Muchos ayuntamientos pequeños aún no han implementado los cambios que son obligatorios en el nuevo Reglamento Europeo de Protección de Datos (RGPD). El 25 de mayo de 2018 finaliza el periodo de transición y, a partir de ese momento, no cumplir con las obligaciones del texto será motivo de sanción. En este artículo te damos más detalles acerca de las novedades del texto y cómo apoyarte en una empresa especializada.
¿Cómo es la adaptación al RGPD en ayuntamientos pequeños?
En protección de datos, la principal obligación de los ayuntamientos pequeños es cumplir los distintos principios que establece el nuevo reglamento. Para ello, si diriges una Administración de estas características, tendrás que adaptarte siguiendo unas pautas. La tendencia ha demostrado que los ayuntamientos grandes han hecho los deberes a tiempo y no tendrán problemas, pero esto no ha sido así en los municipios pequeños que están en el filo de la navaja para implementar las novedades.
Hay que tener en cuenta que, con respecto a la anterior normativa (Ley Orgánica de Protección de Datos) se introducen determinadas novedades que hacen que aquella quede obsoleta. Curiosamente, el nuevo reglamento no la contradice, pero sí introduce obligaciones que hay que conocer. Algunas de ellas son las que indicamos.
¿Tengo que contar con un registro de tratamiento de protección de datos?
Cuando realices el trabajo de adaptación al RGPD, tienes que incluir un registro de tratamiento de datos que te permitirá controlar las operaciones que se realicen. Has de tener en cuenta que el nuevo reglamento prioriza la autorregulación, diferenciándose de lo que establecía la LOPD, que obligaba a notificar todos estos movimientos a la Agencia Española de Protección de Datos (AEPD).
También es importante indicar que, si tuvieses alguna incidencia en el tratamiento de datos o en el servidor, ahora estarás obligado a comunicarla a la AEPD en un máximo de 72 horas siempre que implique un alto riesgo para los datos personales implicados en la misma.
¿Tengo que informar del uso de los datos que voy a hacer?
Uno de los principios que establece la nueva normativa es la obligatoriedad de indicar la finalidad del uso de los datos que vas a tratar y ceñirte únicamente a esos fines cuando los utilices para evitar las acciones no consentidas.
Esto hay que comunicarlo al usuario, pero también tú tendrás la obligatoriedad de tener en cuenta este punto cuando haya margen de interpretación.
¿Qué es el Delegado de Protección de Datos (DPO)?
El trabajo de adaptación al RGPD de los ayuntamientos pequeños pasa también por el nombramiento de un Delegado de Protección de Datos (DPO), una figura obligatoria en el nuevo texto para garantizar la autorregulación.
El DPO puede ser un empleado del ayuntamiento o un profesional externo, pero ha de tener conocimientos en la materia porque estará obligado a realizar una tarea de supervisión.
¿Puedo contar con un consentimiento tácito del usuario?
Si hay que señalar un cambio por encima de todos los demás es la necesidad de contar con el consentimiento explícito del usuario para cualquier actividad de tratamiento que se realice. Esto significa que necesitarás un documento físico o digital que acredite que el usuario dio su conformidad expresa para que se utilicen sus datos personales. Con ello, se elimina el supuesto del consentimiento tácito que existía antes y que ya había derogado la última reforma de la Ley 39/2015, de Procedimiento Administrativo Común.
El consentimiento explícito supone, además, la necesidad de cambiar la información que existe en el formulario de aceptación para, de esta forma, garantizar que se adapta a la nueva normativa. Tiene que constar el tratamiento que se va a realizar.
¿Los derechos son los mismos en el RGPD?
El nuevo Reglamento sigue contemplando los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) que incluía la LOPD, pero introduce un desarrollo en dos aspectos: portabilidad y derecho al olvido. En este caso, hablamos de derechos de segunda generación.
Portabilidad
El derecho a la portabilidad de los datos significa que el usuario ha de poder acceder a estos en un soporte fácil de lectura y contar con una copia. Esto supone un desarrollo del derecho de acceso que, hasta hoy, no establecía estas obligaciones.
Derecho al olvido
El derecho al olvido se refiere a que, si los datos personales dejan de tener finalidad, el usuario tiene derecho a pedir que se supriman. Ahora bien, como la Administración los gestiona, habrá que determinar si carecen de interés público. Este es un desarrollo del derecho de cancelación.
Conclusión
Los ayuntamientos pequeños tienen aún que realizar un trabajo de adaptación para no quedarse atrás en la política de protección de datos ni exponerse a cuantiosas sanciones. Por lo tanto, conocer las claves del RGPD y contar con un asesoramiento especializado es fundamental para que no tengas problemas en el futuro. Si gestionas una pequeña Administración local, te recomendamos que pidas información especializada porque, a la larga, te compensará.
