Cumplimiento del RGPD en las Administraciones Locales.

Martes, 12 Diciembre 2017 19:13
Publicado en Blog
Escrito por  Visto 1613 veces
Valora este artículo
(2 votos)

El pasado 27 de noviembre, la Agencia Española de Protección de Datos ha publicado un documento que recoge las principales medidas que las Administraciones Locales (AALL) deben poner en marcha antes del 25 de mayo de 2018, fecha en que será aplicable el Reglamento General de Protección de Datos (RGPD).

Como las AALL actúan como responsables y encargados de tratamientos de datos personales en el desarrollo de muchas de sus actividades, se van a ver afectadas por las previsiones del nuevo RGPD, surgiendo una serie de necesidades, tales como:

Identificar las finalidades y la base jurídica de los tratamientos que llevan a cabo.

En la actividad de las AALL será muy habitual que la base jurídica sea el cumplimiento de una tarea en interés público o el ejercicio de poderes públicos. Este tratamiento debe estar justificado en una norma con rango de ley formal.

En los casos en que se traten datos de especial protección (sobre salud, ideología, religión, etc.), sólo podrá llevarse a cabo el tratamiento para satisfacer un interés público esencial.

En los casos en que la base jurídica sea el consentimiento, éste deberá ser informado, libre, específico y otorgado por los interesados mediante manifestación de consentimiento o una clara acción afirmativa.

Los consentimientos “tácitos” dejan de ser válidos, incluso para tratamientos ya iniciados.

Adecuar la información que se ofrece a los interesados cuando se recogen sus datos.

Hay que proporcionar una información más amplia, concisa, transparente, inteligible y de fácil acceso, y además el RGPD introduce nuevos derechos, de los cuales el que más puede ejercerse en el ámbito de las AALL es el de limitación del tratamiento, que supone que debe suspenderse cuando los interesados soliciten la rectificación o supresión de sus datos hasta que el responsable decida sobre la solicitud.

Hay que establecer procedimientos para responder a los ejercicios de derechos en los plazos previstos.

Que los encargados con los que se contraten operaciones de tratamiento ofrezcan garantías de cumplimiento del RGPD.

Podrán demostrar su cumplimiento mediante su adhesión a códigos de conducta o esquemas de certificación.

Adecuar los contratos de encargo a las previsiones del RGPD.

Los contratos deben tener un contenido mínimo que excede del actualmente previsto y se prevé un régimen transitorio para los contratos suscritos con anterioridad a la fecha en que el RGPD se aplique plenamente.

Establecer un Registro de Actividades de Tratamiento.

Obliga a inventariar todos los tratamientos de datos que esté llevando a cabo cada entidad local y, viene a sustituir, en parte, la obligación de notificar ficheros y tratamientos a las autoridades de protección de datos.

Hacer un análisis de riesgo de todos los tratamientos de datos que se desarrollen y revisar las medidas de seguridad que se aplican a los mismos.

En el contexto de las AALL se dispone de metodologías de análisis cuyo foco principal es la seguridad de la información, las cuales deben ampliarse para incluir riesgos asociados al incumplimiento de las disposiciones del RGPD.

La aplicación de las medidas de seguridad estará marcada por los criterios establecidos en el Esquema Nacional de Seguridad, el cual está siendo revisado para adaptarlo a la nueva normativa,

Identificar la existencia de violaciones de seguridad de los datos.

Es necesario para poder reaccionar ante ellas, evaluando el riesgo que puedan suponer y para su notificación a las autoridades y, si fuera necesario, a los interesados.

Valorar si los tratamientos que se realizan requieren una Evaluación de Impacto y de disponer de una metodología para la llevarla a cabo.

En el caso de tratamientos basados en la consecución de fines de interés público o vinculados al ejercicio de poderes públicos, se prevé que pueda no llevarse a cabo, pese a tratarse de tratamientos de alto riesgo, cuando la norma de base regule la operación de tratamiento y ya se haya realizado una evaluación de impacto como parte de una evaluación general en el contexto de la adopción de esa norma.

Designar un Delegado de Protección de Datos.

Todas las autoridades u organismos públicos tienen que nombrar un DPD, aunque se prevé que pueda nombrarse uno único para varios de ellos, teniendo en cuenta su tamaño y organización.
Será inviable en muchos casos que una entidad local cuente con un DPD integrado en su plantilla, y será preciso buscar otras soluciones.

Adaptar los instrumentos de transferencia internacional.

El uso cada vez más frecuente de tecnologías de la información o la prestación de servicios “en nube” hacen que aumenten las posibilidades de que los datos se transfieran fuera de la UE.

Con este documento, la AEPD ofrece pautas y orientaciones para que estas entidades conozcan las implicaciones prácticas de la nueva normativa.

Inicia sesión para enviar comentarios

Modificado por última vez en Martes, 12 Diciembre 2017 19:30

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal