Documentos de Académico
Documentos de Profesional
Documentos de Cultura
El Cumplimiento de Los Principios en Materia de Protección de Datos Por Las Administraciones
El Cumplimiento de Los Principios en Materia de Protección de Datos Por Las Administraciones
El Cumplimiento de Los Principios en Materia de Protección de Datos Por Las Administraciones
1
■ APUNTES MAYO 2023 El cumplimiento de los principios en materia de protección de datos por las
administraciones locales
«El tratamiento solo será lícito si se cumple al Lo dispuesto en la letra f) del párrafo primero
menos una de las siguientes condiciones: no será de aplicación al tratamiento realizado
por las autoridades públicas en el ejercicio de
a) el interesado dio su consentimiento para el
sus funciones».
tratamiento de sus datos personales para
uno o varios fines específicos;
En idénticos términos se pronuncia la LO 3/2018 en
cumplimiento de una obligación legal del consentimiento (apartado a del artículo 6 del
2
■ APUNTES MAYO 2023 El cumplimiento de los principios en materia de protección de datos por las
administraciones locales
Mediante dicho informe se confirma que la base del Respecto al cumplimiento de este principio
tratamiento y consulta de los datos de los reconocido en el apartado primero del artículo 5 del
interesados por las administraciones públicas, salvo Reglamento UE 2016/679 la AEPD se ha
que la propia normativa exija un consentimiento pronunciado en diversas ocasiones.
expreso, será interés legal o interés público. Este
interés legal o público tendrá su base legal, la cual 1. Resolución de la Agencia de Protección de Datos
justificará el tratamiento y cesión de los datos. del 13 de enero de 2021, Núm. PS/00070/2020
En segundo lugar, el tratamiento debe ser leal, es Mediante esta Resolución la AEPD se pronuncia
decir, los datos personales deben siempre recogerse acerca de la publicación por parte de un Alcalde de
por parte de los responsables del tratamiento a una sentencia referida a un empleado municipal y
través de medios legítimos, es decir, no se pueden demás circunstancias asociadas al asunto con
métodos desleales que puedan provocar una exonera la responsabilidad del Ayuntamiento porque
discriminación injusta. Por tanto, en aras de cumplir la publicación se dio en el perfil personal del
personales, la forma en la que las administraciones corporación. Si bien, por parte de este se incumple el
locales recogen los datos de los interesados debe ser principio de licitud, lealtad y transparencia por haber
leal, debiendo respetar la normativa de protección de publicado dichos datos personales. Explícitamente,
En tercer lugar, el tratamiento de datos personales «El uso de los datos del reclamante en
d e b e s e r transparente. P a r a f a c i l i t a r e s t a FACEBOOK es un uso que no ha sido
transparencia la normativa ofrece al interesado el consentido por su titular, y no se acredita
derecho de información y el de acceso, ambos deben base legitima en el tratamiento de dichos
cumplirse por la administración local. datos e n r e l a c i ó n c o n l a r e s p u e s t a a l
comentario del reclamante que el reclamado
Por un lado, el derecho de información consiste en el
debería haber ofrecido».
derecho del interesado a ser informado acerca del
tratamiento de datos personales por parte del
Por tanto, la AEPD impone al Alcalde una sanción de
responsable. Y por el otro lado, el derecho de acceso
apercibimiento por infracción del artículo 5.1 a) del
es aquel que tiene el interesado de dirigirse al
Reglamento UE 2016/679 produciéndose un
responsable para saber si se están tratando o no sus
incumplimiento del principio de licitud, lealtad y
datos personales y, en caso de que así sea, obtener
transparencia, ya que no solamente no se acredita
información detallada sobre el mismo. La
base legitimadora en incumplimiento del principio de
administración local cumplirá con el principio de
licitud sino que también son publicados
transparencia favoreciendo a los interesados en el
determinados datos sin ejercitar de forma correcta el
cumplimiento de los derechos de información y de
principio de transparencia de los datos.
acceso a sus datos personales.
3
■ APUNTES MAYO 2023 El cumplimiento de los principios en materia de protección de datos por las
administraciones locales
personales del reclamante efectuado por el incompatible con esos fines.Por tanto, los fines por
reclamado pudiera fundarse en la base los que son tratados los datos personales son tres:
4
■ APUNTES MAYO 2023 El cumplimiento de los principios en materia de protección de datos por las
administraciones locales
● Explícitos: deben estar expresados de una forma Tras una resolución previa que requería al
clara. Ayuntamiento del cumplimiento de estos principios y
● Legítimos: d e b e n e s t a r p e r m i t i d o s p o r e l dado que no se remitió respuesta alguna al
ordenamiento jurídico. reclamante, la AEPD se vuelve a pronunciar sobre
este asunto:
Este principio está reconocido en el artículo 5.1 b) del
Reglamento UE 2016/679:
«De conformidad con las evidencias de las
que se dispone, se considera que los hechos
«Los datos personales serán recogidos con
denunciados, es decir, remitir la dirección de
fines determinados, explícitos y legítimos, y
correo electrónico y el DNI del reclamante sin
no serán tratados ulteriormente de manera
utilizar la opción CCO para efectuar el envío,
incompatible con dichos fines; de acuerdo
supone la vulneración de los principios de
con el artículo 89, apartado 1, el tratamiento
«limitación de la finalidad» e «integridad y
ulterior de los datos personales con fines de
confidencialidad» regulados en el art. 5.1 b) y
archivo en interés público, fines de
f) del RGPD, así como la responsabilidad
investigación científica e histórica o fines
proactiva del responsable del tratamiento de
estadísticos no se considerará incompatible
demostrar su cumplimiento».
con los fines iniciales («limitación de la
finalidad»)»
De esta manera, la AEPD impone una sanción de
apercibimiento al Ayuntamiento y le requiere de
De conformidad con esta regulación, los datos no
nuevo para que actúe de conformidad con los
deben ser tratados posteriormente de manera
principios de «limitación de la finalidad» e «integridad
incompatible con dichos fines, salvo por fines de
y confidencialidad» del art. 5.1 b) y f) de Reglamento
archivo en interés público, fines de investigación
UE 2016/679.
científica e histórica o fines estadísticos.
5
■ APUNTES MAYO 2023 El cumplimiento de los principios en materia de protección de datos por las
administraciones locales
Este principio está regulado en el apartado c) del Por tanto, en aplicación de este principio de
artículo 5.1 del precitado Reglamento al regular los minimización de datos, sólo deben tratarse datos
principios relativos al tratamiento de los datos, personales cuando sea necesario para las
indicando que: finalidades pretendidas y, aún en este caso, sólo
deben tratarse los datos absolutamente
«Los datos personales serán: imprescindibles para ese fin, no más. Es por ello por
lo que la aplicación del principio de minimización
c) adecuados, pertinentes y limitados a lo necesario
implica por parte del Ayuntamiento un análisis
en relación con los fines para los que son tratados
objetivo y racional del tratamiento de datos
(«minimización de datos»)».
personales.
6
■ APUNTES MAYO 2023 El cumplimiento de los principios en materia de protección de datos por las
administraciones locales
7
■ APUNTES MAYO 2023 El cumplimiento de los principios en materia de protección de datos por las
administraciones locales
En definitiva, la publicación de las actas de las En aras de completar la regulación de este principio,
sesiones plenarias debe realizarse previa aplicación el artículo 4 de la LO 3/2018 hace una remisión al
del principio de minimización de datos regulado en la citado Reglamento y añade un segundo párrafo
normativa de protección de datos, cumpliendo las incluyendo la inimputabilidad del responsable del
reglas de ponderación previstas en la normativa de tratamiento de datos en caso de inexactitud de
transparencia, y de acuerdo con los criterios y datos siempre y cuando este haya adoptado todas
doctrina emanada de la AEPD, sin que sea preciso las medidas razonables para que se supriman o
recoger en la publicación de las actas la literalidad y rectifiquen sin dilación y siempre que se cumplieran
el detalle de las deliberaciones. tres condiciones:
debiendo en caso contrario adoptar todas las intermediario o mediador que recoja en
medidas razonables para que se supriman o nombre propio los datos de los afectados
rectifiquen sin dilación ya sea por iniciativa del para su transmisión al responsable. El
responsable o por consecuencia del ejercicio de mediador o intermediario asumirá las
rectificación por parte del interesado. responsabilidades que pudieran derivarse en
el supuesto de comunicación al responsable
Este principio está regulado de una forma expresa de datos que no se correspondan con los
t a n t o e n e l artículo 5.1 d) del Reglamento facilitados por el afectado.
UE 2016/679 como en el artículo 4 de la LO 3/2018.
c) Fuesen sometidos a tratamiento por el
El artículo 5.1 d) del citado Reglamento establece responsable por haberlos recibido de otro
que: responsable en virtud del ejercicio por el
afectado del derecho a la portabilidad
«los datos personales serán exactos y, si conforme al artículo 20 del Reglamento (UE)
fuera necesario, actualizados; se adoptarán 2016/679 y lo previsto en esta ley orgánica.
todas las medidas razonables para que se
supriman o rectifiquen sin dilación los datos d) Fuesen obtenidos de un registro público
8
■ APUNTES MAYO 2023 El cumplimiento de los principios en materia de protección de datos por las
administraciones locales
Este caso se trata de una reclamación planteada mismos. De conformidad con las evidencias
contra una Consejería de Sanidad por haber utilizado de las que se dispone, dicha conducta
de manera inexacta los datos personales de un constituye por la parte reclamada infracción a
paciente, que considera suplantada su identidad. lo dispuesto en los artículos 5.1.d) y 32.1 del
RGPD».
En los fundamentos de derecho de la precitada
Resolución se analizan los principios que han de regir
el tratamiento de los datos personales y menciona
entre ellos el principio de exactitud:
9
■ APUNTES MAYO 2023 El cumplimiento de los principios en materia de protección de datos por las
administraciones locales
necesario para los fines del tratamiento. Por tanto, responsable del tratamiento, sin perjuicio de seguir
la conservación de esos datos debe limitarse en el aplicando las medidas técnicas y organizativas
tiempo al logro de los fines que persigue el apropiadas a fin de proteger los derechos y
tratamiento. Una vez que esas finalidades se han libertades del interesado.
«Los datos personales serán mantenidos de A través de este Informe, la AEPD se analiza la
forma que se permita la identificación de los cuestión de si la condición de discapacidad en un
interesados durante no más tiempo del proceso selectivo debe ser privada, sin que se
necesario para los fines del tratamiento de publiciten los citados datos personales o deben ser
los datos personales; los datos personales públicos en aplicación del principio de transparencia.
podrán conservarse durante períodos más
largos siempre que se traten exclusivamente Entre los fundamentos jurídicos la AEPD aboga por el
cumplimiento de los principios de protección de
con fines de archivo en interés público, fines
de investigación científica o histórica o fines datos e indica que resolviendo la cuestión mediante
89, apartado 1, sin perjuicio de la aplicación nombres y apellidos de cada participante y el DNI en
10
■ APUNTES MAYO 2023 El cumplimiento de los principios en materia de protección de datos por las
administraciones locales
En relación con este principio la AEPD indica lo En la citada resolución también se indica que la
siguiente: Autoridad Catalana de Protección de Datos también
aplicó este criterio en el Procedimiento Sancionador
«En cuanto al plazo durante el que deben PS 18/2020 y hace una remisión de los fundamentos
estar accesibles dichos listados, de acuerdo jurídicos de la misma en lo relativo a la aplicación del
con el articulo 5.1 e) RGPD sobre limitación principio de limitación del plazo de conservación:
del plazo de conservación, d e b e r á n s e r
accesibles mientras sirvan a la finalidad a la «Atendiendo pues a la finalidad de la
que sirven, así, por ejemplo, la lista de publicación de los listados detallados a los
admitidos y excluidos se deberá eliminar del hechos probados, vinculados a procesos de
sitio web en tanto venzan los plazos sobre su selección de personal -lista provisional y
impugnación, o las listas sobre la calificación definitiva de personas admitidas,
de un ejercicio concreto, mientras no haya calificaciones de las diferentes pruebas, etc.-,
precluido el trámite para su impugnación». estos se tendrían que haber mantenido
durante el tiempo necesario para la
11
■ APUNTES MAYO 2023 El cumplimiento de los principios en materia de protección de datos por las
administraciones locales
«Los datos personales serán tratados de tal Por tanto, los responsables del tratamiento de
manera que se garantice una seguridad datos deben cumplir en todo caso con este
adecuada de los datos personales, incluida la principio de confidencialidad, i n c l u s o c u a n d o
protección contra el tratamiento no hubiere finalizado la relación jurídica por la que se da
autorizado o ilícito y contra su pérdida, el precitado tratamiento de datos. Este principio ha
destrucción o daño accidental, mediante la sido muy analizado por la AEPD, debido a los
aplicación de medidas técnicas u numerosos incumplimientos del mismo. En este caso
organizativas apropiadas («integridad y vamos a analizar dos supuestos de vulneración de
confidencialidad»).» este principio por entidades locales.
12
■ APUNTES MAYO 2023 El cumplimiento de los principios en materia de protección de datos por las
administraciones locales
En el presente caso, un Ayuntamiento, con el objetivo Siendo competente la AEPD en este asunto, entre los
de poner a disposición la resolución de la fundamentos de derecho que alude encontramos
convocatoria de una sesión plenaria, publica por tanto la normativa de régimen local como la de
error un documento Excel con datos personales, protección de datos, haciendo constar la necesidad
provocando una brecha de seguridad que de aplicación del principio integridad,
manifiesta la falta de medidas técnicas y confidencialidad y seguridad del tratamiento y
organizativas apropiadas del Ayuntamiento para publicación de datos por parte de precitado
garantizar el nivel de seguridad necesario. La AEPD Ayuntamiento. De esta manera, la AEPD hace
acredita que se ha producido el acceso a dichos referencia a la necesidad de garantizar una
datos personales por su publicación por parte del seguridad adecuada de los datos personales en
Ayuntamiento, vulnerando el principio de cumplimiento de lo dispuesto en el artículo 5.1 f) del
confidencialidad: Reglamento y las medidas de seguridad dispuestas
en el artículo 32 del mismo cuerpo legal.
«En el presente caso, queda acreditado que
En el presente caso, al haberse incumplido estos
se ha producido un acceso no autorizado a
principios, la AEPD apercibe al Ayuntamiento para
los datos personales de los integrantes del
que adopte las medidas de seguridad adecuadas y
archivo tipo Excel que se puso en sede
cumpla con el principio de minimización de datos a la
electrónica, al que tuvo acceso el reclamante
hora de publicar actas de sesiones del pleno:
y que se mantuvo en el navegador,
vulnerándose el principio de confidencialidad.
La AEPD verifica que al menos, a 1/12/2021, «Asimismo, procede imponer la medida
13
■ APUNTES MAYO 2023 El cumplimiento de los principios en materia de protección de datos por las
administraciones locales
«Es preciso tener en cuenta que la mayor Informe de la Agencia de Protección de Datos del 2
0 de enero de 2023, Núm. 2022-0032
novedad que presenta el Reglamento (UE)
2016/679 es la evolución de un modelo
A través de este Informe, la AEPD hace una
basado, fundamentalmente, en el control del
valoración de los códigos de conducta previstos en la
cumplimiento a otro que descansa en el
normativa de protección de datos como mecanismo
principio de responsabilidad activa, lo que
de autorregulación tendente a facilitar el
exige una previa valoración por el
cumplimiento de la normativa de protección de
responsable o por el encargado del
datos, vinculado por tanto con el principio de
tratamiento del riesgo que pudiera generar el
responsabilidad proactiva, ya que el mismo también
tratamiento de los datos personales para, a
se trata de cumplir esta normativa de una manera
partir de dicha valoración, adoptar las
diligente.
medidas que procedan»
14
■ APUNTES MAYO 2023 El cumplimiento de los principios en materia de protección de datos por las
administraciones locales
Los códigos de conducta están regulados en la normativa de protección de datos, concretamente en el artículo
40 del Reglamento y en el artículo 38 de la LO 3/2018. Asimismo, han sido analizados por la AEPD poniéndolo en
relación directa con el cumplimiento de responsabilidad proactiva. Concretamente, y en relación con este
principio el Gabinete Jurídico de la AEPD indica que:
«La necesidad de que los códigos de conducta tengan un contenido obligatorio deriva, asimismo, del
propio RGPD y de la importante función que atribuye a los mismos respecto del cumplimiento del principio
de responsabilidad proactiva. Por consiguiente, este Gabinete Jurídico considera que, en el momento en
que se proceda a la aprobación de un nuevo código de conducta o a la adaptación de un código tipo ya
inscrito, dada la importancia adquirida por los códigos de conducta como consecuencia de la introducción
del principio de responsabilidad proactiva, se debe ser especialmente riguroso en cuanto al contenido del
mismo, que debe aportar un “auténtico valor añadido” en los términos anteriormente señalados, así como
en la valoración de la suficiencia de las garantías adecuadas necesarias para su aprobación».
Se revela, por tanto, la importancia de creación o adhesión a un código de conducta de los responsables de
protección de datos en aras de cumplir con la normativa de protección de datos y con el principio de
responsabilidad proactiva.
Como puede observarse, este es un ejemplo muy relevante de la importancia del principio de responsabilidad
activa o responsabilidad demostrada.
En definitiva, este último principio abarca todos los principios anteriores, ya que obliga a los responsables a
mantener la diligencia debida de manera permanente cumpliendo y demostrando el cumplimiento tanto de los
principios del tratamiento de datos personales analizados en este estudio como de la normativa de protección de
datos en general en aras de proteger y garantizar los derechos y libertades de las personas físicas cuyos datos
son tratados.
15