Acceder al contenido principal

Sección con el contenido principal

Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i Garantia dels Drets Digitals. Noves obligacions per al sector públic


Descarregar document de l'Agència Espanyola de Protecció de Dades sobre Novetats de la Llei Orgànica 3/2018 per al sector públic.

Publicació del Registre d'activitats de tractament de l'òrgan o organisme del Sector Públic

Els òrgans i organismes del Sector Públic queden obligats a publicar al seu web l'inventari de les activitats de tractament de dades personals que realitzen, identificant qui tracta les dades, amb quina finalitat i quina base jurídica legitima aquest tractament.

Al Portal de la Transparència es recull de forma centralitzada tota la informació dels Registres d'activitats de tractament.

Obligació d'informació a la ciutadania sobre l'exercici dels seus drets

Els òrgans i organismes del Sector Públic queden obligats a incloure a la seva pàgina web informació clara i precisa destinada als administrats i les administrades sobre l'exercici de els drets d'accés, rectificació, supressió, dret a la limitació de el tractament, així com a la portabilitat i oposició.

Potestat de verificació de les dades personals dels ciutadans i ciutadanes

Els òrgans i organismes del Sector Públic poden verificar, sense necessitat de sol·licitar consentiment de la persona interessada o , l'exactitud de les dades personals manifestades pels ciutadans i ciutadanes que obrin en poder dels òrgans i organismes del Sector Públic.

Nova regulació de l'aportació de documentació per part de la ciutadania: modificació de l'article 28 de la Llei 39/2015

Ja la llei 30/1992 reconeixia als administrats i les administrades el dret a no aportar als procediments administratius els documents que obressin en poder de la Administració, o que haguessin estat elaborats per aquesta. La base jurídica de el tractament de les dades personals per l'Administració era el consentiment de el administrat o administrada, que s'entenia tàcitament concedit si la persona interessada no s'oposava expressament.

Tant el Reglament General de Protecció de Dades com la nova Llei Orgànica eliminen la necessitat de recaptar el consentiment, ni tan sols tàcit, de el ciutadà o ciutadana, en establir com a base jurídica legitimadora principal del tractament de dades personals per òrgans i organismes del Sector Públic el compliment de una missió en interès públic o, particularment, l'exercici de poders públics.

Així mateix, la nova redacció atorgada per la Llei Orgànica a l'article 28 de la Llei 39/2015 reconeix a la persona  interessada la possibilitat d'oposar-se al fet que òrgans i organismes del Sector Públic consultin o recaptin els citats documents, però en aquest cas l'administrat o administrada haurà d'aportar-los necessàriament perquè la Administració pugui conèixer que concorren en ell els requisits establerts per la norma. En cas contrari no podran estimar la seva sol·licitud, precisament perquè no hauria demostrat els requisits requerits.

En tot cas, aquest dret d'oposició no juga en els casos de potestats de verificació o inspecció.

Notificació d'actes administratius: identificació dels ciutadans i ciutadanes

La nova Llei impedeix l'ús conjunt cognoms, nom i nombre complet de el document d'identificació oficial de les persones en aquells actes administratius que vagin a ser objecte de publicació o notificació per mitjà d'anuncis.

A partir de l'entrada en vigor de la Llei Orgànica:

  • Quan un acte administratiu s'hagi de publicar s'identificarà a la persona mitjançant el seu nom i cognoms, afegint quatre xifres numèriques aleatòries del seu document identificatiu oficial.
  • Quan es tracti de notificacions per mitjà d'anuncis s'identificarà a la persona exclusivament amb el nombre del seu document identificatiu.

En tots dos casos, quan la persona manqui de document identificatiu la hi identificarà només mitjançant el seu nom i cognoms.

Comunicació de dades personals dels administrats i administrades a subjectes privats

Els òrgans i organismes del Sector Públic poden comunicar les dades personals dels administrats i administrades a subjectes de dret privat que ho sol·licitin:

  1. o bé quan comptin amb el consentiment dels administrats o administrades.
  2. o bé, quan apreciïn que concorre en el subjecte privat sol·licitant un interès legítim que prevalgui sobre els drets i interessos dels administrats o administrades concernits.

Designación de un Delegado de Protección de Datos (DPD) i comunicació de la designació a l'AEPD

Els òrgans i organismes del Sector Públic tenen obligació de designar un Delegat de Protecció de Dades que compti amb la deguda qualificació, de garantir-li els mitjans necessaris per a l'exercici de les seves funcions i de notificar la designació a l'AEPD para la seva inclusió en el Registre públic de Delegats de Protecció de Dades.

El Delegat de Protecció de Dades no té responsabilitat a títol personal, per aquest mer fet, per les possibles infraccions en matèria de protecció de dades comeses per la seva organització.

Intervenció del Delegat de Protecció de Dades en la resolució de reclamacions en el Sector Públic

El Delegat de Protecció de Dades de l'òrgan o organisme del Sector Públic ha de rebre les reclamacions que els dirigeixin els administrats i les administrades uando optin per aquesta via abans de plantejar una reclamació davant l'AEPD, i comunicarà la decisió adoptada a l'administrat o administrada en el termini màxim de dos mesos. 

Així mateix, el Delegat de Protecció de Dades haurà de rebre les reclamacions que l'AEPD decideixi traslladar-li amb caràcter previ a l'inici d'un expedient sancionador. El Delegat ha de comunicar la decisió adoptada a l'administrat o administrada i a l'AEPD en el termini màxim d'un mes.

D'aquesta forma, amb caràcter general, si el Delegat de Protecció de Dades aconsegueix que el responsable resolgui per qualsevol d'aquestes dues vies lareclamación, i sense perjudici que la persona interessada posteriorment es dirigeixi a l'AEPD, no s'iniciaria expedient de declaració d'infracció a aquesta Administració Pública.

Major transparència de les sancions imposades al Sector Públic

Les infraccions comeses pels òrgans i organismes del Sector Públic seran sancionades amb una prevenció amb mesures correctores i no tindran sanció econòmica.

La resolució sancionadora de l'AEPD identificarà el càrrec responsable de la infracció, es notificarà a l'infractor, al seu superior jeràrquic, al Defensor del Poble i es publicarà a la pàgina web de l'AEPD i en el diari oficial corresponent. 

La resolució sancionadora podrà proposar a l'òrgan o organisme la iniciació de actuacions disciplinàries, la resolució de les quals haurà de ser comunicada per l'òrgan o organisme del Sector Públic a l'AEPD.

Les infraccions siguin imputables a autoritats i directius del Sector Públic i es acrediti l'existència d'informes tècnics o recomanacions que no haguessin estat atesos per aquests, la resolució sancionadora inclourà una amonestació amb la identificació del càrrec responsable i es publicarà en el diari oficial corresponent.

Tractament de dades personals en la notificació d'incidents de seguretat

Les autoritats públiques, els equips de resposta a emergències informàtiques (CERT), els equips de resposta a incidents de seguretat informàtica (CSIRT), els proveïdors de xarxes i serveis de comunicacions electròniques i els proveïdors de tecnologies i serveis de seguretat poden tractar les dades personals continguts en les notificacions d'incidents de seguretat exclusivament durant el temps i abast necessaris per a la seva anàlisi, detecció, protecció i resposta, adoptant sempre les mesures de seguretat adequades i proporcionades al nivell de risc.

Registres de personal del sector públic: legitimació del tractament

La nova Llei Orgànica estableix que la base legitimadora del tractament de dades personals que realitzen els registres de personal del sector públic és l'exercici de potestats públiques. 

Aquests registres poden tractar les dades personals que siguin estrictament necessaris per al compliment de les seves finalitats relatives a infraccions i condemnes penals i infraccions i sancions administratives, dels quals hauran de ser informats de manera expressa, clara i inequívoca.

Drets dels empleats i les empleades públics: major intimitat

La Llei Orgànica garanteix el dret a la intimitat dels empleats i les empleades públics en el lloc de treball enfront de l'ús de dispositius de videovigilancia i d'enregistrament de sons, així com enfront de l'ús dels dispositius digitals i sistemes de geolocalització.

Adaptació a la Llei Orgànica dels contractes per encàrrec de tractament de dades personals

Els contractes per encàrrec de tractament de dades personals entre els òrgans i organismes del Sector Públic (com a responsables) i altres òrgans o organismes de el sector públic o tercers (com a encarregats de tractament) subscrits abans del 25 de maig de 2018 mantindran la seva vigència com a màxim fins al 25 de maig de 2022.

Tractament de dades personals per concessionaris de serveis públics

Els òrgans i organismes del Sector Públic mantindran el control sobre les dades personals de les persones usuàries dels serveis públics encara que hagi finalitzat la vigència del contracte de concessió de serveis.

En el Sector Públic, un concessionari de serveis, encarregat del tractament de dades personals, no es converteix mai en responsable encara que estableixi relacions amb les persones a les dades de les quals ha accedit en virtut de la prestació de el servei.

Educació per a la digitalització

El Govern ha de remetre en el termini d'un any des de l'entrada en vigor de la Llei Orgànica un projecte de llei dirigit a garantir un ús dels mitjans digitals que sigui segur/segur i adequat. 

Les Comunitats Autònomes disposaran del mateix termini per incloure en els currículums els continguts precisos per garantir la plena inserció de l'alumnat en la societat digital i assegurar una formació adequada de tot el personal docent.

Tractament de dades personals en recerca sanitària

La nova Llei Orgànica flexibilitza el tractament de dades per a la recerca en salut:

  • amplia les finalitats per les quals es pot atorgar el consentiment a el tractament, 
  • recull la possibilitat de reutilitzar la informació sobre la qual es ja s'hagi prestat consentiment amb anterioritat, 
  • recull l'ús de dades pseudonimizados com una opció per facilitar la recerca sanitària incloent garanties per evitar la reidentificación de les persones afectades,
  • regula les garanties d'aquest tractament, incloent la intervenció dels Comitès d'Ètica de la Recerca o, en defecte d'això, del Delegat de Protecció de Dades o d'un expert en protecció de dades personals.