Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TEMA 9
Promoción Interna al Cuerpo Auxiliar Tema 09 GRUPO II 2 2
de la Administración de Castilla y León
TRANSPARENCIA, ACCESO A LA
INFORMACIÓN PÚBLICA Y PARTICIPACIÓN. LA
PROTECCIÓN DE DATOS DE CARÁCTER
PERSONAL. OBLIGACIONES EMPLEADOS
PÚBLICOS.
La Trasparencia es definida por Villloria Mendieta como el flujo incremental de información oportuna y
confiable de carácter económico, social y político, accesible a todos los actores relevantes, información
que, en el ámbito de lo público, debe permitir evaluar a las instituciones que la aportan y formar
opiniones racionales y bien sustentadas a quienes deciden o participan en la decisión.
Se encuentra ligada al concepto de buen gobierno, al permitir, a través de los distintos mecanismos que
al efecto se establezcan, que los ciudadanos conozcamos el funcionamiento interno de las Instituciones
Públicas, la toma de decisiones y la aplicación de los fondos públicos. Se articula así como un medio de
control de la actuación de los responsables públicos.
La transparencia tiene su plasmación jurídica en nuestro país en la Ley 19/2013, de 9 de
diciembre, de transparencia, acceso a la información pública y buen gobierno (en adelante, LTBG).
La Ley regula:
Qué es la transparencia.
Esta norma es de carácter básico prácticamente en todo su articulado y ha sido dictada en el ejercicio de
las competencias exclusivas del Estado, lo que significa que se aplica en todo el territorio español; y todo
ello sin perjuicio de que las Comunidades Autónomas, en el ejercicio de las competencias reconocidas
en sus Estatutos del Autonomía, puedan desarrollar esta materia, con respeto siempre, a la normativa
básica.
Así, la Comunidad Autónoma de Castilla y León en el ejercicio de las competencias atribuidas en nuestro
Estatuto de Autonomía ha dictado la Ley 3/2015, de 14 de marzo, de Transparencia y Participación
ciudadana de Castilla y León.
Nuestra ley tiene en siguiente contenido:
Establece el Portal de Gobierno Abierto, una página web en la que se contiene la información
objeto de la publicidad activa y se articula la participación de los ciudadanos en los asuntos
públicos.
Además, contamos con el Decreto 7/2016, de 17 de marzo, por el que se regula el procedimiento para
el ejercicio del derecho de acceso a la información pública en la Comunidad de Castilla y León.
Las entidades gestoras y los servicios comunes de la Seguridad Social así como las mutuas de
accidentes de trabajo y enfermedades profesionales colaboradoras de la Seguridad Social.
Los organismos autónomos, las Agencias Estatales, las entidades públicas empresariales y las
entidades de Derecho Público que, con independencia funcional o con una especial autonomía
reconocida por la Ley, tengan atribuidas funciones de regulación o supervisión de carácter
externo sobre un determinado sector o actividad.
Las sociedades mercantiles en cuyo capital social la participación, directa o indirecta, de las
entidades previstas en este artículo sea superior al 50 por 100.
Tema 01tema
Promoción Interna al Cuerpo Auxiliar Tema 09 GRUPO II 5
de la Administración de Castilla y León
Las entidades privadas que perciban durante el período de un año ayudas o subvenciones
públicas en una cuantía superior a 100.000 euros o cuando al menos el 40 % del total de sus
ingresos anuales tengan carácter de ayuda o subvención pública, siempre que alcancen como
mínimo la cantidad de 5.000 euros.
En todo caso, deben publicar la información relativa a contratos, convenios, subvenciones y ayudas
públicas cuando se hayan celebrado o concedido por una Administración Pública.
Las personas físicas y jurídicas distintas de las anteriores que presten servicios públicos o
ejerzan potestades administrativas suministrarán a la Administración con la que se encuentren
vinculadas, la información que se les requiera, para que dicha Administración pueda cumplir con sus
obligaciones de publicidad activa y de derecho de acceso a la información.
La publicidad activa consiste en la publicación de información por parte de los sujetos obligados a ello,
para garantizar la transparencia relacionada con el buen funcionamiento y la actividad pública.
Ya hemos visto en el apartado anterior que no todos los sujetos comprendidos en el ámbito de
aplicación de la Ley están sometidos a la misma intensidad de aplicación de la norma.
La LTBG establece en su artículo 5 los principios generales aplicables a la Publicidad activa. Es una
regulación de mínimos, pues permite que normas autonómicas o normas sectoriales pueda prever una
publicidad mayor.
Así, este precepto determina que:
En la publicación de información se aplicarán los mismos límites establecidos para el derecho de
acceso a la información pública del artículo 14 y 15 de la LTBG.
o El acceso es gratuito.
o El acceso ha de ser fácil; debe de ser accesible para personas con discapacidad.
La Información de relevancia jurídica permite conocer a los ciudadanos todo tipo de disposiciones y
documentos jurídicos que les puedan afectar:
Se debe de publicar el Inventario de Actividades de Tratamiento por parte de los sujetos enumerados en
el artículo 77.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales (en adelante, LOPDGDD), entre los que se encuentra nuestra
Administración Autonómica. El Inventario de actividades de tratamiento es el listado de tratamientos de
datos de carácter personal que se efectúan, en nuestro caso, por la Administración Autonómica, y que
recoge en los términos previstos normativamente los elementos que conforman el tratamiento tales
como quién es el responsable del tratamiento, los datos de contacto del Delegado de Protección de
Datos, la finalidad de recogida y tratamiento de datos, la base jurídica que legitima su tratamiento, etc.
Por último, en el artículo 9 de al LTBG, y respecto de las obligaciones de la Administración General del
Estado, se encarga al Consejo de Transparencia y Buen Gobierno el control de su cumplimiento.
Se entiende por información pública: “…los contenidos o documentos, cualquiera que sea su formato o
soporte, que obren en poder de alguno de los sujetos incluidos en el ámbito de aplicación de este título y
que hayan sido elaborados o adquiridos en el ejercicio de sus funciones”.
Hay que tener en cuenta que existen regulaciones especiales del derecho de acceso en otras normas
jurídicas que resultarán de aplicación preferente frente a la regulación general que del derecho de
acceso se hace en la LTBG:
Debemos significar que el derecho de acceso a la información pública no es absoluto, sino que tiene
límites, los mismos que se establecen para la Publicidad Activa y que está previstos en el artículo 14 y 15
de la LTBG.
En cuanto al ejercicio del derecho de acceso de la LTBG, se inicia con la presentación de solicitud
de acceso dirigida a titular del órgano administrativo o entidad que posea tal información.
Tema 01tema
Promoción Interna al Cuerpo Auxiliar Tema 09 GRUPO II 8
de la Administración de Castilla y León
La Ley no impone que se motive la solicitud, aunque si se hace, tales motivos podrán ser tenidos en
cuenta cuando se dicte la resolución y también para la ponderación de intereses y bienes jurídicos en
conflicto, cuando hayan de aplicarse los límites del artículo 14 y 15 de la LTBG.
Si el solicitante no indica de forma suficiente la información que precisa, se le pedirá que la concrete
en un plazo de diez días. Si no lo hace se entiende que desiste de la solicitud.
Y si la información que se solicita puede afectar a derechos o intereses de terceros que estén
identificados, se les comunicará tal solicitud a estas personas, para que puedan alegar lo que consideren
oportuno. De esta circunstancia deberá ser informado el solicitante.
Se puede ampliar a un mes más, siempre que sea muy complejo resolver la solicitud de información
(por la complejidad de la información o por el volumen de la información). Se comunicará al solicitante.
Se debe de notificar al solicitante y también, si existieran, los terceros afectados que lo hubieran
solicitado.
La Resolución que decida sobre el derecho de acceso deberá determinar si se inadmite la solicitud o
si se concede o se deniega el acceso.
Referidas a información que tenga carácter auxiliar o de apoyo como la contenida en notas,
borradores, opiniones, resúmenes, comunicaciones e informes internos o entre órganos o
entidades administrativas.
Relativas a información para cuya divulgación sea necesaria una acción previa de reelaboración.
Se motivarán las resoluciones, además, cuando se deniegue el acceso, se conceda el acceso parcial, se
conceda el acceso a través de una modalidad distinta la solicitada por el interesado y las que permitan el
acceso con oposición de un tercero cuyos derechos o intereses se vean afectados.
El acceso parcial consiste en el acceso a parte de la información: sólo a la información que no se vea
afectada por la aplicación de alguno de los límites del artículo 14 de la LTBG (que luego estudiaremos). Si
al suministrar parte de la información, ésta resulta sin sentido, se indicará qué parte de la información se
ha suprimido.
También hemos de destacar que las resoluciones que se dicten al efecto serán objeto de
publicidad tras la notificación a los interesados. Dicha publicidad tiene que realizarse eliminando los
datos de carácter personal que contuvieran, mediante un proceso de disociación.
La disociación o anonimización es el proceso a través del cual la información que se obtenga no pueda
asociarse a persona identificada o identificable; tal dato aislado ya no será un dato personal, pues a
ninguna persona puede atribuirse. Y además tal proceso es irreversible.
La LTBG establece una lista tasada de límites comunes tanto para la publicidad activa como para el
derecho de acceso; son una serie de bienes que limitan el flujo de información si con ello se produce un
perjuicio a los mismos y están previstos en el artículo 14 y 15 de la LTBG.
Así, el derecho de acceso podrá ser limitado cuando acceder a la información suponga un perjuicio para:
La seguridad nacional.
La defensa.
La seguridad pública.
Si se solicita información que contenga datos relativos al origen racial, a la salud o a la vida
sexual, incluyese datos genéticos o biométricos o relativos a la comisión de infracciones penales
o administrativas que no conllevasen la amonestación pública al infractor, el acceso solo se
podrá autorizar en caso de que se cuente con el consentimiento expreso del afectado o si aquel
estuviera amparado por una norma con rango de ley.
Si se solicita información que contenga datos de carácter personal distintos de los dos
anteriores, se ponderarán los intereses en conflicto, que son por un lado la divulgación de
información y por el otro los derechos de los terceros afectados, especialmente el derecho
fundamental a la protección de datos de carácter personal.
Se concederá el acceso a información que contenga datos meramente identificativos del tercero
relacionados con la organización, funcionamiento o actividad pública del órgano. No obstante,
esta regla general decae si en el caso concreto prevalecen cualquier otro derecho
constitucionalmente protegido (ej. persona amenazada por terroristas o sometida a violencia
de género).
Este límite sólo será de aplicación si existen datos de carácter personal; no siendo aplicable si se
hubiera realizado un procedimiento de disociación de datos, tal y como hemos explicado anteriormente.
Y, en todo caso, la normativa de protección de datos personales será de aplicación al tratamiento
posterior de la información obtenida a través del ejercicio del derecho de acceso.
Tema 01tema
Promoción Interna al Cuerpo Auxiliar Tema 09 GRUPO II 11
de la Administración de Castilla y León
Los convenios colectivos y los acuerdos, pactos o planes reguladores de las condiciones
de trabajo o de las retribuciones o incentivos.
La finalidad a la que están destinados los bienes inmuebles que sean de su propiedad o
sobre los que ostenten algún derecho real.
El número de vehículos oficiales de los que son titulares o arrendatarios y el uso al que
se destinan.
Tema 01tema
Promoción Interna al Cuerpo Auxiliar Tema 09 GRUPO II 12
de la Administración de Castilla y León
La Ley concreta, para nuestra Comunidad Autónoma, quienes son los órganos competentes
para llevar a cabo la publicidad activa; asimismo establece lo relativo a las unidades de acceso a la
información, que serán las encargadas de tramitar las solicitudes de acceso; también reglamenta
quienes son los órganos competentes para resolver las solicitudes de acceso; se desarrolla, con respeto
a la Ley básica estatal 37/2007, de 16 de noviembre, sobre reutilización de información y de la LTBG,
diversos aspectos relativos a la reutilización de la información pública, como por ejemplo, el órgano
competente para resolver o las condiciones para que tal reutilización pueda llevarse a cabo.
Debemos de tener en cuenta el Decreto 7/2016, de 17 de marzo, por el que se regula el
procedimiento para el ejercicio del derecho de acceso a la información pública en la Comunidad de
Castilla y León. Será de aplicación a la Administración General de la Comunidad y a sus organismos
autónomos. Reglamenta el procedimiento para acceder a la información pública, desde el momento de
formular la solicitud de acceso, pasando por la subsanación, las causas de inadmisión, las alegaciones de
terceros y la aplicación de los límites al derecho de acceso, hasta la resolución de solicitud, la
formalización del derecho de acceso y la impugnación de tales resoluciones.
La Comunidad Autónoma de Castilla y León, en el ejercicio de sus competencias, desarrolla la
norma básica estatal a través de la Ley 3/2015, de 4 de marzo, de Transparencia y Participación
Ciudadana de Castilla y León.
Los convenios colectivos y los acuerdos, pactos o planes reguladores de las condiciones
de trabajo o de las retribuciones o incentivos.
La finalidad a la que están destinados los bienes inmuebles que sean de su propiedad o
sobre los que ostenten algún derecho real.
El número de vehículos oficiales de los que son titulares o arrendatarios y el uso al que
se destinan.
La Ley concreta, para nuestra Comunidad Autónoma, quienes son los órganos competentes para
llevar a cabo la publicidad activa; asimismo establece lo relativo a las unidades de acceso a la
información, que serán las encargadas de tramitar las solicitudes de acceso; también reglamenta
quienes son los órganos competentes para resolver las solicitudes de acceso; se desarrolla, con respeto
a la Ley básica estatal 37/2007, de 16 de noviembre, sobre reutilización de información y de la LTBG,
diversos aspectos relativos a la reutilización de la información pública, como por ejemplo, el órgano
competente para resolver o las condiciones para que tal reutilización pueda llevarse a cabo.
Debemos de tener en cuenta el Decreto 7/2016, de 17 de marzo, por el que se regula el
procedimiento para el ejercicio del derecho de acceso a la información pública en la Comunidad de
Castilla y León. Será de aplicación a la Administración General de la Comunidad y a sus organismos
autónomos. Reglamenta el procedimiento para acceder a la información pública, desde el momento de
formular la solicitud de acceso, pasando por la subsanación, las causas de inadmisión, las alegaciones de
terceros y la aplicación de los límites al derecho de acceso, hasta la resolución de solicitud, la
formalización del derecho de acceso y la impugnación de tales resoluciones.
Se publicará en el Portal de Gobierno Abierto durante al menos diez días naturales. Deberá
publicarlo el órgano competente para la elaboración del proyecto.
Las sugerencias o propuestas formuladas por los ciudadanos, por vía electrónica, deberán ser
contestadas individualmente por el órgano competente a través del Portal de Gobierno Abierto. Su
rechazo debe de motivarse.
Si hay muchas sugerencias o propuestas podrá contestarse a través de un informe final del
órgano competente.
El objeto de este derecho fundamental es mucho más amplio que el derecho fundamental a la intimidad
personal, pues afecta a cualquier tipo de dato personal, aunque sea notorio (ejemplo, el nombre y los
apellidos), sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos.
También su contenido es mayor, ya que atribuye a su titular un haz de facultades consistente un “...poder
de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de
esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y
que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo
oponerse a esa posesión o uso”, Sentencia del Tribunal Constitucional 292/2000.
El Derecho Fundamental a la Protección de Datos de Carácter Personal, cuyos titulares son sólo las
personas físicas identificadas o identificables (nunca una persona jurídica, como por ejemplo una
Tema 01tema
Promoción Interna al Cuerpo Auxiliar Tema 09 GRUPO II 15
de la Administración de Castilla y León
empresa), persigue garantizar a esa persona física un poder de control sobre sus datos personales, sobre
su uso y destino, evitando su tráfico ilícito, para evitar que se produzcan daños en los derechos y
libertades del ciudadano.
El RGPD supone por fin una normativa homogénea en toda la Unión Europea. Su aplicación es
transversal, afectando a todo tipo de ámbitos y normativas (afecta al procedimiento administrativo, a la
contratación administrativa, a la transparencia, etc).
Es de aplicación directa a todos los Estados miembros, proporcionándonos una mayor seguridad jurídica;
no obstante, aunque el RGPD es de aplicación directa, es algo peculiar, ya que no todas sus previsiones
pueden aplicarse directamente, necesitando de cierta adaptación en los distintos Estados Miembros.
En España se ha dictado, a tales efectos, la LOPDGDD. Complementa el RGPD en lo que éste le permite,
de tal forma que se aplicarán conjuntamente ambas normas jurídicas. No debemos de perder de vista
que el RGPD es la norma jurídica de referencia y que debemos tener siempre presente.
Datos personales: toda información sobre una persona física identificada o identificable («el
interesado»); se considerará persona física identificable toda persona cuya identidad pueda
determinarse, directa o indirectamente, en particular mediante un identificador, como por
ejemplo un nombre, un número de identificación, datos de localización, un identificador en
línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica,
económica, cultural o social de dicha persona;
Los datos personales pueden clasificarse en categorías especiales de datos personales y el resto,
que no son categorías especiales.
Las categorías especiales de datos personales comprenden los datos los relativos al origen
étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación
sindical, los datos genéticos, los biométricos y los relativos a la salud, vida sexual u orientación
sexual
Son datos de carácter personal el nombre y los apellidos, el número de DNI, la matrícula de un
vehículo, el número de la historia clínica, el número de teléfono fijo, la imagen, la voz, la huella
digital, el estado civil, la afiliación sindical…
Tema 01tema
Promoción Interna al Cuerpo Auxiliar Tema 09 GRUPO II 16
de la Administración de Castilla y León
Los datos personales son tratados, por ejemplo, cuando participas en un procedimiento
selectivo en una Administración Pública, cuando te das de alta en una red social o cuando
solicitas un seguro.
Fichero: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios
determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;
Responsable del tratamiento o responsable (RT): la persona física o jurídica, autoridad pública,
servicio u otro organismo que, solo o junto con otros, determine los fines y medios del
tratamiento;
La Administración Pública es RT respecto de los datos personales de los ciudadanos que trate en
el ejercicio de sus funciones. Así, por ejemplo, la Administración sería responsable de los datos
suministrados por los administrados para obtener una subvención pública.
Encargado del tratamiento o encargado (ET): la persona física o jurídica, autoridad pública,
servicio u otro organismo que trate datos personales por cuenta del RT; debemos de tener en
cuenta lo dispuesto a tales efectos en el artículo 28 y 33 de la LOPDGDD.
Un ejemplo de ET lo podríamos ver en la contratación del servicio de comedor escolar por parte
de la Consejería de Educación: el objeto principal del contrato es la prestación del servicio de
catering a los escolares; pero para que el contratista preste correctamente el servicio precisa
que la Administración le comunique ciertos datos de carácter personal de los alumnos (nombre
y apellidos, intolerancias alimentarias, alergias…). Esos datos de los alumnos los trata el
contratista (ET) por cuenta de la Administración (RT) y sólo puede utilizarlos para los fines de
prestar el servicio de comedor escolar.
La normativa gira ahora en torno a tratamientos de datos y no en torno a los ficheros como
ocurrían antes del RGPD.
El inventario de actividades de tratamiento es un extracto del RAT y se tiene que publicar por las
Administraciones Públicas, fomentando la transparencia. El contenido del RAT completo no se
puede publicar, dado que hay elementos del mismo que no se pueden mostrar por seguridad y
confidencialidad, como por ejemplo, las concretas medidas de seguridad implantadas para
proteger los datos personales.
Tema 01tema
Promoción Interna al Cuerpo Auxiliar Tema 09 GRUPO II 17
de la Administración de Castilla y León
Debe de existir una conexión territorial entre el tratamiento de los datos y el territorio de la Unión
Europea (vid. Art. 3 del RGPD):
De esta forma se protegen los datos personales de los ciudadanos residentes en la Unión,
cualquiera que sea el lugar desde el que el tratamiento de esos datos se lleve a cabo.
Tratamientos efectuados por parte de los Estados miembros cuando lleven a cabo actividades
sobre política exterior y seguridad común (PESC) y la cooperación policial y judicial en materia
penal (CPJP).
Tema 01tema
Promoción Interna al Cuerpo Auxiliar Tema 09 GRUPO II 18
de la Administración de Castilla y León
Tratamientos ejecutados por parte de las autoridades competentes con fines de prevención,
investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones
penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.
Tratamientos derivados del ejercicio de la función jurisdiccional por los tribunales de justicia, en
la medida de que las Autoridades de Control no son competentes para conocer de los
tratamientos que se desarrollen en el ejercicio de tal función.
El Principio de exactitud.
El Principio de licitud, lealtad y transparencia, supone que los datos personales deben de ser
“…tratados de manera lícita, leal y transparente en relación con el interesado”.
La licitud hace mención a que el tratamiento se produzca sólo cuando exista una base jurídica para que
se produzca el tratamiento.
Los datos personales sólo pueden ser tratados cuando exista una base jurídica lícita conectada con una
finalidad que permita el tratamiento (no pueden recopilarse sin más, simplemente por tenerlos o
disponer de ellos).
Tema 01tema
Promoción Interna al Cuerpo Auxiliar Tema 09 GRUPO II 19
de la Administración de Castilla y León
La lealtad implica que el interesado sea perfectamente consciente de que se está produciendo el
tratamiento de sus datos personales, con qué fines y de qué forma.
El principio de transparencia se relaciona con el ejercicio del derecho de información por parte de los
interesados.
El Principio de limitación de la finalidad, que obliga a que los datos personales sean recogidos para:
Que la finalidad se exprese con precisión significa que no puedan utilizarse fórmulas
genéricas a la hora de explicar cuáles son las finalidades para las que se recogen o tratan
datos personales.
Fines explícitos, expresados de forma clara, concreta y detallada (no de manera difusa),
mediante la información que se suministra al interesado. Deben aparecer con total
transparencia en todos sus elementos.
Sólo pueden ser tratados los datos para finalidades permitidas por el ordenamiento
jurídico. Queda fuera la posibilidad de tratar datos para fines ilegales, como por ejemplo si
suponen cualquier tipo de discriminación por razón de sexo, religión, raza, etc.
Se prohíbe que los datos recogidos para fines determinados, explícitos y legítimos sean tratados
posteriormente de una manera incompatible con esos fines.
Si bien la compatibilidad se examinará caso por caso, son compatibles conforme al RGPD, los fines de
archivo en interés público, fines de investigación científica e histórica o fines estadísticos.
El Principio de minimización de datos, conlleva que sólo pueden tratarse los datos adecuados,
pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
Los datos tratados serán los oportunos, los que vengan al caso, los mínimos imprescindibles y los
estrictamente necesarios para cumplir con la finalidad para la que son tratados. Los datos personales
solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios.
Tema 01tema
Promoción Interna al Cuerpo Auxiliar Tema 09 GRUPO II 20
de la Administración de Castilla y León
Un ejemplo de vulneración de este principio sería aquel en el que para la finalidad de suscribir la
compraventa de un vehículo, además de nuestros datos identificativos, dirección, teléfono y cuenta
corriente, nos solicitasen datos relativos a nuestra salud o el número de hijos.
El Principio de exactitud, entraña que los datos personales tratados deben de ser exactos, y si no lo
fueran, deberán actualizarse; por ello, deben de adoptarse todas la medidas razonables para que sean
exactos, actuales y sino, puestos al día, mediante el ejercicio de los derechos de rectificación o supresión
por parte del interesado.
Ello no obsta para que también se pueda actuar de oficio por parte del responsable o encargado del
tratamiento, si tiene conocimiento de la inexactitud de los datos.
La inexactitud de los datos puede producirnos perjuicios en nuestros derechos. Imaginemos que no nos
llegan las notificaciones administrativas por no ser correcta la dirección consignada por la
Administración. O que nos incluyen en un sistema de información crediticia, los denominados “ficheros
de morosos”, por una deuda inexistente.
El Principio de limitación del plazo de conservación, podría entenderse como una manifestación del
principio de minimización de datos en el ámbito temporal.
Los datos personales se deben de conservar por el RT durante el tiempo estrictamente necesario para el
cumplimiento de los fines para los que son tratados dichos datos.
Por ello, alcanzadas las finalidades y cumplido el objetivo para el cual han sido tratados los datos
personales, estos han de ser bloqueados, suprimidos o anonimizados.
Así, por ejemplo, finalizado un contrato de telefonía y habiendo sido abonados todos los pagos,
conforme al principio citado, no se deberían de mantener por más tiempo los datos del usuario al haber
finalizado la relación contractual.
Existen excepciones que permiten conservar los datos durante periodos más largos: siempre que las
finalidades sean exclusivamente de archivo en interés público, fines de investigación científica o histórica
o fines estadísticos o para ejercer el derecho a la libertad de expresión e información, para el
cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de
la Unión Europea o de sus Estados miembros, por razones de interés público en el ámbito de la salud
pública o para la formulación, el ejercicio o la defensa de reclamaciones.
Será complementaria de los deberes de secreto profesional de conformidad con la normativa aplicable;
las obligaciones de confidencialidad y secreto profesional se mantendrán aun cuando hubiese finalizado
la relación del obligado con el responsable o encargado del tratamiento.
El RGPD despliega sus efectos con “carácter preventivo” imponiendo obligaciones a las organizaciones
que deben de actuar de forma diligente, consciente, comprometida y proactiva, sin esperar a que el
daño al bien jurídico se haya producido.
No es suficiente con no incumplir, sino que se incluyen obligaciones específicas para prevenir
incumplimientos, resultando también que la falta de estas actuaciones es sancionable.
El RGPD establece las bases jurídicas que permiten el tratamiento de datos personales. Están previstas
en el artículo 6 y 9 del RGPD.
Como ya hemos indicado tenemos las categorías especiales de datos personales, que comprenden los
datos los relativos al origen étnico o racial, las opiniones políticas, las convicciones religiosas o
filosóficas, la afiliación sindical, los datos genéticos, los biométricos y los relativos a la salud, vida sexual
u orientación sexual.
Para que proceda su tratamiento deberá concurrir alguna de las bases jurídicas del artículo 6, junto con
una de las excepciones del artículo 9.2 del RGPD, entre las que se encuentran, un interés público
esencial, para fines de medicina preventiva o laboral, razones de interés público en el ámbito de la salud
pública, como la protección frente a amenazas transfronterizas graves para la salud o con fines de
archivo en interés público, fines de investigación científica o histórica o fines estadísticos.
El resto de datos personales no incluidos en el artículo 9 del RGPD, esto es, los que no sean categorías
especiales de datos personales, deben de ser tratados en atención a cualquiera de las bases jurídicas
comprendidas en el artículo 6 del RGPD.
Las bases jurídicas previstas en el artículo 6 del RGPD son el consentimiento, la relación contractual, la
obligación legal, el interés vital, el cumplimiento de una misión en interés público o el ejercicio de
poderes públicos y el interés legítimo. Todas estas bases jurídicas se encuentran en el mismo plano de
igualdad. Para un mismo supuesto de hecho, pueden concurrir una o varias bases jurídicas que pueden
legitimar el tratamiento:
inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción
afirmativa, el tratamiento de datos personales que le conciernen. Puede revocarse en cualquier
momento.
Respecto del cumplimiento de una obligación legal o para el cumplimiento de una misión
realizada en interés público o en el ejercicio de poderes públicos, debe estar fundada en una
norma de Derecho de la Unión Europea o una norma con rango de ley.
El tratamiento será lícito si es necesario para proteger intereses vitales del interesado o de otra
persona física, siendo utilizada esa base jurídica sólo cuando el tratamiento no pueda basarse
manifiestamente en una base jurídica diferente.
El interés legítimo es una base jurídica mediante la que se pondera la prevalencia entre los
derechos a la protección de datos del titular de los mismos y otros derechos e intereses
legítimos de terceros.
En las Administraciones Públicas las bases jurídicas más utilizadas son la obligación legal y el
cumplimiento de una misión en interés público o el ejercicio de poderes públicos.
El consentimiento, es una base jurídica subsidiaria en la Administración, esto es, cuando no pueda
utilizarse cualquier otra. Para que exista consentimiento válido debe de ser libre y existir equilibrio entre
las partes y el legislador comunitario considera que no se produce cuando se trata de una autoridad
pública.
El interés legítimo es una base jurídica que no se aplica al tratamiento efectuado por las autoridades
públicas en el ejercicio de sus funciones.
Los derechos de los ciudadanos constituyen la vertiente activa y positiva de las obligaciones del RT.
El artículo 12 del RGPD establece las condiciones generales para el ejercicio de los derechos,
determinando la obligación del responsable de facilitar al interesado el ejercicio de sus derechos.
Los derechos del afectado se ejercen por éste directamente o por medio de representante legal o
Tema 01tema
Promoción Interna al Cuerpo Auxiliar Tema 09 GRUPO II 23
de la Administración de Castilla y León
voluntario; si nos encontramos con un menor de 14 años de edad, dicha representación se ejercerá por
los titulares de la patria potestad o por sus representantes legales.
Debe de responder el RT, en cualquier caso, en el plazo máximo de un mes desde la recepción de la
solicitud del interesado. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en
cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera
de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos
de la dilación.
En cuanto a la forma de formular la solicitud de ejercicio del derecho, cuando el interesado presente la
solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea
posible, a menos que el interesado solicite que se facilite de otro modo.
Más, si las solicitudes son manifiestamente infundadas o excesivas, especialmente debido a su carácter
repetitivo, se podrá o cobrar un canon razonable en función de los costes administrativos afrontados
para facilitar la información o la comunicación o realizar la actuación solicitada. En estos casos el
responsable puede negarse a actuar respecto de la solicitud.
Se considera que existe carácter repetitivo cuando se ejerza el derecho de acceso en más de una ocasión
durante el plazo de seis meses, a menos que exista causa legítima para ello.
Se entiende que es excesiva cuando el afectado elija un medio distinto al que se le ofrece que suponga
un coste desproporcionado.
Se ha de informar tanto si los datos personales se recopilan del interesado como si no se obtienen
directamente del interesado.
Se ha de informar de forma concisa, fácilmente accesible, fácil de entender, con lenguaje claro y sencillo,
y, en su caso, con visualización de todo ello.
Tema 01tema
Promoción Interna al Cuerpo Auxiliar Tema 09 GRUPO II 24
de la Administración de Castilla y León
El Derecho de acceso (artículo 15 del RGPD), permite que los interesados pueden conocer si sus
datos de carácter personal están siendo tratados. Tiene derecho a identificar qué datos son objeto de
dicho tratamiento y acceder a la información vinculada a los mismos (la que se suministra mediante el
derecho de información).
El Derecho de supresión (artículo 17 del RGPD), faculta al interesado para eliminar sin dilación
indebida sus datos personales de los ficheros del RT cuando desaparece la finalidad o la base jurídica,
cuando se haya opuesto al tratamiento o éste haya sido ilícito, cuando se supriman para cumplir con una
obligación legal o sean datos obtenidos en el marco de una oferta de servicios de la sociedad de la
información.
El Derecho a la limitación del tratamiento (artículo 18 del RGPD) puede definirse como el
marcado de los datos de carácter personal conservados únicamente con el fin de limitar su tratamiento
en el futuro. Se produce en los supuestos y circunstancias previstas en el artículo 18 del RGPD y consiste
en limitar su tratamiento para evitar perjuicios en los derechos y libertades del interesado.
Imaginemos que alguien ejerce su derecho de oposición al tratamiento de datos de carácter personal.
Mientras se decide si cabe tal oposición, no pueden seguir utilizándose esos datos, de tal forma que se
tendría derecho a la limitación de su tratamiento.
El Derecho de portabilidad de los datos (artículo 20 del RGPD), implica que los interesados
pueden solicitar la recuperación de los datos personales que estén siendo tratados de forma
automatizada por un determinado responsable a fin de trasladarlos a otro responsable elegido por el
Tema 01tema
Promoción Interna al Cuerpo Auxiliar Tema 09 GRUPO II 25
de la Administración de Castilla y León
interesado. El derecho podrá implicar la transmisión directa de responsable a responsable a instancia del
interesado cuando sea técnicamente posible.
El derecho de oposición puede ejercerse cuando las bases jurídicas que hayan legitimado el tratamiento
sean el cumplimiento de una misión en interés público o en el ejercicio de poderes públicos o en
relación con tratamientos necesarios para la satisfacción de intereses legítimos. La oposición al
tratamiento tiene que estar relacionada con la situación particular del interesado, que debe de ser
examinada y ponderada para verificar que se dan los requisitos para que opere el derecho de oposición.
También en relación con tratamientos relacionados con fines de mercadotecnia directa, incluyendo la
elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia.
Y cabe igualmente respecto de tratamientos relacionados con fines de investigación científica o histórica
o fines estadísticos.
Un ejemplo sería la denegación automática de una solicitud de crédito en línea o los servicios de
contratación en red en los que no medie intervención humana alguna.
El artículo 23 del RGPD establece limitaciones al ejercicio de los derechos de los interesados,
puesto que ningún derecho es absoluto. Así, se fijan límites para proteger o evitar amenazas a otros
bienes jurídicos, tales como la seguridad del Estado, la defensa, la seguridad pública o la ejecución de
demandas civiles, entre otros.
Precisa su formulación en una norma con rango de ley con un contenido mínimo (finalidad del
tratamiento, datos personales afectados, determinación del RT, alcance de las limitaciones…) y que
respete los derechos y libertades fundamentales.
Tema 01tema
Promoción Interna al Cuerpo Auxiliar Tema 09 GRUPO II 26
de la Administración de Castilla y León
El Delegado de Protección de Datos (a partir de ahora, DPD) es una persona responsable dentro del
responsable o del encargado del tratamiento para supervisar y monitorear de manera independiente la
aplicación interna y el cumplimiento de las normas de protección de datos. El DPD puede ser tanto un
empleado de una organización como un consultor externo.
La Administración Pública, que es RT, tiene que nombrar obligatoriamente a un DPD.
El RGPD indica que será designado atendiendo a sus cualidades profesionales y, en particular, a sus
conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su
capacidad para desempeñar las funciones que le encomienda la normativa.
Prestará sus funciones de manera independiente, pues no puede recibir instrucción ninguna respecto de
su cumplimiento y no será por tal razón ni destituido ni sancionado.
Rendirá cuentas al más alto nivel jerárquico de la Administración, participando además en todas las
cuestiones de la organización que impliquen decisiones relativas a la protección de datos personales.
Debe de disponer de los recursos, materiales y personales, que sean precisos para desarrollar
debidamente sus cometidos. Se le permitirá el acceso a datos personales y operaciones de tratamiento,
a los efectos de supervisar el cumplimiento de la normativa de protección de datos.
Despliega sus funciones en tres direcciones, respecto de la Administración Pública, respecto de las
Autoridades de Control y respecto de los ciudadanos:
Funciones respecto de la Administración Pública como RT y de las personas que para ellas
trabajan: supervisará el cumplimiento de la normativa de protección de datos, informando y
asesorando también a los empleados que se encarguen del tratamiento de los datos de
carácter personal.
Funciones respecto de las Autoridades de Control: actúa como punto de contacto y coopera
con las Autoridades de Control, especialmente en funciones de investigación cuando exista una
reclamación contra la Administración Pública presentada por un interesado.
Una Autoridad de Control es una autoridad pública establecida en cada uno de los Estados
miembros de la Unión Europea para supervisar la aplicación del RGPD, con el fin de proteger los
derechos y las libertades fundamentales de las personas físicas en lo que respecta al
tratamiento y de facilitar la libre circulación de datos personales en la Unión. Las Autoridades
de control desempeñarán sus funciones gratuitamente para el interesado y para el Delegado de
Protección de Datos.
Funciones respecto de los ciudadanos: es el nexo de unión entre la Administración Pública y los
interesados, entrando en juego el concepto de administrado y sus derechos, plasmado en el
artículo 13.h de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de
las Administraciones Públicas (LPAC).
Tema 01tema
Promoción Interna al Cuerpo Auxiliar Tema 09 GRUPO II 27
de la Administración de Castilla y León
En primer lugar, y en cuanto a los nuevos derechos que los empleados públicos tenemos en
relación con las garantías de los derechos digitales, citaremos la nueva letra j bis) en el artículo 14 del
texto refundido de la Ley del Estatuto Básico del Empleado Público, aprobado por Real Decreto
Legislativo 5/2015, de 30 de octubre (desde ahora, EBEP). Reconoce a los empleados públicos derecho a
la intimidad en el uso de dispositivos digitales puestos a su disposición y frente al uso de dispositivos de
videovigilancia y geolocalización, así como a la desconexión digital en los términos establecidos en la
legislación vigente en materia de protección de datos personales y garantía de los derechos digitales.
Respecto de las obligaciones que nos corresponden como empleados públicos, debemos de
tener en cuenta los principios del tratamiento antes citados y que nos afectan al manejar en nuestro
trabajo datos de carácter personal de los ciudadanos.
Así, cada empleado de la organización que acceda o trate los datos personales lo hará si es
estrictamente necesario y únicamente a los datos pertinentes y necesarios para el cumplimiento de sus
funciones.
Y ello porque los ciudadanos tienen derecho a que se respete este derecho fundamental por la
Administración Pública, en particular a la seguridad y a la confidencialidad de los datos que figuren en
los ficheros, sistemas y aplicaciones de las Administraciones Públicas (artículo 13.h) de la LPAC).
Respecto del deber de secreto, se encuentra regulado específicamente en el EBEP, en cuyo artículo
53.12 se recoge como un principio ético: los empleados públicos guardarán secreto de las materias
clasificadas u otras cuya difusión esté prohibida legalmente, y mantendrán la debida discreción sobre
aquellos asuntos que conozcan por razón de su cargo, sin que puedan hacer uso de la información
obtenida para beneficio propio o de terceros, o en perjuicio del interés público.
En cuanto a las responsabilidades en que podemos incurrir como empleados públicos por
incumplir nuestras obligaciones en materia de protección de datos, existe una triple vertiente, esto es,
la responsabilidad disciplinaria, la responsabilidad económica dimanante de una responsabilidad
patrimonial solicitada a la AAPP y a la responsabilidad penal.
Tema 01tema
Promoción Interna al Cuerpo Auxiliar Tema 09 GRUPO II 28
de la Administración de Castilla y León
En cuanto a la responsabilidad penal, en los artículos 197 y siguientes del Código Penal se
regula el descubrimiento y revelación de secretos en la que pueden incurrir un empleado
público que fuera de los casos permitidos por la Ley, sin mediar causa legal por delito, y
prevaliéndose de su cargo acceda, altere, modifique datos de carácter personal o los utilice en
perjuicio del interesado o de un tercero.