Sinopsis

Esta guía aborda las principales cuestiones que las entidades locales deben de tener en cuenta para cumplir con las obligaciones recogidas en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE. Este Reglamento concede gran importancia a la información que debe proporcionarse a los ciudadanos cuyos datos van a tratarse, estableciendo una lista exhaustiva de cuestiones que conviene que sean expuestos de forma clara y accesible.

Se pretende que el responsable, empleado público o persona que consulte esta guía, disponga de las herramientas necesarias para poder implementar todas las actuaciones que derivan de la implantación del Reglamento europeo y de la nueva Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de derechos digitales. La experiencia de los autores garantiza el enfoque práctico de la obra y mediante la inclusión de ejemplos y casos prácticos se trata de facilitar al operador local la asimilación de una materia que se encuentra en constante evolución y cambio.

Se trata, en definitiva, de proporcionar los conocimientos necesarios para asegurar el cumplimiento de la protección de datos de carácter personal, la transparencia y la seguridad. La casuística en este ámbito resulta interminable e inabarcable, así como los grados de dificultad de las preguntas y problemas que se plantean. A esta última problemática responde con solvencia y precisión esta guía que esperamos se convierta en un «clásico» en las estanterías de nuestras entidades locales.

Índice

PRÓLOGO

Capítulo 1

Nuevo marco legal de las entidades locales, proactivo, escenarios posibles, hoja de ruta

1. INTRODUCCIÓN

2. ¿POR DÓNDE EMPEZAR? ASPECTOS PROCEDIMENTALES

2.1. Asignación de roles: especial atención a la figura del DPD

2.2. Planificación inicial y comunicación previa a las áreas implicadas

3. PRINCIPALES OBLIGACIONES

3.1. Identificación de colectivos de datos personales tratados y análisis de la base que legitima el tratamiento

3.2. Transparencia y deber de información en el proceso de recogida y tratamiento de datos personales.

3.3. Ejercicio de derechos

3.4. Aportación de datos a la Administración y verificación

3.5. Publicación de datos personales y protección de datos

3.6. Regulación de la relación con proveedores que accedan a datos personales

3.7. Registro de Actividades del Tratamiento

3.8. Formación al personal y políticas internas de privacidad

3.9. Gestión de brechas de seguridad

3.10. Análisis de riesgos/Evaluación de Impacto sobre la Protección de Datos

3.11. Seguimiento, verificación y evaluación de la eficacia de las medidas adoptadas

4. CONCLUSIONES

5. ENLACES DE INTERÉS

6. PREGUNTAS FRECUENTES

Capítulo 2

Planificación en la implantación del cumplimiento en materia de protección de datos y esquema nacional de seguridad. Kick off

1. IMPLANTAR LA ADAPTACIÓN A LA NORMATIVA EN MATERIA DE PROTECCIÓN DE DATOS EN LAS ENTIDADES LOCALES

1.1. Introducción

1.2. Como planificar la adaptación de nuestras entidades en materia de protección de datos

1.3. Modelos de propuestas

2. KICK OFF. DESARROLLO DETALLADO SOBRE UN MODELO DE IMPLANTACIÓN

2.1. Implantación de proyecto GDPR + ENS

3. CONCLUSIONES

3.1. Planificar

3.2. Metodología

3.3. Ganas

4. FAQS

Capítulo 3

Bases de tratamientos en las entidades locales y transmisión de datos a terceros

1. NECESIDAD DE UNA BASE DE LICITUD PARA EL TRATAMIENTO DE DATOS PERSONALES POR PARTE DE LAS ENTIDADES LOCALES

1.1. Principios relativos al tratamiento y licitud del tratamiento

1.2. El deber de informar sobre los fines y sobre la base jurídica del tratamiento

1.3. Las bases jurídicas de los tratamientos y su relación con el registro de actividades de tratamiento. Publicación del inventario de actividades de tratamiento por medios electrónicos

2. LAS BASES JURÍDICAS DE TRATAMIENTO EN LAS RELACIONES CON LAS AAPP. CESIÓN DE DATOS ENTRE AAPP. PLATAFORMAS DE INTERMEDIACIÓN DE DATOS

2.1. Bases jurídicas de tratamiento en las relaciones con las AAPP

2.2. Cesión de datos entre AAPP

2.3. La plataforma de intermediación de datos. El derecho del ciudadano a no aportar documentos y la potestad de verificación de la Administración

2.4. La plataforma informática de sistema de información del mercado interior (el IMI) y la autenticidad de los documentos públicos en Europa

3. BASE JURÍDICA DEL TRATAMIENTO DE CESIÓN DE DATOS PERSONALES DE AAPP A SUJETOS DE DERECHO PRIVADO (D.A. 10 LOPDGDD)

3.1. Supuestos en los que las entidades locales pueden ceder datos personales a sujetos de derecho privado

3.2. Ponderación de intereses: derecho del afectado o interés legítimo del sujeto privado

4. BASE JURÍDICA EN CASOS ESPECÍFICOS DE TRATAMIENTO DE DATOS PERSONALES EN AAPP

4.1. Tratamiento de categorías especiales de datos. la firma biométrica como dato en las relaciones electrónicas con las AAPP

4.2. Tratamiento de datos en las smart cities

4.3. Tratamiento de los registros de personal del sector público (D.A. 12 LOPDGDD).

4.4. Tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales (art. 19 LOPDGDD).

4.5. Videovigilancia (art. 22 y 89 LOPDGDD) (11) (11) Para facilitar el cumplimiento del RGPD en este tratamiento, la AEPD ha elaborado «Protección de datos: Guía sobre el uso de videocámaras para seguridad y otras finalidades».

4.6. Tratamiento de datos en el ámbito de la función estadística pública (art. 25 LOPDGDD)

4.7. Tratamiento de datos con fines de archivo en interés público por parte de las AAPP (art. 26 LOPDGDD)

4.8. Tratamiento de datos relativos a infracciones y sanciones administrativas (art. 27 LOPDGDD)

5. TRANSFERENCIA INTERNACIONAL DE DATOS Y SU IMPACTO EN LA ADMINISTRACIÓN LOCAL

5.1. Concepto de transferencia internacional de datos

5.2. Nivel de protección del tercer país y autorización (o no) de la autoridad de control

5.3. Supuestos de transferencias internaciones en entidades locales

5.4. Transferencias internacionales de datos tributarios

6. PREGUNTAS FRECUENTES

7. BIBLIOGRAFÍA

8. INFORMES Y GUÍAS Y OTROS DOCUMENTOS DE LAS AUTORIDADES DE CONTROL

Capítulo 4

Protección de datos y seguridad integral: delimitación de actores y organización en las entidades locales

1. ANCLAJE DE LA PROTECCIÓN DE DATOS EN UN ESCENARIO DE TRANSFORMACIÓN DIGITAL DE LA ADMINISTRACIÓN LOCAL

2. LA CONCEPCIÓN DE LA SEGURIDAD COMO UN PROCESO INTEGRAL Y TRANSVERSAL

2.1. La interrelación entre el Esquema Nacional de Seguridad y la normativa de protección de datos personales

2.2. La organización de la seguridad

3. ELENCO DE PROTAGONISTAS EN MATERIA DE SEGURIDAD Y PROTECCIÓN DE DATOS

4. ¿CÓMO INCARDINAR ESTAS FIGURAS EN UNA ORGANIZACIÓN INTEGRAL DE LA SEGURIDAD?

5. CONCLUSIÓN

6. REFERENCIAS BIBLIOGRÁFICAS

7. FAQ’s

Capítulo 5

Registro de actividades y otras obligaciones legales: transparencia y esquema nacional de seguridad

1. EL REGISTRO DE ACTIVIDADES DE TRATAMIENTO (RAT)

1.1. Concepto y naturaleza

1.2. Contenido, estructura y soporte

1.3. Supuestos excepcionados

2. EL PRINCIPIO DE TRANSPARENCIA EN EL MARCO DE LA PROTECCIÓN DE DATOS PERSONALES

2.1. Transparencia y derecho de información del afectado

2.2. La modificación de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, operada por la LOPDGDD

3. ESQUEMA NACIONAL DE SEGURIDAD (ENS)

3.1. El Esquema Nacional de Seguridad en el marco de la LOPDGDD

3.2. El ENS como garantía de la confianza

3.3. Configuración legal del ENS

3.4. La gestión de riesgos en el tratamiento de datos personales

4. LA ASISTENCIA DE LAS DIPUTACIONES PROVINCIALES EN GARANTÍA DEL CUMPLIMIENTO NORMATIVO MUNICIPAL: LA EXPERIENCIA DE LA DIPUTACIÓN DE CASTELLÓN

5. PREGUNTAS FRECUENTES (FAQs)

Capítulo 6

Derechos, garantías y régimen de control en materia de protección de datos de las entidades locales

1. INTRODUCCIÓN: EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE LOS DATOS DE CARÁCTER PERSONAL

2. EL DERECHO A LA PROTECCIÓN DE LOS DATOS DE CARÁCTER PERSONAL EN LA NORMATIVA ADMINISTRATIVA

3. LOS DERECHOS DE LAS PERSONAS EN MATERIA DE PROTECCIÓN DE DATOS DESDE LA PERSPECTIVA DE LA ADMINISTRACIÓN LOCAL

3.1. Normas comunes aplicables a los derechos ARSOLP/ARCO-POL

3.2. Derecho de acceso (Considerandos 63-64 y art. 15 RGPD, y art. 13 LOPDGDD)

3.3. Derecho de rectificación (Considerandos 65 y art. 16 RGPD, y art. 14 LOPDGDD)

3.4. Derecho de supresión (Considerandos 65-66 y art. 17 RGPD y art. 15 LOPDGDD)

3.5. Derecho de oposición (Considerando 69-70-71-72 y art. 21-22 RGPD y art. 18 LOPDGDD)

3.6. Derecho de limitación del tratamiento (Considerando 67 y art. 18 RGPD, y art. 16 LOPDGDD)

3.7. Derecho a la portabilidad de los datos (Considerando 68 y art. 20 RGPD, y art. 17 LOPDGDD)

4. LOS DERECHOS DIGITALES DE LA CIUDADANÍA. ESPECIAL REFERENCIA AL EMPLEO PÚBLICO LOCAL

5. GARANTÍAS EN MATERIA DE PROTECCIÓN DE DATOS EN LAS EELL

6. RÉGIMEN DE CONTROL EN MATERIA DE PROTECCIÓN DE DATOS EN LAS EELL

7. FAQ (PREGUNTAS FRECUENTES)

Capítulo 7

Problemática específica en las entidades locales

1. INTRODUCCIÓN

1.1. Hoja de ruta de la entidad local. Especial incidencia en cuanto a la novedosa designación del delegad@ de protección de datos

Capítulo 8

SAM, diputaciones y corresponsabilidad en materia de protección de datos y esquema nacional de seguridad. Solución más correcta

1. CONSIDERACIONES PREVIAS

2. OBLIGACIONES FORMALES SEGÚN NORMATIVA DE PROTECCIÓN DE DATOS

2.1. Elaboración del Registro de Actividades de Tratamiento

2.2. Designación del Delegado de Protección de Datos

2.3. Notificación de las posibles brechas de seguridad

2.4. Verificación de las relaciones con los Encargados de Tratamiento

2.5. Elaboración de los contratos de confidencialidad y deber de secreto de los trabajadores

2.6. Evaluación de Impacto en Materia de Protección de Datos

2.7. Auditoría de Protección de Datos

3. SERVICIO DE ASISTENCIA A MUNICIPIOS Y CORRESPONSABILIDAD EN MATERIA DE PROTECCIÓN DE DATOS

4. REPERCUSIÓN DE LA MATERIA DE PROTECCIÓN DE DATOS EN DIFERENTES ÁMBITOS DE ACTUACIÓN EN LAS DIPUTACIONES PROVINCIALES Y MUNICIPIOS

4.1. En el ámbito del procedimiento administrativo y en la tramitación electrónica de los procedimientos

4.2. Protección de datos y transparencia

5. EL ESQUEMA NACIONAL DE SEGURIDAD (ENS)

5.1. Marco normativo

5.2. Ámbito de aplicación

5.3. Sede Electrónica

5.4. Proceso de implantación

6. INTERRELACIÓN ENTRE LAS DIPUTACIONES PROVINCIALES Y EL ESQUEMA NACIONAL DE SEGURIDAD (ENS)

6.1. Adaptación al ENS por parte de las entidades locales

7. LA NECESARIA ADECUACIÓN DE LA ESTRUCTURA ORGÁNICA DE LAS DIPUTACIONES PROVINCIALES AL RGPD, A LA LOPDGDD Y AL ENS: EL MODELO DE LA OFICINA PROVINCIAL DE GESTIÓN Y DE SEGURIDAD DE LA INFORMACIÓN

8. CONSIDERACIONES FINALES

9. FAQS/PREGUNTAS FRECUENTES

10. JURISPRUDENCIA SOBRE LA CORRESPONSABILIDAD EN EL TRATAMIENTO DE DATOS PERSONALES

11. BIBLIOGRAFÍA

12. INFORMES, GUÍAS, DICTÁMENES, ESTÁNDARES, NOTAS INFORMATIVAS Y OTROS DOCUMENTOS DE INTERÉS EN LA MATERIA