Llei orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i Garantia dels Drets Digitals. Noves obligacions per al sector públic

Descarregar document de l'Agència Espanyola de Protecció de Dades sobre Novetats de la Llei orgànica 3/2018 per al sector públic.

Els òrgans i organismes del Sector Públic queden obligats a publicar en el seu web l'inventari de les activitats de tractament de dades personals que realitzen, identificant qui tracta les dades, amb quina finalitat i quina base jurídica legitima eixe tractament.

En el Portal de la Transparència es recull de forma centralitzada tota la informació dels Registres d'activitats de tractament.

Els òrgans i organismes del Sector Públic queden obligats a incloure en la seua pàgina web informació clara i precisa destinada als administrats i les administrades sobre l'exercici dels  drets d'accés, rectificació, supressió, dret a la limitació del tractament,  així com a la portabilitat i oposició.

Els òrgans i organismes del Sector Públic poden verificar, sense necessitat de sol·licitar consentiment de la persona interessada o , l'exactitud de les dades personals manifestades pels ciutadans i ciutadanes que obren en poder dels òrgans i organismes del Sector Públic.

Ja la llei 30/1992 reconeixia als administrats i les administrades el dret a no aportar als procediments administratius els documents que obraren en poder de l'Administració,  o que hagueren sigut elaborats per aquesta. La base jurídica del tractament  de les dades personals per l'Administració era el consentiment de l'administrat  o administrada, que s'entenia tàcitament concedit si la persona interessada no s'oposava expressament.

Tant el Reglament General de Protecció de Dades com la nova Llei orgànica eliminen la necessitat de recaptar el consentiment, ni tan sols tàcit, del ciutadà  o ciutadana, en establir com a base jurídica legitimadora principal del tractament de dades personals per òrgans i organismes del Sector Públic el compliment d'una  missió en interés públic o, particularment, l'exercici de poders públics.

Així mateix, la nova redacció atorgada per la Llei orgànica a l'article 28 de la Llei 39/2015 reconeix a la persona  interessada la possibilitat d'oposar-se al fet que òrgans i organismes del Sector Públic consulten o recapten els citats documents, però en eixe cas l'administrat o administrada haurà d'aportar-los necessàriament perquè l'Administració  puga conéixer que concorren en ell els requisits establits per la norma. En cas contrari no podran estimar la seua sol·licitud, precisament perquè no hauria demostrat els requisits requerits.

En tot cas, aquest dret d'oposició no juga en els casos de potestats de verificació o inspecció.

La nova Llei impedeix l'ús conjunt cognoms, nom i número complet del document  d'identificació oficial de les persones en aquells actes administratius que vagen a ser objecte de publicació o notificació per mitjà d'anuncis.

A partir de l'entrada en vigor de la Llei orgànica:

• Quan un acte administratiu s'haja de publicar s'identificarà a la persona mitjançant el seu nom i cognoms, afegint quatre xifres numèriques aleatòries del seu document identificatiu oficial.
• Quan es tracte de notificacions per mitjà d'anuncis s'identificarà a la persona exclusivament amb el número del seu document identificatiu.

En tots dos casos, quan la persona manque de document identificatiu se la identificarà només mitjançant el seu nom i cognoms.

Els òrgans i organismes del Sector Públic poden comunicar les dades personals dels administrats i administrades a subjectes de dret privat que el sol·liciten:

1. o bé quan compten amb el consentiment dels administrats o administrades.
2. o bé, quan aprecien que concorre en el subjecte privat sol·licitant un interés legítim que prevalga sobre els drets i interessos dels administrats o administrades concernits.

Els òrgans i organismes del Sector Públic tenen obligació de designar un Delegat de Protecció de Dades que compte amb la deguda qualificació, de garantir-li els mitjans necessaris per a l'exercici de les seues funcions i de notificar la designació a l'AEPD per a la seua inclusió en el Registre públic de Delegats de Protecció de Dades.

El Delegat de Protecció de Dades no té responsabilitat a títol personal, per este mer fet, per les possibles infraccions en matèria de protecció de dades comeses per la seua organització.

El Delegat de Protecció de Dades de l'òrgan o organisme del Sector Públic ha de rebre les reclamacions que els dirigisquen els administrats i les administrades uando opten per esta via abans de plantejar una reclamació davant l'AEPD, i comunicarà la decisió adoptada a l'administrat o administrada en el termini màxim de dos mesos. 

Així mateix, el Delegat de Protecció de Dades haurà de rebre les reclamacions que l'AEPD decidisca traslladar-li amb caràcter previ a l'inici d'un expedient sancionador. El Delegat ha de comunicar la decisió adoptada a l'administrat o administrada i a l'AEPD en el termini màxim d'un mes.

D'esta manera, amb caràcter general, si el Delegat de Protecció de Dades aconsegueix que el responsable resolga per qualsevol d'estes dues vies lareclamación, i sense perjudici que la persona interessada posteriorment es dirigisca a l'AEPD, no s'iniciaria expedient de declaració d'infracció a eixa Administració Pública.

Les infraccions comeses pels òrgans i organismes del Sector Públic seran sancionades amb una prevenció amb mesures correctores i no tindran sanció econòmica.

La resolució sancionadora de l'AEPD identificarà el càrrec responsable de la infracció, es notificarà a l'infractor, al seu superior jeràrquic, al Defensor del Poble i es publicarà en la pàgina web de l'AEPD i en el diari oficial corresponent. 

La resolució sancionadora podrà proposar a l'òrgan o organisme la iniciació d'actuacions  disciplinàries, la resolució de les quals haurà de ser comunicada per l'òrgan o organisme del Sector Públic a l'AEPD.

Les infraccions siguen imputables a autoritats i directius del Sector Públic i s'acredite  l'existència d'informes tècnics o recomanacions que no hagueren sigut atesos per estos, la resolució sancionadora inclourà una amonestació amb la identificació del càrrec responsable i es publicarà en el diari oficial corresponent.

Les autoritats públiques, els equips de resposta a emergències informàtiques (CERT), els equips de resposta a incidents de seguretat informàtica (CSIRT), els proveïdors de xarxes i serveis de comunicacions electròniques i els proveïdors de tecnologies i serveis de seguretat poden tractar les dades personals continguts en les notificacions d'incidents de seguretat exclusivament durant el temps i abast necessaris per a la seua anàlisi, detecció, protecció i resposta, adoptant sempre les mesures de seguretat adequades i proporcionades al nivell de risc.

La nova Llei orgànica establix que la base legitimadora del tractament de dades personals que realitzen els registres de personal del sector públic és l'exercici de potestats públiques. 

Estos registres poden tractar les dades personals que siguen estrictament necessaris per al compliment de les seues finalitats relatives a infraccions i condemnes penals i infraccions i sancions administratives, dels quals hauran de ser informats de manera expressa, clara i inequívoca.

La Llei orgànica garanteix el dret a la intimitat dels empleats i les empleades públics en el lloc de treball enfront de l'ús de dispositius de videovigilància i d'enregistrament de sons, així com enfront de l'ús dels dispositius digitals i sistemes de geolocalització.

Els contractes per encàrrec de tractament de dades personals entre els òrgans i organismes del Sector Públic (com a responsables) i altres òrgans o organismes del sector  públic o tercers (com a encarregats de tractament) subscrits abans del 25 de maig de 2018 mantindran la seua vigència com a màxim fins al 25 de maig de 2022.

Els òrgans i organismes del Sector Públic mantindran el control sobre les dades personals de les persones usuàries dels serveis públics encara que haja finalitzat la vigència del contracte de concessió de serveis.

En el Sector Públic, un concessionari de serveis, encarregat del tractament de dades personals, no es converteix mai en responsable encara que establisca relacions amb les persones a les dades de les quals ha accedit en virtut de la prestació del servei. 

El Govern ha de remetre en el termini d'un any des de l'entrada en vigor de la Llei Orgànica un projecte de llei dirigit a garantir un ús dels mitjans digitals que siga segur i adequat. 

Les Comunitats Autònomes disposaran del mateix termini per a incloure en els currículums els continguts precisos per a garantir la plena inserció de l'alumnat en la societat digital i assegurar una formació adequada de tot el personal docent.

La nova Llei orgànica flexibilitza el tractament de dades per a la recerca en salut:

• amplia les finalitats per a les quals es pot atorgar el consentiment al tractament,  
• recull la possibilitat de reutilitzar la informació sobre la qual es ja s'haja prestat consentiment amb anterioritat, 
• recull l'ús de dades pseudonimizados com una opció per a facilitar la recerca sanitària incloent garanties per a evitar la reidentificación de les persones afectades,
• regula les garanties d'este tractament, incloent la intervenció dels Comités d'Ètica de la Recerca o, en defecte d'això, del Delegat de Protecció de Dades o d'un expert en protecció de dades personals.