Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales. Nuevas obligaciones para el sector público

Descarregar document de l'Agència Espanyola de Protecció de Dades sobre Novetats de la Llei orgànica 3/2018 per al sector públic.

Els òrgans i organismes del Sector Públic queden obligats a publicar en el seu web l'inventari de les activitats de tractament de dades personals que realitzen, identificant qui tracta les dades, amb quina finalitat i quina base jurídica legitima aquest tractament.

En el Portal de la Transparència es recull de forma centralitzada tota la informació dels Registres d'activitats de tractament.

Els òrgans i organismes del Sector Públic queden obligats a incloure en la seva pàgina web informació clara i precisa destinada als administrats i les administrades sobre l'exercici dels drets d'accés, rectificació, supressió, dret a la limitació del tractament, així com a la portabilitat i oposició.

Els òrgans i organismes del Sector Públic poden verificar, sense necessitat de sol·licitar consentiment de la persona interessada o , l'exactitud de les dades personals manifestades pels ciutadans i ciutadanes que obrin en poder dels òrgans i organismes del Sector Públic.

Ja la llei 30/1992 reconeixia als administrats i les administrades el dret a no aportar als procediments administratius els documents que obressin en poder de l'Administració, o que haguessin estat elaborats per aquesta. La base jurídica del tractament de les dades personals per l'Administració era el consentiment de l'administrat o administrada, que s'entenia tàcitament concedit si la persona interessada no s'oposava expressament.

Tant el Reglament General de Protecció de Dades com la nova Llei orgànica eliminen la necessitat de recaptar el consentiment, ni tan sols tàcit, del ciutadà o ciutadana, en establir com a base jurídica legitimadora principal del tractament de dades personals per òrgans i organismes del Sector Públic el compliment d'una missió en interès públic o, particularment, l'exercici de poders públics.

Així mateix, la nova redacció atorgada per la Llei orgànica a l'article 28 de la Llei 39/2015 reconeix a la persona interessada la possibilitat d'oposar-se al fet que òrgans i organismes del Sector Públic consultin o recaptin els citats documents, però en aquest cas l'administrat o administrada haurà d'aportar-los necessàriament perquè l'Administració pugui conèixer que concorren en ell els requisits establerts per la norma. En cas contrari no podran estimar la seva sol·licitud, precisament perquè no hauria demostrat els requisits requerits.

En todo caso, dicho derecho de oposición no juega en los casos de potestades de verificación o inspección.

La nova Llei impedeix l'ús conjunt cognoms, nom i número complet del document d'identificació oficial de les persones en aquells actes administratius que vagin a ser objecte de publicació o notificació per mitjà d'anuncis.

A partir de l'entrada en vigor de la Llei orgànica:

• Quan un acte administratiu s'hagi de publicar s'identificarà a la persona mitjançant el seu nom i cognoms, afegint quatre xifres numèriques aleatòries del seu document identificatiu oficial.
• Quan es tracti de notificacions per mitjà d'anuncis s'identificarà a la persona exclusivament amb el número del seu document identificatiu.

En tots dos casos, quan la persona manqui de document identificatiu se la identificarà només mitjançant el seu nom i cognoms.

Els òrgans i organismes del Sector Públic poden comunicar les dades personals dels administrats i administrades a subjectes de dret privat que el sol·licitin:

1. o bien cuando cuenten con el consentimiento de los administrados o administradas.
2. o bé, quan apreciïn que concorre en el subjecte privat sol·licitant un interès legítim que prevalgui sobre els drets i interessos dels administrats o administrades concernits.

Els òrgans i organismes del Sector Públic tenen obligació de designar un Delegat de Protecció de Dades que compti amb la deguda qualificació, de garantir-li els mitjans necessaris per a l'exercici de les seves funcions i de notificar la designació a l'AEPD per a la seva inclusió en el Registre públic de Delegats de Protecció de Dades.

El Delegat de Protecció de Dades no té responsabilitat a títol personal, per aquest mer fet, per les possibles infraccions en matèria de protecció de dades comeses per la seva organització.

El Delegat de Protecció de Dades de l'òrgan o organisme del Sector Públic ha de rebre les reclamacions que els dirigeixin els administrats i les administrades uando optin per aquesta via abans de plantejar una reclamació davant l'AEPD, i comunicarà la decisió adoptada a l'administrat o administrada en el termini màxim de dos mesos.

Així mateix, el Delegat de Protecció de Dades haurà de rebre les reclamacions que l'AEPD decideixi traslladar-li amb caràcter previ a l'inici d'un expedient sancionador. El Delegat ha de comunicar la decisió adoptada a l'administrat o administrada i a l'AEPD en el termini màxim d'un mes.

D'aquesta manera, amb caràcter general, si el Delegat de Protecció de Dades aconsegueix que el responsable resolgui per qualsevol d'aquestes dues vies lareclamación, i sense perjudici que la persona interessada posteriorment es dirigeixi a l'AEPD, no s'iniciaria expedient de declaració d'infracció a aquesta Administració Pública.

Les infraccions comeses pels òrgans i organismes del Sector Públic seran sancionades amb una prevenció amb mesures correctores i no tindran sanció econòmica.

La resolución sancionadora de la AEPD identificará el cargo responsable de la infracción, se notificará al infractor, a su superior jerárquico, al Defensor del Pueblo y se publicará en la página web de la AEPD y en el diario oficial correspondiente.

La resolució sancionadora podrà proposar a l'òrgan o organisme la iniciació d'actuacions disciplinàries, la resolució de les quals haurà de ser comunicada per l'òrgan o organisme del Sector Públic a l'AEPD.

Les infraccions siguin imputables a autoritats i directius del Sector Públic i s'acrediti l'existència d'informes tècnics o recomanacions que no haguessin estat atesos per aquests, la resolució sancionadora inclourà una amonestació amb la identificació del càrrec responsable i es publicarà en el diari oficial corresponent.

Les autoritats públiques, els equips de resposta a emergències informàtiques (CERT), els equips de resposta a incidents de seguretat informàtica (CSIRT), els proveïdors de xarxes i serveis de comunicacions electròniques i els proveïdors de tecnologies i serveis de seguretat poden tractar les dades personals continguts en les notificacions d'incidents de seguretat exclusivament durant el temps i abast necessaris per a la seva anàlisi, detecció, protecció i resposta, adoptant sempre les mesures de seguretat adequades i proporcionades al nivell de risc.

La nueva Ley Orgánica establece que la base legitimadora del tratamiento de datos personales que realizan los registros de personal del sector público es el ejercicio de potestades públicas.

Estos registros pueden tratar los datos personales que sean estrictamente necesarios para el cumplimiento de sus fines relativos a infracciones y condenas penales e infracciones y sanciones administrativas, de los que deberán ser informados de manera expresa, clara e inequívoca.

La Llei orgànica garanteix el dret a la intimitat dels empleats i les empleades públics en el lloc de treball enfront de l'ús de dispositius de videovigilància i d'enregistrament de sons, així com enfront de l'ús dels dispositius digitals i sistemes de geolocalització.

Els contractes per encàrrec de tractament de dades personals entre els òrgans i organismes del Sector Públic (com a responsables) i altres òrgans o organismes del sector públic o tercers (com a encarregats de tractament) subscrits abans del 25 de maig de 2018 mantindran la seva vigència com a màxim fins al 25 de maig de 2022.

Els òrgans i organismes del Sector Públic mantindran el control sobre les dades personals de les persones usuàries dels serveis públics encara que hagi finalitzat la vigència del contracte de concessió de serveis.

En el Sector Públic, un concessionari de serveis, encarregat del tractament de dades personals, no es converteix mai en responsable encara que estableixi relacions amb les persones a les dades de les quals ha accedit en virtut de la prestació del servei.

El Govern ha de remetre en el termini d'un any des de l'entrada en vigor de la Llei Orgànica un projecte de llei dirigit a garantir un ús dels mitjans digitals que sigui segur i adequat.

Las Comunidades Autónomas dispondrán del mismo plazo para incluir en los currículos los contenidos precisos para garantizar la plena inserción del alumnado en la sociedad digital y asegurar una formación adecuada de todo el personal docente.

La nova Llei orgànica flexibilitza el tractament de dades per a la recerca en salut:

• amplia les finalitats per a les quals es pot atorgar el consentiment al tractament,
• recoge la posibilidad de reutilizar la información sobre la que se ya se haya prestado consentimiento con anterioridad,
• recull l'ús de dades pseudonimizados com una opció per a facilitar la recerca sanitària incloent garanties per a evitar la reidentificación de les persones afectades,
• regula les garanties d'aquest tractament, incloent la intervenció dels Comitès d'Ètica de la Recerca o, en defecte d'això, del Delegat de Protecció de Dades o d'un expert en protecció de dades personals.