Área de Protección de Datos

El nuevo Estatuto de Autonomía para Andalucía, que fue aprobado el año 2007, reconoció explícitamente el “derecho de todas las personas al acceso, corrección y cancelación de sus datos personales en poder de las Administraciones públicas andaluzas” (artículo 32). Y, en consonancia con la consagración de este derecho, el Estatuto atribuyó a la Comunidad Autónoma ya en ese año 2007 “la competencia ejecutiva sobre protección de datos de carácter personal, gestionados por las instituciones autonómicas de Andalucía, Administración autonómica, Administraciones locales, y otras entidades de derecho público y privado dependientes de cualquiera de ellas, así como por las universidades del sistema universitario andaluz” (artículo 82).

La Ley 1/2014, de 24 de junio, de Transparencia Pública de Andalucía ha venido a asignar dicha competencia al Consejo de Transparencia y Protección de Datos de Andalucía. Así es; según establece su artículo 43.1, el Consejo es la “autoridad independiente de control en materia de protección de datos (...) en la Comunidad Autónoma de Andalucía”. De ahí que entre las atribuciones que dicha Ley encomienda a la Dirección del Consejo se incluya la de “desempeñar las funciones previstas en la legislación sobre protección de datos para su ejercicio por las agencias autonómicas en su caso” [art 48.1.i), así como la de “resolver las consultas que en materia de (...) protección de datos le planteen las administraciones y entidades sujetas a esta Ley” [art. 48.1.e)].

Sin embargo, la asunción efectiva por parte de este Consejo de la competencia en materia de protección de datos quedó diferida en virtud de lo establecido en la Disposición transitoria tercera del Decreto 434/2015, de 29 de septiembre, por el que se aprueban los Estatutos del Consejo de Transparencia y Protección de Datos de Andalucía.

La Orden de 1 de agosto de 2019, de la Consejería de Turismo, Regeneración, Justicia y Administración Local, ha venido a fijar el 1 de octubre de 2019 como la fecha de inicio del ejercicio de las funciones en materia de protección de datos por parte del Consejo. A partir de entonces, corresponderá al Consejo desempeñar tales funciones respecto de los tratamientos de los que sean responsables las instituciones autonómicas de Andalucía, la Administración de la Junta de Andalucía, la Administración Local en Andalucía y otras entidades dependientes de cualquiera de ellas, así como las universidades del sistema universitario andaluz, en los términos previstos en el artículo 57 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (BOJA núm. 154, de 12 de agosto de 2019).

 

Sobre el tratamiento de datos personales en el Consejo.

Puede acceder aquí para obtener mayor información sobre el tratamiento de datos personales en el Consejo de Transparencia y Protección de Datos de Andalucía, así como sobre el ejercicio de los derechos establecidos en el Reglamento General de Protección de Datos en relación con los mismos.

 

Normativa

- Reglamento Europeo de Protección de Datos (RGPD)

          - Corrección de errores

- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)

- Esquema de la estructura de la LOPDGDD con referencias al RGPD y a otra normativa citada en la ley.

 

Orientaciones para la aplicación de la DA7ª de la LOPDGDD

La Disposición Adicional 7ª de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, establece un método para la publicación del número del documento identificativo de los interesados cuando esta sea necesaria en el caso de anuncios y publicaciones de actos administrativos.

Ante las numerosas consultas recibidas, las autoridades de control en materia de protección de datos han elaborado de forma conjunta unas orientaciones provisionales para la aplicación de la mencionada Disposición Adicional para tratar de evitar que la adopción de fórmulas distintas pudieran dar lugar a posibilitar, ante publicaciones diversas, la recomposición íntegra del número de dicho documento identificativo.

Puede consultar aquí dichas orientaciones (actualizadas el 15/03/2019 con objeto de subsanar erratas detectadas).

Listado de tratamientos que exigen Evaluación de Impacto

El Reglamento General de Protección de Datos (RGPD) establece en su artículo 35.1 que las organizaciones que tratan datos tienen obligación de realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD) con anterioridad a la puesta en funcionamiento de dichos tratamientos cuando sea probable que, en función de su naturaleza, alcance, contexto o fines, entrañen un alto riesgo para los derechos y libertades de las personas.

Por otro lado, el artículo 35.4 RGPD prevé que cada autoridad de control establezca y publique una lista de los tipos de operaciones de tratamiento que requieran de una evaluación de impacto. Esta lista tiene, por tanto, la finalidad de ofrecer seguridad a los responsables respecto a cuáles son los tratamientos en que siempre se considerará que es probable que exista un alto riesgo. También de acuerdo con lo previsto por el RGPD, la lista ha sido comunicada al Comité Europeo de Protección de Datos, que ha emitido un dictamen favorable sobre ella, siguiendo los criterios establecidos en la valoración de todas las listas remitidas por las autoridades nacionales.

Puede consultar aquí la lista de operaciones de tratamiento que requieren la mencionada evaluación de impacto.