Acceder al contenido principal

Sección con el contenido principal

Lei Orgánica 3/2018, do 5 de decembro, de Protección de Datos Persoais e Garantía dos Dereitos Dixitais. Novas obrigas para o sector público


Descargar documento da Axencia Española de Protección de Datos sobre Novidades da Lei Orgánica 3/2018 para o sector público.

Publicación do Rexistro de actividades de tratamento do órgano ou organismo do Sector Público

Os órganos e organismos do Sector Público quedan obrigados a publicar na súa web o inventario das actividades de tratamento de datos persoais que realizan, identificando quen trata os datos, con que finalidade e que base xurídica lexitima ese tratamento.

No Portal da Transparencia recóllese de forma centralizada toda a información dos Rexistros de actividades de tratamento.

Obriga de información á cidadanía sobre o exercicio dos seus dereitos

Os órganos e organismos do Sector Público quedan obrigados a incluír na súa páxina web información clara e precisa destinada aos administrados e as administradas sobre o exercicio de os dereitos de acceso, rectificación, supresión, dereito á limitación de o tratamento, así como á portabilidade e oposición.

Potestade de verificación dos datos persoais dos cidadáns e cidadás

Os órganos e organismos do Sector Público poden verificar, sen necesidade de solicitar consentimento da persoa interesada ou , a exactitude dos datos persoais manifestados polos cidadáns e cidadás que estean en poder dos órganos e organismos do Sector Público.

Nova regulación da achega de documentación por parte da cidadanía: modificación do artigo 28 da Lei 39/2015

Xa a lei 30/1992 recoñecía aos administrados e as administradas o dereito a non achegar a os procedementos administrativos os documentos que estivesen en poder de a Administración, ou que fosen elaborados por esta. A base xurídica de o tratamento dos datos persoais pola Administración era o consentimento de o administrado ou administrada, que se entendía tácitamente concedido se a persoa interesada non se opuña expresamente.

Tanto o Regulamento Xeral de Protección de Datos como a nova Lei Orgánica eliminan a necesidade de solicitar o consentimento, nin sequera tácito, de o cidadán ou cidadá, ao establecer como base xurídica legitimadora principal do tratamento de datos persoais por órganos e organismos do Sector Público o cumprimento de unha misión en interese público ou, particularmente, o exercicio de poderes públicos.

Así mesmo, a nova redacción outorgada pola Lei Orgánica ao artigo 28 da Lei 39/2015 recoñece á persoa  interesada a posibilidade de oporse a que órganos e organismos do Sector Público consulten ou soliciten os citados documentos, pero en ese caso o administrado ou administrada deberá achegalos necesariamente para que a Administración poida coñecer que concorren nel os requisitos establecidos por a norma. En caso contrario non poderán estimar a súa solicitude, precisamente porque non demostraría os requisitos requiridos.

En todo caso, este dereito de oposición non xoga nos casos de potestades de verificación ou inspección.

Notificación de actos administrativos: identificación dos cidadáns e cidadás

A nova Lei impide o uso conxunto apelidos, nome e número completo de o documento de identificación oficial das persoas naqueles actos administrativos que vaian ser obxecto de publicación ou notificación por medio de anuncios.

A partir da entrada en vigor da Lei Orgánica:

  • Cando un acto administrativo débase publicar identificarase á persoa mediante o seu nome e apelidos, engadindo catro cifras numéricas aleatorias do seu documento identificativo oficial.
  • Cando se trate de notificacións por medio de anuncios identificarase á persoa exclusivamente co número do seu documento identificativo.

En ambos os casos, cando a persoa careza de documento identificativo identificaralla só mediante o seu nome e apelidos.

Comunicación de datos persoais dos administrados e administradas a suxeitos privados

Os órganos e organismos do Sector Público poden comunicar os datos persoais dos administrados e administradas a suxeitos de dereito privado que o soliciten:

  1. ou ben cando conten co consentimento dos administrados ou administradas.
  2. ou ben, cando aprecien que concorre no suxeito privado solicitante un interese lexítimo que prevaleza sobre os dereitos e intereses de os administrados ou administradas concernidos.

Designación de un Delegado de Protección de Datos (DPD) e comunicación da designación á AEPD

Os órganos e organismos do Sector Público teñen obriga de designar un Delegado de Protección de Datos que conte coa debida cualificación, de garantirlle os medios necesarios para o exercicio das súas funcións e de notificar a designación á AEPD para a súa inclusión no Rexistro público de Delegados de Protección de Datos.

O Delegado de Protección de Datos non ten responsabilidade a título persoal, por este mero feito, polas posibles infraccións en materia de protección de datos cometidas pola súa organización.

Intervención do Delegado de Protección de Datos na resolución de reclamacións no Sector Público

O Delegado de Protección de Datos do órgano ou organismo do Sector Público debe recibir as reclamacións que lles dirixan os administrados e as administradas uando opten por esta vía antes de expor unha reclamación ante a AEPD, e comunicará a decisión adoptada ao administrado ou administrada no prazo máximo de dous meses. 

Así mesmo, o Delegado de Protección de Datos deberá recibir as reclamacións que a AEPD decida trasladarlle con carácter previo ao comezo dun expediente sancionador. O Delegado debe comunicar a decisión adoptada ao administrado ou administrada e á AEPD no prazo máximo dun mes.

Desta forma, con carácter xeral, se o Delegado de Protección de Datos consegue que o responsable resolva por calquera destas dúas vías lareclamación, e sen prexuízo de que a persoa interesada posteriormente diríxase á AEPD, non se iniciaría expediente de declaración de infracción a esa Administración Pública.

Maior transparencia das sancións impostas ao Sector Público

As infraccións cometidas polos órganos e organismos do Sector Público serán sancionadas cun apercibimento con medidas correctoras e non terán sanción económica.

A resolución sancionadora da AEPD identificará o cargo responsable de a infracción, notificarase ao infractor, ao seu superior xerárquico, ao Defensor do Pobo e publicarase na páxina web da AEPD e no diario oficial correspondente. 

A resolución sancionadora poderá propor ao órgano ou organismo a iniciación de actuacións disciplinarias, cuxa resolución deberá ser comunicada polo órgano ou organismo do Sector Público á AEPD.

As infraccións sexan imputables a autoridades e directivos do Sector Público e acredítese  a existencia de informes técnicos ou recomendacións que non fosen atendidos por estes, a resolución sancionadora incluirá unha amoestación con a identificación do cargo responsable e publicarase no diario oficial correspondente.

Tratamento de datos persoais na notificación de incidentes de seguridade

As autoridades públicas, os equipos de resposta a emerxencias informáticas (CERT), os equipos de resposta a incidentes de seguridade informática (CSIRT), os provedores de redes e servizos de comunicacións electrónicas e os provedores de tecnoloxías e servizos de seguridade poden tratar os datos persoais contidos nas notificacións de incidentes de seguridade exclusivamente durante o tempo e alcance necesarios para a súa análise, detección, protección e resposta, adoptando sempre as medidas de seguridade adecuadas e proporcionadas ao nivel de risco.

Rexistros de persoal do sector público: legitimación do tratamento

A nova Lei Orgánica establece que a base legitimadora do tratamento de datos persoais que realizan os rexistros de persoal do sector público é o exercicio de potestades públicas. 

Estes rexistros poden tratar os datos persoais que sexan estritamente necesarios para o cumprimento dos seus fins relativos a infraccións e condenas penais e infraccións e sancións administrativas, dos que deberán ser informados de maneira expresa, clara e inequívoca.

Dereitos dos empregados e as empregadas públicos: maior intimidade

A Lei Orgánica garante o dereito á intimidade dos empregados e as empregadas públicos en o lugar de traballo fronte ao uso de dispositivos de videovigilancia e de gravación de sons, así como fronte ao uso dos dispositivos dixitais e sistemas de geolocalización.

Adaptación á Lei Orgánica dos contratos de encarga de tratamento de datos persoais

Os contratos de encarga de tratamento de datos persoais entre os órganos e organismos do Sector Público (como responsables) e outros órganos ou organismos de o sector público ou terceiros (como encargados de tratamento) subscritos antes do 25 de maio de 2018 manterán a súa vixencia como máximo ata o 25 de maio de 2022.

Tratamento de datos persoais por concesionarios de servizos públicos

Os órganos e organismos do Sector Público manterán o control sobre os datos persoais das persoas usuarias dos servizos públicos aínda que finalizase a vixencia do contrato de concesión de servizos.

No Sector Público, un concesionario de servizos, encargado do tratamento de datos persoais, non se converte nunca en responsable aínda que estableza relacións coas persoas a cuxos datos accedeu en virtude da prestación de o servizo.

Educación para a dixitalización

O Goberno debe remitir no prazo dun ano desde a entrada en vigor da Lei Orgánica un proxecto de lei dirixido a garantir un uso dos medios dixitais que sexa seguro e adecuado. 

As Comunidades Autónomas disporán do mesmo prazo para incluír en os currículos os contidos precisos para garantir a plena inserción do alumnado en a sociedade dixital e asegurar unha formación adecuada de todo o persoal docente.

Tratamento de datos persoais en investigación sanitaria

A nova Lei Orgánica flexibiliza o tratamento de datos para a investigación en saúde:

  • amplía as finalidades para as que se pode outorgar o consentimento a o tratamento, 
  • recolle a posibilidade de reutilizar a información sobre a que se xa se prestou consentimento con anterioridade, 
  • recolle o uso de datos pseudonimizados como unha opción para facilitar a investigación sanitaria incluíndo garantías para evitar a reidentificación das persoas afectadas,
  • regula as garantías deste tratamento, incluíndo a intervención de os Comités de Ética da Investigación ou, na súa falta, do Delegado de Protección de Datos ou dun experto en protección de datos persoais.