Área de Protección de Datos

El nuevo Estatuto de Autonomía para Andalucía, que fue aprobado el año 2007, reconoció explícitamente el “derecho de todas las personas al acceso, corrección y cancelación de sus datos personales en poder de las Administraciones públicas andaluzas” (artículo 32). Y, en consonancia con la consagración de este derecho, el Estatuto atribuyó a la Comunidad Autónoma ya en ese año 2007 “la competencia ejecutiva sobre protección de datos de carácter personal, gestionados por las instituciones autonómicas de Andalucía, Administración autonómica, Administraciones locales, y otras entidades de derecho público y privado dependientes de cualquiera de ellas, así como por las universidades del sistema universitario andaluz” (artículo 82).

La Ley 1/2014, de 24 de junio, de Transparencia Pública de Andalucía ha venido a asignar dicha competencia al Consejo de Transparencia y Protección de Datos de Andalucía. Así es; según establece su artículo 43.1, el Consejo es la “autoridad independiente de control en materia de protección de datos (...) en la Comunidad Autónoma de Andalucía”. De ahí que entre las atribuciones que dicha Ley encomienda a la Dirección del Consejo se incluya la de “desempeñar las funciones previstas en la legislación sobre protección de datos para su ejercicio por las agencias autonómicas en su caso” [art 48.1.i), así como la de “resolver las consultas que en materia de (...) protección de datos le planteen las administraciones y entidades sujetas a esta Ley” [art. 48.1.e)].

La asunción efectiva por parte de este Consejo de la competencia en materia de protección de datos ha quedado diferida en virtud de lo establecido en la Disposición transitoria tercera del Decreto 434/2015, de 29 de septiembre, por el que se aprueban los Estatutos del Consejo de Transparencia y Protección de Datos de Andalucía. En efecto, según se señala en el primer apartado de esta Disposición transitoria tercera:

" El Consejo asumirá las funciones en materia de protección de datos que tiene atribuidas, de conformidad con lo que establezcan las disposiciones necesarias para su asunción y ejercicio por la Comunidad Autónoma.

Precisamente, en el BOJA de 17 de septiembre de 2018, se ha publicado el Acuerdo de 11 de septiembre de 2018, del Consejo de Gobierno, por el que se determina la asunción de las funciones en materia de protección de datos por el Consejo de la Transparencia y Protección de Datos de Andalucía.

Ahora bien, la disposición final primera de este Acuerdo faculta a la persona titular de la Consejería competente en materia de transparencia para dictar las disposiciones y realizar cuantas actuaciones sean necesarias en desarrollo y ejecución de lo dispuesto en el presente Acuerdo y, en particular, para dictar la Orden que establezca el inicio del ejercicio de las funciones en materia de protección de datos de carácter personal por el Consejo de Transparencia y Protección de Datos de Andalucía que le son propias.

Así las cosas, hasta tanto no se dicte dicha Orden, estas competencias continuarán siendo ejercidas por la Agencia Española de Protección de Datos.

Sobre consultas en materia de protección de datos.

Según se desprende del Informe de la Agencia Española de Protección de Datos de 3 de agosto de 2016 (N/REF: 044437/2016), en la medida en que el Consejo de Transparencia y Protección de Datos de Andalucía aún no ha asumido materialmente la competencia ejecutiva sobre protección de datos personales, es la Agencia estatal la llamada a resolver las consultas que puedan plantearse acerca de la aplicabilidad del límite del derecho de protección de datos a las obligaciones de publicidad activa establecidas en la Ley de Transparencia Pública de Andalucía.

Así pues, aunque esta Ley atribuye expresamente a la Dirección del Consejo la función de “resolver las consultas que en materia de... protección de datos le planteen las administraciones y las entidades sujetas a esta Ley” [art. 48.1 e)], a fin de evitar los problemas de inseguridad jurídica que acarrearía para los sujetos obligados al cumplimiento de nuestra Ley que el Consejo abordase este tipo de consultas -con un resultado, quizá, no necesariamente coincidente con el que sostenga la Agencia estatal-, hemos optado por seguir la línea directriz de ésta y, en consecuencia, dejar en suspenso el ejercicio de dicha función en tanto que este Consejo no asuma de forma efectiva la competencia ejecutiva en la materia.

Sobre el tratamiento de datos personales en el Consejo.

Puede acceder aquí para obtener mayor información sobre el tratamiento de datos personales en el Consejo de Transparencia y Protección de Datos de Andalucía, así como sobre el ejercicio de los derechos establecidos en el Reglamento General de Protección de Datos en relación con los mismos.

Normativa

- Reglamento Europeo de Protección de Datos (RGPD)

          - Corrección de errores

- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)

- Esquema de la estructura de la LOPDGDD con referencias al RGPD y a otra normativa citada en la ley.

Orientaciones para la aplicación de la DA7ª de la LOPDGDD

La Disposición Adicional 7ª de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, establece un método para la publicación del número del documento identificativo de los interesados cuando esta sea necesaria en el caso de anuncios y publicaciones de actos administrativos.

Ante las numerosas consultas recibidas, las autoridades de control en materia de protección de datos han elaborado de forma conjunta unas orientaciones provisionales para la aplicación de la mencionada Disposición Adicional para tratar de evitar que la adopción de fórmulas distintas pudieran dar lugar a posibilitar, ante publicaciones diversas, la recomposición íntegra del número de dicho documento identificativo.

Puede consultar aquí dichas orientaciones (actualizadas el 15/03/2019 con objeto de subsanar erratas detectadas).

Listado de tratamientos que exigen Evaluación de Impacto

El Reglamento General de Protección de Datos (RGPD) establece en su artículo 35.1 que las organizaciones que tratan datos tienen obligación de realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD) con anterioridad a la puesta en funcionamiento de dichos tratamientos cuando sea probable que, en función de su naturaleza, alcance, contexto o fines, entrañen un alto riesgo para los derechos y libertades de las personas.

Por otro lado, el artículo 35.4 RGPD prevé que cada autoridad de control establezca y publique una lista de los tipos de operaciones de tratamiento que requieran de una evaluación de impacto. Esta lista tiene, por tanto, la finalidad de ofrecer seguridad a los responsables respecto a cuáles son los tratamientos en que siempre se considerará que es probable que exista un alto riesgo. También de acuerdo con lo previsto por el RGPD, la lista ha sido comunicada al Comité Europeo de Protección de Datos, que ha emitido un dictamen favorable sobre ella, siguiendo los criterios establecidos en la valoración de todas las listas remitidas por las autoridades nacionales.

Puede consultar aquí la lista de operaciones de tratamiento que requieren la mencionada evaluación de impacto.