Lei Orgánica 3/2018, do 5 de decembro, de Protección de Datos Persoais e Garantía dos Dereitos Dixitais. Novas obrigas para o sector público

Descargar documento da Axencia Española de Protección de Datos sobre Novidades da Lei Orgánica 3/2018 para o sector público.

Os órganos e organismos do Sector Público quedan obrigados a publicar no seu web o inventario das actividades de tratamento de datos persoais que realizan, identificando quen trata os datos, con que finalidade e que base xurídica lexitima ese tratamento.

No Portal da Transparencia recóllese de forma centralizada toda a información dos Rexistros de actividades de tratamento.

Os órganos e organismos do Sector Público quedan obrigados a incluír na súa páxina web información clara e precisa destinada aos administrados e as administradas sobre o exercicio dos dereitos de acceso, rectificación, supresión, dereito á limitación do tratamento, así como á portabilidade e oposición.

Os órganos e organismos do Sector Público poden verificar, sen necesidade de solicitar consentimento da persoa interesada ou , a exactitude dos datos persoais manifestados polos cidadáns e cidadás que obren en poder dos órganos e organismos do Sector Público.

Xa a lei 30/1992 recoñecía aos administrados e as administradas o dereito a non achegar aos procedementos administrativos os documentos que obrasen en poder da Administración, ou que fosen elaborados por esta. A base xurídica do tratamento dos datos persoais pola Administración era o consentimento do administrado ou administrada, que se entendía tácitamente concedido se a persoa interesada non se opuña expresamente.

Tanto o Regulamento Xeral de Protección de Datos como a nova Lei Orgánica eliminan a necesidade de solicitar o consentimento, nin sequera tácito, do cidadán ou cidadá, ao establecer como base xurídica legitimadora principal do tratamento de datos persoais por órganos e organismos do Sector Público o cumprimento dunha misión en interese público ou, particularmente, o exercicio de poderes públicos.

Así mesmo, a nova redacción outorgada pola Lei Orgánica ao artigo 28 da Lei 39/2015 recoñece á persoa interesada a posibilidade de oporse a que órganos e organismos do Sector Público consulten ou soliciten os citados documentos, pero nese caso o administrado ou administrada deberá achegalos necesariamente para que a Administración poida coñecer que concorren nel os requisitos establecidos pola norma. En caso contrario non poderán estimar a súa solicitude, precisamente porque non demostraría os requisitos requiridos.

En todo caso, este dereito de oposición non xoga nos casos de potestades de verificación ou inspección.

A nova Lei impide o uso conxunto apelidos, nome e número completo do documento de identificación oficial das persoas naqueles actos administrativos que vaian ser obxecto de publicación ou notificación por medio de anuncios.

A partir da entrada en vigor da Lei Orgánica:

• Cando un acto administrativo débase publicar identificarase á persoa mediante o seu nome e apelidos, engadindo catro cifras numéricas aleatorias do seu documento identificativo oficial.
• Cando se trate de notificacións por medio de anuncios identificarase á persoa exclusivamente co número do seu documento identificativo.

En ambos os casos, cando a persoa careza de documento identificativo identificaralla só mediante o seu nome e apelidos.

Os órganos e organismos do Sector Público poden comunicar os datos persoais dos administrados e administradas a suxeitos de dereito privado que o soliciten:

1. ou ben cando conten co consentimento dos administrados ou administradas.
2. ou ben, cando aprecien que concorre no suxeito privado solicitante un interese lexítimo que prevaleza sobre os dereitos e intereses dos administrados ou administradas concernidos.

Os órganos e organismos do Sector Público teñen obriga de designar un Delegado de Protección de Datos que conte coa debida cualificación, de garantirlle os medios necesarios para o exercicio das súas funcións e de notificar a designación á AEPD para a súa inclusión no Rexistro público de Delegados de Protección de Datos.

O Delegado de Protección de Datos non ten responsabilidade a título persoal, por este mero feito, polas posibles infraccións en materia de protección de datos cometidas pola súa organización.

O Delegado de Protección de Datos do órgano ou organismo do Sector Público debe recibir as reclamacións que lles dirixan os administrados e as administradas uando opten por esta vía antes de expor unha reclamación ante a AEPD, e comunicará a decisión adoptada ao administrado ou administrada no prazo máximo de dous meses.

Así mesmo, o Delegado de Protección de Datos deberá recibir as reclamacións que a AEPD decida trasladarlle con carácter previo ao comezo dun expediente sancionador. O Delegado debe comunicar a decisión adoptada ao administrado ou administrada e á AEPD no prazo máximo dun mes.

Desta forma, con carácter xeral, se o Delegado de Protección de Datos consegue que o responsable resolva por calquera destas dúas vías lareclamación, e sen prexuízo de que a persoa interesada posteriormente diríxase á AEPD, non se iniciaría expediente de declaración de infracción a esa Administración Pública.

As infraccións cometidas polos órganos e organismos do Sector Público serán sancionadas cun apercibimento con medidas correctoras e non terán sanción económica.

A resolución sancionadora da AEPD identificará o cargo responsable da infracción, notificarase ao infractor, ao seu superior xerárquico, ao Defensor do Pobo e publicarase na páxina web da AEPD e no diario oficial correspondente.

A resolución sancionadora poderá propor ao órgano ou organismo a iniciación de actuacións disciplinarias, cuxa resolución deberá ser comunicada polo órgano ou organismo do Sector Público á AEPD.

As infraccións sexan imputables a autoridades e directivos do Sector Público e acredítese a existencia de informes técnicos ou recomendacións que non fosen atendidos por estes, a resolución sancionadora incluirá unha amoestación coa identificación do cargo responsable e publicarase no diario oficial correspondente.

As autoridades públicas, os equipos de resposta a emerxencias informáticas (CERT), os equipos de resposta a incidentes de seguridade informática (CSIRT), os provedores de redes e servizos de comunicacións electrónicas e os provedores de tecnoloxías e servizos de seguridade poden tratar os datos persoais contidos nas notificacións de incidentes de seguridade exclusivamente durante o tempo e alcance necesarios para a súa análise, detección, protección e resposta, adoptando sempre as medidas de seguridade adecuadas e proporcionadas ao nivel de risco.

A nova Lei Orgánica establece que a base legitimadora do tratamento de datos persoais que realizan os rexistros de persoal do sector público é o exercicio de potestades públicas.

Estes rexistros poden tratar os datos persoais que sexan estritamente necesarios para o cumprimento dos seus fins relativos a infraccións e condenas penais e infraccións e sancións administrativas, dos que deberán ser informados de maneira expresa, clara e inequívoca.

A Lei Orgánica garante o dereito á intimidade dos empregados e as empregadas públicos no lugar de traballo fronte ao uso de dispositivos de videovigilancia e de gravación de sons, así como fronte ao uso dos dispositivos dixitais e sistemas de xeolocalización.

Os contratos de encarga de tratamento de datos persoais entre os órganos e organismos do Sector Público (como responsables) e outros órganos ou organismos do sector público ou terceiros (como encargados de tratamento) subscritos antes do 25 de maio de 2018 manterán a súa vixencia como máximo ata o 25 de maio de 2022.

Os órganos e organismos do Sector Público manterán o control sobre os datos persoais das persoas usuarias dos servizos públicos aínda que finalizase a vixencia do contrato de concesión de servizos.

No Sector Público, un concesionario de servizos, encargado do tratamento de datos persoais, non se converte nunca en responsable aínda que estableza relacións coas persoas a cuxos datos accedeu en virtude da prestación do servizo.

O Goberno debe remitir no prazo dun ano desde a entrada en vigor da Lei Orgánica un proxecto de lei dirixido a garantir un uso dos medios dixitais que sexa seguro e adecuado.

As Comunidades Autónomas disporán do mesmo prazo para incluír nos currículos os contidos precisos para garantir a plena inserción do alumnado na sociedade dixital e asegurar unha formación adecuada de todo o persoal docente.

A nova Lei Orgánica flexibiliza o tratamento de datos para a investigación en saúde:

• amplía as finalidades para as que se pode outorgar o consentimento ao tratamento,
• recolle a posibilidade de reutilizar a información sobre a que se xa se prestou consentimento con anterioridade,
• recolle o uso de datos pseudonimizados como unha opción para facilitar a investigación sanitaria incluíndo garantías para evitar a reidentificación das persoas afectadas,
• regula as garantías deste tratamento, incluíndo a intervención dos Comités de Ética da Investigación ou, na súa falta, do Delegado de Protección de Datos ou dun experto en protección de datos persoais.