El 23 de junio de 2017 el Consejo de Ministros recibía el informe del Ministerio de Justicia al Anteproyecto de la Ley Orgánica de Protección de Datos de Carácter Personal (ALOPD), una norma de gran relevancia no sólo para las Administraciones Públicas, sino también para el conjunto de la sociedad, y que supondrá la derogación de la actual Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). Ya tenemos Anteproyecto LOPD. 5 Aspectos claves para empezar
Con el ALOPD se pretende adaptar la regulación actual al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD), publicado en mayo de 2016 y con entrada en vigor en ese mismo mes, aunque será aplicable a partir del 25 de mayo de 2018.
Su aplicación conllevará múltiples novedades tanto en el ámbito privado como en el público, y en éste, con especial incidencia en el ámbito local, por lo que es necesario que las Entidades Locales comiencen ya a adoptar las medidas necesarias para alinear la actividad de las AALL con las previsiones del RGPD habrán de estar listas para aplicarse, a más tardar, en esa fecha de 2018.
Para facilitar esta tarea, la Agencia Española de Protección de Datos acaba de publicar El nuevo RGPD y su impacto sobre la actividad de las Administraciones Locales cuyas principales recomendaciones se resumen a continuación
1.Necesidad de identificar con precisión las finalidades y la base jurídica de los tratamientos que llevan a cabo.
2.En el caso de la actividad de las AALL será muy habitual que la base jurídica de los tratamientos sea el cumplimiento de una tarea en interés público o el ejercicio de poderes públicos.
3.En los casos en que la base jurídica de los tratamientos sea el consentimiento, éste deberá tener las características previstas por el RGPD, que exige que sea informado, libre, específico y otorgado por los interesados mediante una manifestación que muestre su voluntad de consentir o mediante una clara acción afirmativa.
4.Necesidad de adecuar la información que se ofrece a los interesados cuando se recogen sus datos a las exigencias del RGPD (arts. 13 y 14).
En este sentido, La Agencia Española de Protección de Datos publicó en enero de 2017 una Guía para el cumplimiento del deber de informar, en que se proponía esta información en sucesivas capas.
5.Necesidad de establecer mecanismos visibles, accesibles y sencillos, incluidos los medios electrónicos, para el ejercicio de derechos.
6.Necesidad de establecer procedimientos que permitan responder a los ejercicios de derechos en los plazos previstos por el RGPD.
7.Necesidad de valorar si los encargados con los que se hayan contratado o se vayan a contratar operaciones de tratamiento ofrecen garantías de cumplimiento del RGPD.
8.Necesidad de adecuar los contratos de encargo a las previsiones del RGPD.
9. Necesidad de establecer un Registro de Actividades de Tratamiento.
La importancia del registro en el momento en que comience a ser de aplicación el RGPD radica en que obliga a inventariar todos los tratamientos de datos que esté llevando a cabo cada entidad local.
10.Necesidad de hacer un análisis de riesgo para los derechos y libertades de los ciudadanos de todos los tratamientos de datos que se desarrollen.
11.Necesidad de revisar las medidas de seguridad que se aplican a los tratamientos a la luz de los resultados del análisis de riesgo de los mismos.
En el caso de las AAPP, incluidas las AALL, la aplicación de las medidas de seguridad, estará marcada por los criterios establecidos en el Esquema Nacional de Seguridad (ENS), que está siendo revisado para adaptarlo a las exigencias del RGPD.
12.Necesidad de establecer mecanismos para identificar con rapidez la existencia de violaciones de seguridad de los datos y reaccionar ante ellas.
13.Necesidad de valorar si los tratamientos que se realizan requieren una Evaluación de Impacto sobre la Protección de Datos porque supongan un alto riesgo para los derechos y libertades de los interesados y de disponer de una metodología para la llevarla a cabo.
En el caso de tratamientos basados en la consecución de fines de interés público o vinculados al ejercicio de poderes públicos, el RGPD prevé que pueda no llevarse a cabo la Evaluación de Impacto, pese a tratarse de tratamientos de alto riesgo
14. Necesidad de designar un Delegado de Protección de Datos (DPD).
15.Necesidad de adaptar los instrumentos de transferencia internacional de datos personales a las previsiones del RGPD.
Estas tareas no son pocas, ni de escaso alcance, toca, por tanto, empezar cuanto antes.
En cuanto a la tramitación del Proyecto, la Mesa de la Cámara, ha acordado encomendar Dictamen, a la Comisión de Justicia y publicar en el Boletín Oficial de las Cortes Generales, estableciendo plazo de enmiendas, por un período de quince días hábiles, que finaliza el día 14 de diciembre de 2017.
- Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal publicado en el Boletín Oficial de las Cortes Generales de 24 de noviembre de 2017