Acceder al contenido principal

Sección con el contenido principal

Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i Garantia dels Drets Digitals. Noves obligacions per al sector públic


Descarregar document de l'Agència Espanyola de Protecció de Dades sobre Novetats de la Llei Orgànica 3/2018 per al sector públic.

Publicació del Registre d'activitats de tractament de l'òrgan o organisme del Sector Públic

Els òrgans i organismes del Sector Públic queden obligats a publicar en el seu web l'inventari de les activitats de tractament de dades personals que realitzen, identificant qui tracta les dades, amb quina finalitat i quina base jurídica legitima eixe tractament.

En el Portal de la Transparència s'arreplega de forma centralitzada tota la informació dels Registres d'activitats de tractament.

Obligació d'informació a la ciutadania sobre l'exercici dels seus drets

Els òrgans i organismes del Sector Públic queden obligats a incloure en la seua pàgina web informació clara i precisa destinada als administrats i les administrades sobre l'exercici de els drets d'accés, rectificació, supressió, dret a la limitació de el tractament, així com a la portabilitat i oposició.

Potestat de verificació de les dades personals dels ciutadans i ciutadanes

Els òrgans i organismes del Sector Públic poden verificar, sense necessitat de sol·licitar consentiment de la persona interessada o , l'exactitud de les dades personals manifestades pels ciutadans i ciutadanes que obren en poder dels òrgans i organismes del Sector Públic.

Nova regulació de l'aportació de documentació per part de la ciutadania: modificació de l'article 28 de la Llei 39/2015

Ja la llei 30/1992 reconeixia als administrats i les administrades el dret a no aportar als procediments administratius els documents que obraren en poder de la Administració, o que hagueren sigut elaborats per esta. La base jurídica de el tractament de les dades personals per l'Administració era el consentiment de el administrat o administrada, que s'entenia tàcitament concedit si la persona interessada no s'oposava expressament.

Tant el Reglament General de Protecció de Dades com la nova Llei Orgànica eliminen la necessitat de recaptar el consentiment, ni tan sols tàcit, de el ciutadà o ciutadana, en establir com a base jurídica legitimadora principal del tractament de dades personals per òrgans i organismes del Sector Públic el compliment de una missió en interés públic o, particularment, l'exercici de poders públics.

Així mateix, la nova redacció atorgada per la Llei Orgànica a l'article 28 de la Llei 39/2015 reconeix a la persona  interessada la possibilitat d'oposar-se al fet que òrgans i organismes del Sector Públic consulten o recapten els citats documents, però en eixe cas l'administrat o administrada haurà d'aportar-los necessàriament perquè la Administració puga conéixer que concorren en ell els requisits establits per la norma. En cas contrari no podran estimar la seua sol·licitud, precisament perquè no hauria demostrat els requisits requerits.

En tot cas, aquest dret d'oposició no juga en els casos de potestats de verificació o inspecció.

Notificació d'actes administratius: identificació dels ciutadans i ciutadanes

La nova Llei impedix l'ús conjunt cognoms, nom i nombre complet de el document d'identificació oficial de les persones en aquells actes administratius que vagen a ser objecte de publicació o notificació per mitjà d'anuncis.

A partir de l'entrada en vigor de la Llei Orgànica:

  • Quan un acte administratiu s'haja de publicar s'identificarà a la persona mitjançant el seu nom i cognoms, afegint quatre xifres numèriques aleatòries del seu document identificatiu oficial.
  • Quan es tracte de notificacions per mitjà d'anuncis s'identificarà a la persona exclusivament amb el nombre del seu document identificatiu.

En tots dos casos, quan la persona manque de document identificatiu li l'identificarà només mitjançant el seu nom i cognoms.

Comunicació de dades personals dels administrats i administrades a subjectes privats

Els òrgans i organismes del Sector Públic poden comunicar les dades personals dels administrats i administrades a subjectes de dret privat que ho sol·liciten:

  1. o bé quan compten amb el consentiment dels administrats o administrades.
  2. o bé, quan aprecien que concorre en el subjecte privat sol·licitant un interés legítim que prevalga sobre els drets i interessos dels administrats o administrades concernits.

Designación de un Delegado de Protección de Datos (DPD) i comunicació de la designació a l'AEPD

Els òrgans i organismes del Sector Públic tenen obligació de designar un Delegat de Protecció de Dades que compte amb la deguda qualificació, de garantir-li els mitjans necessaris per a l'exercici de les seues funcions i de notificar la designació a l'AEPD para la seua inclusió en el Registre públic de Delegats de Protecció de Dades.

El Delegat de Protecció de Dades no té responsabilitat a títol personal, per este mer fet, per les possibles infraccions en matèria de protecció de dades comeses per la seua organització.

Intervenció del Delegat de Protecció de Dades en la resolució de reclamacions en el Sector Públic

El Delegat de Protecció de Dades de l'òrgan o organisme del Sector Públic ha de rebre les reclamacions que els dirigisquen els administrats i les administrades uando opten per esta via abans de plantejar una reclamació davant l'AEPD, i comunicarà la decisió adoptada a l'administrat o administrada en el termini màxim de dos mesos. 

Així mateix, el Delegat de Protecció de Dades haurà de rebre les reclamacions que l'AEPD decidisca traslladar-li amb caràcter previ a l'inici d'un expedient sancionador. El Delegat ha de comunicar la decisió adoptada a l'administrat o administrada i a l'AEPD en el termini màxim d'un mes.

D'esta forma, amb caràcter general, si el Delegat de Protecció de Dades aconseguix que el responsable resolga per qualsevol d'estes dos vies lareclamación, i sense perjuí que la persona interessada posteriorment es dirigisca a l'AEPD, no s'iniciaria expedient de declaració d'infracció a eixa Administració Pública.

Major transparència de les sancions imposades al Sector Públic

Les infraccions comeses pels òrgans i organismes del Sector Públic seran sancionades amb una prevenció amb mesures correctores i no tindran sanció econòmica.

La resolució sancionadora de l'AEPD identificarà el càrrec responsable de la infracció, es notificarà a l'infractor, al seu superior jeràrquic, al Defensor del Poble i es publicarà en la pàgina web de l'AEPD i en el diari oficial corresponent. 

La resolució sancionadora podrà proposar a l'òrgan o organisme la iniciació de actuacions disciplinàries, la resolució de les quals haurà de ser comunicada per l'òrgan o organisme del Sector Públic a l'AEPD.

Les infraccions siguen imputables a autoritats i directius del Sector Públic i es acredite l'existència d'informes tècnics o recomanacions que no hagueren sigut atesos per estos, la resolució sancionadora inclourà una amonestació amb la identificació del càrrec responsable i es publicarà en el diari oficial corresponent.

Tractament de dades personals en la notificació d'incidents de seguretat

Les autoritats públiques, els equips de resposta a emergències informàtiques (CERT), els equips de resposta a incidents de seguretat informàtica (CSIRT), els proveïdors de xarxes i servicis de comunicacions electròniques i els proveïdors de tecnologies i servicis de seguretat poden tractar les dades personals continguts en les notificacions d'incidents de seguretat exclusivament durant el temps i abast necessaris per a la seua anàlisi, detecció, protecció i resposta, adoptant sempre les mesures de seguretat adequades i proporcionades al nivell de risc.

Registres de personal del sector públic: legitimació del tractament

La nova Llei Orgànica establix que la base legitimadora del tractament de dades personals que realitzen els registres de personal del sector públic és l'exercici de potestats públiques. 

Estos registres poden tractar les dades personals que siguen estrictament necessaris per al compliment de les seues finalitats relatives a infraccions i condemnes penals i infraccions i sancions administratives, dels quals hauran de ser informats de manera expressa, clara i inequívoca.

Drets dels empleats i les empleades públics: major intimitat

La Llei Orgànica garantix el dret a la intimitat dels empleats i les empleades públics en el lloc de treball enfront de l'ús de dispositius de videovigilancia i de gravació de sons, així com enfront de l'ús dels dispositius digitals i sistemes de geolocalització.

Adaptació a la Llei Orgànica dels contractes per encàrrec de tractament de dades personals

Els contractes per encàrrec de tractament de dades personals entre els òrgans i organismes del Sector Públic (com a responsables) i altres òrgans o organismes de el sector públic o tercers (com a encarregats de tractament) subscrits abans del 25 de maig de 2018 mantindran la seua vigència com a màxim fins al 25 de maig de 2022.

Tractament de dades personals per concessionaris de servicis públics

Els òrgans i organismes del Sector Públic mantindran el control sobre les dades personals de les persones usuàries dels servicis públics encara que haja finalitzat la vigència del contracte de concessió de servicis.

En el Sector Públic, un concessionari de servicis, encarregat del tractament de dades personals, no es convertix mai en responsable encara que establisca relacions amb les persones a les dades de les quals ha accedit en virtut de la prestació de el servici.

Educació per a la digitalització

El Govern ha de remetre en el termini d'un any des de l'entrada en vigor de la Llei Orgànica un projecte de llei dirigit a garantir un ús dels mitjans digitals que siga segur i adequat. 

Les Comunitats Autònomes disposaran del mateix termini per a incloure en els currículums els continguts precisos per a garantir la plena inserció de l'alumnat en la societat digital i assegurar una formació adequada de tot el personal docent.

Tractament de dades personals en investigació sanitària

La nova Llei Orgànica flexibilitza el tractament de dades per a la investigació en salut:

  • amplia les finalitats per a les quals es pot atorgar el consentiment a el tractament, 
  • arreplega la possibilitat de reutilitzar la informació sobre la qual es ja s'haja prestat consentiment amb anterioritat, 
  • arreplega l'ús de dades pseudonimizados com una opció per a facilitar la investigació sanitària incloent garanties per a evitar la reidentificación de les persones afectades,
  • regula les garanties d'este tractament, incloent la intervenció dels Comités d'Ètica de la Investigació o, en defecte d'això, del Delegat de Protecció de Dades o d'un expert en protecció de dades personals.