A partir del 25 de mayo de 2018. Las modificaciones que deberán realizarse para alinear la actividad de las AALL con las previsiones del RGPD habrán de estar listas para aplicarse, a más tardar, en esa fecha de 2018.
Es por ello que la Agencia Española de Protección de Datos ha publicado un artículo sobre impacto del RGPD en Administración Pública.
Este impacto puede sintetizarse en los siguientes puntos:
Necesidad de identificar con precisión las finalidades y la base jurídica de los tratamientos que llevan a cabo.
La vigente LOPD parte de considerar que los tratamientos solo pueden llevarse a cabo con el consentimiento de los afectados, con una serie de excepciones entre las que se encuentra el que los datos sean recogidos por las AAPP para el ejercicio de sus funciones. Asimismo, la LOPD prevé que las cesiones de datos requerirán el consentimiento de los afectados salvo que, entre otras excepciones, esa cesión esté autorizada por una ley.
El RGPD diseña un sistema de legitimación basado en seis bases jurídicas que no mantienen entre sí ninguna relación de prioridad o prelación. Entre esas bases jurídicas no se encuentran, en sentido estricto, los “fines propios de las AAPP en el ejercicio de sus competencias” ni la “autorización legal”.
Ello no supone en absoluto que los tratamientos amparados en esas bases de la legislación nacional no puedan seguir llevándose a cabo. Significa tan sólo que deberán encontrarse las bases jurídicas apropiadas para esos tratamientos dentro de las que el RGPD en Administración Pública ofrece. En particular, y para el ámbito de las AALL, son relevantes las siguientes:
- El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento
- El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por un tercero al que el responsable comunica los datos
Puntos destacados en el documento:
- La obligación de identificar y explicitar finalidades y bases legales de los tratamientos.
- Cuando los tratamientos sea el consentimiento.
- Necesidad de adecuar la información que se ofrece a los interesados cuando se recogen sus datos a las exigencias del RGPD.
- Necesidad de establecer mecanismos visibles, accesibles y sencillos, incluidos los medios electrónicos, para el ejercicio de derechos.
- Necesidad de establecer procedimientos que permitan responder a los ejercicios de derechos en los plazos previstos por el RGPD.
- Necesidad de valorar si los encargados con los que se hayan contratado o se vayan a contratar operaciones de tratamiento ofrecen garantías de cumplimiento del RGPD en Administración Pública.
- Necesidad de adecuar los contratos de encargo a las previsiones del RGPD.
- Necesidad de establecer un Registro de Actividades de Tratamiento.
- Necesidad de hacer un análisis de riesgo para los derechos y libertades de los ciudadanos de todos los tratamientos de datos que se desarrollen.
- Necesidad de revisar las medidas de seguridad que se aplican a los tratamientos a la luz de los resultados del análisis de riesgo de los mismos.
- Necesidad de establecer mecanismos para identificar con rapidez la existencia de violaciones de seguridad de los datos.
- Necesidad de valorar si los tratamientos requieren una Evaluación de Impacto sobre la Protección de Datos.
- Necesidad de designar un Delegado de Protección de Datos (DPD).
- Necesidad de adaptar los instrumentos de transferencia internacional de datos personales a las previsiones del RGPD.
Toda esta información la pueden ampliar descargando el documento desde la web de la AGPD. Descarga.