Última revisión
datos
1850 - ¿Cómo debe realizar la Administración local el tratamiento de datos personales?
Relacionados:
Vademecum: Datos
Fecha última revisión: 04/06/2024
Resumen:
La Administración local maneja una gran cantidad de datos personales de distinta índole, y debe cumplir los principios regulados en el RGPD para el tratamiento de los mismos. La responsabilidad del tratamiento en el ámbito de la Administración local recaerá en los municipios y diputaciones provinciales.
La Administración local maneja una gran cantidad de datos personales de distinta índole, a modo de ejemplo, podemos citar el padrón municipal de habitantes, los datos tributarios a efectos de la gestión de los tributos municipales, o datos académicos y profesionales a efectos de la gestión de procesos selectivos, etc.
El tratamiento de datos por las administraciones locales
El responsable del tratamiento en el ámbito de la Administración local recaerá en los municipios, diputaciones provinciales e islas. También serán responsables del tratamiento las entidades de ámbito territorial inferior al municipal (comarcas, áreas metropolitanas y mancomunidades). También podrían ser considerados responsables del tratamiento los entes que formen parte de la administración institucional de las corporaciones locales (como por ejemplo entidades públicas empresariales locales).
La Administración local debe cumplir los principios regulados en el
- Principio de licitud, lealtad y transparencia.
- Principio de limitación de la finalidad.
- Principio de minimización de datos.
- Principio de exactitud.
- Principio de limitación del plazo de conservación.
- Principio de integridad y confidencialidad.
- Principio de responsabilidad proactiva.
En cuanto a la legitimación para el tratamiento de datos realizado por las administraciones locales, se encuentra en el interés público o en el ejercicio de poderes públicos, y también en el cumplimiento de una obligación legal que afecte al responsable del tratamiento. Se requiere para ello una previsión normativa con rango de ley.
Existe un tercer supuesto de legitimación cuando el tratamiento se fundamente en satisfacer los intereses legítimos perseguidos por un tercero al que el responsable le comunica los datos (que solo se aplica en la Administración local cuando ese tercero no tiene la condición de autoridad pública).
Cuando la Administración local emplee el consentimiento como base jurídica del tratamiento de datos, deberá reunir las características del
La Administración local también está obligada a mantener un registro de actividades de tratamiento por escrito, función que recaerá en los responsables y encargados de tratamiento de la Administración, y que deberá estar a disposición de la autoridad de control. Este registro obliga a inventariar todos los tratamientos de datos que lleven a cabo las entidades locales.
En cuanto a las medidas de seguridad que tendrán que ser adoptadas por la Administración local, debe garantizarse el cumplimiento de lo dispuesto al respecto en el
El artículo 37 del
- Los ayuntamientos con más de 20.000 habitantes, atendiendo al volumen de datos que traten, podrán contar con un departamento de apoyo para el delegado de protección de datos.
- Los ayuntamientos con menos de 20.000 habitantes podrán designar al delegado de protección de datos o «articularlo a través de las Diputaciones Provinciales o Comunidad Autónoma respectiva».
- También deberán designar un delegado de protección de datos las diputaciones provinciales, cabildos y consejos insulares.
- Los secretarios, interventores y tesoreros podrán actuar como delegados de protección de datos siempre que no exista conflicto de intereses con el ejercicio de sus respectivas funciones en la entidad local.
- Podría ser prestado por entidades privadas especializadas.
CUESTIONES
1. ¿Qué plazo tiene la Administración local para responder al interesado que interese ejercer sus derechos de acceso, rectificación, supresión, limitación u oposición al tratamiento?
La Administración tiene el plazo máximo de un mes para responder. Podría prorrogarse otros dos meses más si fuese necesario por la complejidad y el número de solicitudes, siempre y cuando se informe al ciudadano de la prórroga y sus motivos en el plazo de un mes desde la solicitud.
2. ¿Se realizarán por medios electrónicos las respuestas a la solicitud de información del interesado?
Cuando la solicitud se presente por medios electrónicos, la información se facilitará por medios electrónicos, salvo que el ciudadano solicite que se le notifique de otro modo.
3. ¿Deben de facilitar las administraciones locales el ejercicio de estos derechos?
Si, las entidades locales deben de establecer mecanismos visibles, accesibles y sencillos, incluidos los medios electrónicos. En este caso, si el ejercicio se realiza por medios electrónicos, las administraciones deben incorporar procedimientos para verificar la identidad de los ciudadanos afectados, y la recepción del ejercicio del derecho y de su contestación.
Especialidades en materia de protección de datos de determinadas entidades de la Administración local
a) El padrón municipal
El padrón, por su naturaleza de registro administrativo donde constan los datos de los vecinos, maneja numerosos datos personales.
La
«Los datos del Padrón Municipal se cederán a otras Administraciones públicas que lo soliciten sin consentimiento previo al afectado solamente cuando les sean necesarios para el ejercicio de sus respectivas competencias, y exclusivamente para asuntos en los que la residencia o el domicilio sean datos relevantes. También pueden servir para elaborar estadísticas oficiales sometidas al secreto estadístico, en los términos previstos en la
Estos datos reflejados en el padrón municipal pueden ser cedidos a la Policía local cumpliendo tres requisitos:
- Que se utilicen solamente los datos que sean adecuados, pertinentes y no excesivos (normalmente nombre y apellidos y domicilio).
- Que la comunicación de los datos se realice con relación a expedientes concretos, y que esté debidamente justificada en relación con las funciones de interés público que tiene atribuida la Policía local.
- Que se garanticen la confidencialidad y seguridad de los datos personales.
Cumpliendo estos requisitos podrán habilitarse los medios técnicos necesarios para que la comunicación de datos pueda realizarse por la Policía local, desde sus propias oficinas, mediante la creación de un acceso.
CUESTIÓN
¿Podría realizarse una comunicación masiva de datos del padrón a la policía?
No, no podría realizarse una comunicación masiva ya que rige el principio de minimización de datos que se establece en el
Teniendo en cuenta que la finalidad del padrón municipal es la determinación y, en su caso acreditación, del domicilio o residencia habitual de los ciudadanos, así como la determinación de la población del municipio, la comunicación de datos del padrón se limita a las Administraciones públicas, motivo por el cuál no podría facilitarse al propietario información sobre las personas que figuran inscritas en la vivienda de su propiedad.
En cuanto a una posible cesión de datos a empresas que lleven a cabo servicios para el Ayuntamiento, el Informe 0552/2009 de la AEPD, abordando una consulta de la empresa que gestionaba el abastecimiento de aguas que pretendía el acceso a datos del padrón para poder realizar la facturación (en concreto al número de personas que viven en cada vivienda), la AEPD se remite a su informe de 26 de diciembre de 2009 en el que determina que las tasas que pretende cobrar la empresa entran dentro de las competencias exclusivas de los poderes públicos y, por tanto, la gestión de la entidad privada se refiere únicamente a facilitar la gestión de dicho tributo, sin que pueda utilizar la información para el beneficio propio, lo que conlleva que esta actividad entre dentro de las funciones del encargado del tratamiento y no será considerada como una cesión de información, si no que deberá cumplir las garantías que se le exigen a la figura del encargado del tratamiento.
En cuanto a la cesión de datos a la Administración tributaria, la misma se encuentra amparada en el artículo 94.1 de la
b) Los plenos municipales y los derechos de los concejales que implican tratamiento de datos
El artículo 70.1 de la
La AEPD se ha pronunciado sobre la posibilidad de publicar las actas de los plenos municipales y, entendiendo que la publicación de datos se considera una comunicación de los mismos, establece tres supuestos diferenciados:
- Cuando contengan datos personales, pero sean referidos a actos debatidos en el pleno o a disposiciones objeto de publicación en el boletín oficial correspondiente, podrán publicarse independientemente del derecho de oposición o cancelación de los afectados.
- En los demás casos se requerirá el consentimiento previo de los afectados para realizar la publicación de las actas que contengan datos personales.
- Cuando la corporación haya declarado secreto el debate y la votación, por afectar al honor y a la intimidad de los ciudadanos, no serán objeto de publicación.
Igual respuesta ofrece la AEPD a la posibilidad de grabar las sesiones del pleno.
CUESTIÓN
¿Puede un grupo municipal publicar la grabación en redes sociales?
La AEPD ha respondido a esta cuestión diciendo que podrán grabarse y difundirse por Internet, teniendo en cuenta que las personas físicas que sean grabadas podrán ejercitar sus derechos de supresión u oposición ante el responsable o titular de la web. Nos dice también la AEPD que: «Será responsabilidad de quien graba y posteriormente publique las citadas grabaciones, el cumplimiento de las obligaciones impuestas por el RGPD».
También se plantea la duda sobre la posibilidad de los concejales, incluidos los de la oposición, de acceder a la documentación que se encuentra en el ayuntamiento. Hay que partir de la base de que los concejales tienen atribuida la posibilidad de consultar la documentación obrante en el ayuntamiento en el ejercicio de su actividad de control, independientemente de las especialidades y limitaciones previstas para determinados tratamientos de datos. Así lo recoge el artículo 77 de la
En relación con este tema, la AEPD en la Resolución de procedimiento sancionador, del expediente n.º: PS/00464/2021 resuelve imponer a un ayuntamiento una sanción de apercibimiento por haber permitido el acceso indiscriminado y libre de los concejales del ayuntamiento a los documentos que se adjuntaban en las inscripciones de los registros generales de entrada y salida, considerando que se infringió la normativa de protección de datos, ya que en el caso concreto denunciado se le dio al concejal acceso a una solicitud del reclamante a pesar de que ello era innecesario para el ejercicio de sus funciones.
CUESTIÓN
¿Se incluyen los datos tributarios de los ciudadanos entre aquellos a los que pueden tener acceso los concejales de la oposición?
En cuanto a los datos tributarios existentes en los Ayuntamientos, conviene recordar que el artículo 95 de la