio del ejercicio de las funciones en materia de protección de datos por parte del Consejo. A partir de entonces, corresponde al Consejo desempeñar tales funciones respecto de los tratamientos de los que sean responsables las instituciones autonómicas de Andalucía, la Administración de la Junta de Andalucía, la Administración Local en Andalucía y otras entidades dependientes de cualquiera de ellas, así como las universidades del sistema universitario andaluz, en los términos previstos en el artículo 57 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (BOJA núm. 154, de 12 de agosto de 2019).

 

RECLAMACIONES ANTE EL CONSEJO POR VULNERACIÓN DE LA NORMATIVA DE PROTECCIÓN DE DATOS PERSONALES

a) Reclamación por vulneración del ejercicio de sus derechos en materia de protección de datos

El Reglamento de Protección de Datos, en sus artículos del 15 al 22, establece la posibilidad de ejercicio de derechos de las personas interesadas en relación con sus datos personales; estos derechos son:

- derecho de acceso

- derecho de rectificación

- derecho de supresión (“el derecho al olvido”)

- derecho a la limitación del tratamiento

- derecho a la portabilidad de los datos

- derecho de oposición

- derecho a no ser objeto de una decisión basada unicamente en el tratamiento automatizado.

Si quiere conocer más sobre estos derechos, puede hacerlo en https://www.aepd.es/reglamento/derechos/.

Estos derechos se ejercen ante los responsables del tratamiento, que han de atender la solicitud presentada en el plazo de un mes desde la recepción de la misma, salvo que en dicho plazo se comunique a la persona solicitante la ampliación del plazo de respuesta otros dos meses en caso de ser necesario (por su complejidad o por el número de solicitudes que haya de atender el responsable).

Si no se obtiene respuesta por parte del responsable del tratamiento o no se está de acuerdo con la respuesta recibida, puede efectuarse una reclamación ante la autoridad de control competente en materia de protección de datos.

En caso de que el responsable del tratamiento se encuentre dentro del ámbito competencial del Consejo, detallado anteriormente, es el Consejo de Transparencia y Protección de Datos de Andalucía la autoridad independiente de control en materia de protección de datos ante la que se ha de presentar la reclamación.

Por lo tanto, si ha ejercido alguno de sus derechos ante algún responsable del tratamiento incluido en el ámbito mencionado y no ha obtenido respuesta o no está de acuerdo con la misma, puede dirigirse al Consejo para efectuar una reclamación relativa a la presunta vulneración de sus derechos.

En la Ventanilla Electrónica del Consejo encontrará el formulario para presentar la reclamación, así como información sobre cómo presentarla. En su reclamación deberá identificarse adecuadamente, indicar el órgano reclamado, y acompañar copia de la solicitud efectuada ante dicho órgano en relación con el ejercicio de sus derechos; en su caso, deberá igualmente adjuntar copia de la respuesta recibida, así como de cualquier otra información o documentación que pueda ser de interés en la resolución de la reclamación.

b) Reclamación por otra vulneración de la normativa en materia de protección de datos personales

Puede igualmente reclamar ante el Consejo cualquier otra vulneración que considere que se ha producido en relación con la normativa de protección de datos personales, aunque no tenga que ver directamente con el ejercicio de sus derechos, y siempre que el responsable del tratamiento se encuentre dentro del ámbito competencial del Consejo descrito anteriormente.

Para ello, puede emplear igualmente el formulario mencionado, accesible a través de la Ventanilla Electrónica del Consejo, consignando en el mismo el órgano reclamado y aportando la documentación que considere conveniente en relación con los hechos o circunstancias reclamados.

NOTA: Cualquier reclamación relativa a un responsable del tratamiento que esté fuera del ámbito competencial del Consejo, puede realizarla ante la Agencia Española de Protección de Datos [www.aepd.es] o la autoridad autonómica competente.

 

COMUNICACIÓN DE DATOS RELATIVOS A LA DESIGNACIÓN DE DELEGADOS DE PROTECCIÓN DE DATOS

El artículo 37.7 del Reglamento General de Protección de Datos exige comunicar a la autoridad de control la designación de Delegados de Protección de Datos (DPD). A este respecto se pronuncia igualmente la Ley Orgánica 3/2018, de 5 diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), que, en su artículo 34.3 establece que “los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos [...]

Por lo tanto, en el ámbito competencial del Consejo, las comunicaciones relativas a nombramientos y ceses de delegados de protección de datos, han de dirigirse, a partir del 1 de octubre de 2019, al Consejo de Transparencia y Protección de Datos de Andalucía. No es preciso volver a repetir ante el Consejo las comunicaciones ya realizadas a la Agencia Española de Protección de Datos antes de esa fecha.

En la Ventanilla Electrónica del Consejo encontrará el formulario para realizar la correspondiente comunicación, así como información sobre cómo presentar la misma.

Por otra parte, los datos comunicados al Consejo servirán de base para que este pueda publicar por medios electrónicos una relación actualizada de delegados de protección de datos, a los efectos de dar cumplimiento al art. 34.4 LOPDGDD.

Puede acceder a este enlace para consultar la relación de delegados de protección de datos publicada por la Agencia Española de Protección de Datos, donde figuran aquellos delegados de organismos o entidades incluidas en el ámbito competencial del Consejo, pero cuya comunicación a la autoridad de control fue realizada con anterioridad al 1 de octubre de 2019, fecha de la asunción material de la competencia en materia de protección de datos personales por parte del Consejo.

En este enlace puede consultar la información relativa a las entidades que han comunicado al Consejo de Transparencia y Protección de Datos de Andalucía a partir del 1 de octubre de 2019 el nombramiento o designación de su DPD, así como sus datos de contacto, de acuerdo con lo establecido en el art. 37.7 del Reglamento General de Protección de Datos y en art. 34.3 de la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

La información, que se actualiza periódicamente tras la tramitación y registro de las comunicaciones recibidas, se publica con la finalidad de dar cumplimiento al art. 34.4 LOPDGDD, a los efectos de dar a conocer, por parte de la autoridad de control, una lista actualizada de los DPD comunicados por parte de los responsables y encargados del tratamiento para que las personas interesadas puedan presentar una consulta o una reclamación o solicitar información sobre cualquier cuestión vinculada con el tratamiento de sus datos personales. Los datos de contacto que se publican en la siguiente relación no pueden ser objeto de otro tratamiento fuera de la finalidad expresada.

Cualquier consulta sobre la cumplimentación del formulario o sobre el proceso de comunicación de información del Delegado de Protección de Datos al Consejo de Transparencia y Protección de Datos de Andalucía, pueden realizarla a la dirección de correo electrónico: registro.dpd.ctpda@juntadeandalucia.es.

 

NOTIFICACIÓN DE UNA VIOLACIÓN DE LA SEGURIDAD DE LOS DATOS PERSONALES A LA AUTORIDAD DE CONTROL

El Reglamento General de Protección de Datos define una “violación de la seguridad de datos personales” como toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

En su artículo 33 se regula la necesaria notificación, por parte del responsable de tratamiento, de violaciones de la seguridad de los datos personales a la autoridad de control competente sin dilación indebida y, de ser posible a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

Se describe en el artículo 33.4 la información que han de incluir las mencionadas notificaciones; información que, de no ser posible facilitar de forma simultánea y completa, puede notificarse de modo gradual sin dilación indebida.

La Agencia Española de Protección de Datos, en colaboración con el Centro Criptológico Nacional y con el Instituto Nacional de Ciberseguridad, ha editado una “Guía para la gestión y notificación de brechas de seguridad”, con el objeto de facilitar a los responsables de tratamiento la identificación de dichos incidentes y cómo gestionar su notificación a la autoridad de control. Puede acceder al documento en este enlace.

Con base en los modelos contenidos en dicha guía, se ha elaborado por parte del Consejo de Transparencia y Protección de Datos un formulario para las notificaciones de violaciones de seguridad que, dentro de su ámbito competencial, hayan de serle notificadas por parte de los responsables de tratamiento.

En la Ventanilla Electrónica del Consejo puede encontrarse el formulario para realizar la correspondiente notificación, así como información sobre cómo presentar la misma.

 

SOBRE EL TRATAMIENTO DE DATOS PERSONALES EN EL CONSEJO

Puede acceder aquí para obtener mayor información sobre el tratamiento de datos personales en el Consejo de Transparencia y Protección de Datos de Andalucía, así como sobre el ejercicio de los derechos establecidos en el Reglamento General de Protección de Datos en relación con los mismos.

 

NORMATIVA

- Reglamento General de Protección de Datos (RGPD)

          - Corrección de errores

- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)

- Esquema de la estructura de la LOPDGDD con referencias al RGPD y a otra normativa citada en la ley.

 

ORIENTACIONES PARA LA APLICACIÓN DE LA DA7ª DE LA LOPDGDD

La Disposición Adicional 7ª de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, establece un método para la publicación del número del documento identificativo de los interesados cuando esta sea necesaria en el caso de anuncios y publicaciones de actos administrativos.

Ante las numerosas consultas recibidas, las autoridades de control en materia de protección de datos han elaborado de forma conjunta unas orientaciones provisionales para la aplicación de la mencionada Disposición Adicional para tratar de evitar que la adopción de fórmulas distintas pudieran dar lugar a posibilitar, ante publicaciones diversas, la recomposición íntegra del número de dicho documento identificativo.

Puede consultar aquí dichas orientaciones (actualizadas el 15/03/2019 con objeto de subsanar erratas detectadas).

 

LISTADO DE TRATAMIENTOS QUE EXIGEN EVALUACIÓN DE IMPACTO O PUEDEN ESTAR EXENTOS DE LA MISMA

El Reglamento General de Protección de Datos (RGPD) establece en su artículo 35.1 que las organizaciones que tratan datos tienen obligación de realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD) con anterioridad a la puesta en funcionamiento de dichos tratamientos cuando sea probable que, en función de su naturaleza, alcance, contexto o fines, entrañen un alto riesgo para los derechos y libertades de las personas.

En relación con esto, el artículo 35.4 RGPD prevé que cada autoridad de control establezca y publique una lista de los tipos de operaciones de tratamiento que requieran de una evaluación de impacto. Esta lista tiene, por tanto, la finalidad de ofrecer seguridad a los responsables respecto a cuáles son los tratamientos en que siempre se considerará que es probable que exista un alto riesgo. También de acuerdo con lo previsto por el RGPD, la lista ha sido comunicada al Comité Europeo de Protección de Datos, que ha emitido un dictamen favorable sobre ella, siguiendo los criterios establecidos en la valoración de todas las listas remitidas por las autoridades nacionales.

Puede consultar aquí la lista de operaciones de tratamiento que requieren la mencionada evaluación de impacto.

Por otra parte, para facilitar a los responsables de los tratamientos la identificación de aquellos tratamientos que no requieren una EIPD, el RGPD, en su artículo 35.5, dispone que las autoridades de control podrán publicar una lista con los tratamientos que no requieran de la elaboración de una EIPD. Dicha lista deberá ser comunicada al Comité Europeo de Protección de Datos (CEPD).

Puede consultar aquí la lista orientativa de tipos de tratamientos que no requieren la evaluación de impacto.