Área de protección de datos

 

El nuevo Estatuto de Autonomía para Andalucía, que fue aprobado el año 2007, reconoció explícitamente el “derecho de todas las personas al acceso, corrección y cancelación de sus datos personales en poder de las Administraciones públicas andaluzas” (artículo 32). Y, en consonancia con la consagración de este derecho, el Estatuto atribuyó a la Comunidad Autónoma ya en ese año 2007 “la competencia ejecutiva sobre protección de datos de carácter personal, gestionados por las instituciones autonómicas de Andalucía, Administración autonómica, Administraciones locales, y otras entidades de derecho público y privado dependientes de cualquiera de ellas, así como por las universidades del sistema universitario andaluz” (artículo 82).

 

La Ley 1/2014, de 24 de junio, de Transparencia Pública de Andalucía (LTPA) ha venido a asignar dicha competencia al Consejo de Transparencia y Protección de Datos de Andalucía. Así es; según establece su artículo 43.1, el Consejo es la “autoridad independiente de control en materia de protección de datos (...) en la Comunidad Autónoma de Andalucía”. De ahí que entre las atribuciones que dicha Ley encomienda a la Dirección del Consejo se incluya la de “desempeñar las funciones previstas en la legislación sobre protección de datos para su ejercicio por las agencias autonómicas en su caso” [art 48.1.i), así como la de “resolver las consultas que en materia de (...) protección de datos le planteen las administraciones y entidades sujetas a esta Ley” [art. 48.1.e)].

 

Sin embargo, la asunción efectiva por parte de este Consejo de la competencia en materia de protección de datos quedó diferida en virtud de lo establecido en la Disposición transitoria tercera del Decreto 434/2015, de 29 de septiembre, por el que se aprueban los Estatutos del Consejo de Transparencia y Protección de Datos de Andalucía.

 

La Orden de 1 de agosto de 2019, de la Consejería de Turismo, Regeneración, Justicia y Administración Local, vino a fijar el 1 de octubre de 2019 como la fecha de inicio del ejercicio de las funciones en materia de protección de datos por parte del Consejo. Desde entonces, corresponde al Consejo desempeñar tales funciones respecto de los tratamientos de los que sean responsables las instituciones autonómicas de Andalucía, la Administración de la Junta de Andalucía, la Administración Local en Andalucía y otras entidades dependientes de cualquiera de ellas, así como las universidades del sistema universitario andaluz, en los términos previstos en el artículo 57 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) (BOJA núm. 154, de 12 de agosto de 2019).

 

Puedes consultar en este enlace las entidades sujetas a la competencia del Consejo en materia de protección de datos.

a) Reclamación por vulneración del ejercicio de sus derechos en materia de protección de datos

 

El Reglamento General de Protección de Datos (RGPD), en sus artículos del 15 al 22, establece la posibilidad de ejercicio de derechos de las personas interesadas en relación con sus datos personales; estos derechos son:

  • derecho de acceso
  • derecho de rectificación
  • derecho de supresión (“el derecho al olvido”)
  • derecho a la limitación del tratamiento
  • derecho a la portabilidad de los datos
  • derecho de oposición
  • derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado

 

Si quieres conocer más sobre estos derechos, puedes hacerlo en https://www.aepd.es/reglamento/derechos/.

 

Estos derechos se ejercen ante los responsables del tratamiento, que han de atender la solicitud presentada en el plazo de un mes desde la recepción de la misma, salvo que en dicho plazo se comunique a la persona solicitante la ampliación del plazo de respuesta otros dos meses en caso de ser necesario (por su complejidad o por el número de solicitudes que haya de atender el responsable).

 

Si no se obtiene respuesta por parte del responsable del tratamiento o no se está de acuerdo con la respuesta recibida, puede efectuarse una reclamación ante la autoridad de control competente en materia de protección de datos.

 

En caso de que el responsable del tratamiento se encuentre dentro del ámbito competencial del Consejo, detallado anteriormente, es el Consejo de Transparencia y Protección de Datos de Andalucía la autoridad independiente de control en materia de protección de datos ante la que se ha de presentar la reclamación.

 

Por lo tanto, si has ejercido alguno de tus derechos ante algún responsable del tratamiento incluido en el ámbito mencionado y no has obtenido respuesta o no estás de acuerdo con la misma, puedes dirigirte al Consejo para efectuar una reclamación relativa a la presunta vulneración de tus derechos.

 

En la Ventanilla Electrónica del Consejo encontrarás el formulario para presentar la reclamación, así como información sobre cómo presentarla. En tu reclamación deberás identificarte adecuadamente, indicar el órgano reclamado, y acompañar copia de la solicitud efectuada ante dicho órgano en relación con el ejercicio de tus derechos; en su caso, deberás igualmente adjuntar copia de la respuesta recibida, así como de cualquier otra información o documentación que pueda ser de interés en la resolución de la reclamación.

 

b) Reclamación por otra vulneración de la normativa en materia de protección de datos personales

 

Puedes igualmente reclamar ante el Consejo cualquier otra vulneración que consideres que se ha producido en relación con la normativa de protección de datos personales, aunque no tenga que ver directamente con el ejercicio de tus derechos, y siempre que el responsable del tratamiento se encuentre dentro del ámbito competencial del Consejo descrito anteriormente.

 

Para ello, puedes emplear igualmente el formulario mencionado, accesible a través de la Ventanilla Electrónica del Consejo, consignando en el mismo el órgano reclamado y aportando la documentación que consideres conveniente en relación con los hechos o circunstancias reclamados.

 

NOTA: Cualquier reclamación relativa a un responsable del tratamiento que esté fuera del ámbito competencial del Consejo, puedes realizarla ante la Agencia Española de Protección de Datos [www.aepd.es] o la autoridad autonómica competente.

El artículo 37.7 del Reglamento General de Protección de Datos (RGPD) exige comunicar a la autoridad de control la designación de Delegados de Protección de Datos (DPD). A este respecto se pronuncia igualmente la LOPDGDD, que, en su artículo 34.3 establece que “los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos [...]

 

Por lo tanto, en el ámbito competencial del Consejo, las comunicaciones relativas a nombramientos y ceses de DPD, han de dirigirse al Consejo de Transparencia y Protección de Datos de Andalucía. No es preciso volver a repetir ante el Consejo las comunicaciones ya realizadas a la Agencia Española de Protección de Datos antes del 1 de octubre de 2019.

 

En la Ventanilla Electrónica del Consejo encontrarás el formulario para realizar la correspondiente comunicación, así como información sobre cómo presentar la misma. En este documento puedes encontrar también información sobre cómo realizar la presentación de forma telemática.

 

Por otra parte, los datos comunicados al Consejo servirán de base para que este pueda publicar por medios electrónicos una relación actualizada de delegados de protección de datos, a los efectos de dar cumplimiento al art. 34.4 de la LOPDGDD.

 

En este enlace puedes consultar la información relativa a las entidades que han comunicado al Consejo de Transparencia y Protección de Datos de Andalucía a partir del 1 de octubre de 2019 el nombramiento o designación de su DPD, así como sus datos de contacto, de acuerdo con lo establecido en el artículo 37.7 del RGPD y en el art. 34.3 de la LOPDGDD.

 

Puedes acceder a este enlace para consultar la relación de delegados de protección de datos publicada por la Agencia Española de Protección de Datos, donde figuran aquellos delegados de organismos o entidades incluidas en el ámbito competencial del Consejo, pero cuya comunicación a la autoridad de control fue realizada con anterioridad al 1 de octubre de 2019, fecha de la asunción material de la competencia en materia de protección de datos personales por parte del Consejo.

 

Cualquier consulta sobre la cumplimentación del formulario o sobre el proceso de comunicación de información del Delegado de Protección de Datos al Consejo de Transparencia y Protección de Datos de Andalucía, puedes realizarla a la dirección de correo electrónico: registro.dpd.ctpda@juntadeandalucia.es.

El Reglamento General de Protección de Datos (RGPD) define una “violación de la seguridad de datos personales” como toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

 

En su artículo 33 se regula la necesaria notificación, por parte del responsable de tratamiento, de violaciones de la seguridad de los datos personales a la autoridad de control competente sin dilación indebida y, de ser posible a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

 

Se describe en el artículo 33.4 la información que han de incluir las mencionadas notificaciones; información que, de no ser posible facilitar de forma simultánea y completa, puede notificarse de modo gradual sin dilación indebida.

 

La Agencia Española de Protección de Datos, en colaboración con el Centro Criptológico Nacional y con el Instituto Nacional de Ciberseguridad, ha editado una “Guía para la gestión y notificación de brechas de seguridad”, con el objeto de facilitar a los responsables de tratamiento la identificación de dichos incidentes y cómo gestionar su notificación a la autoridad de control. Puedes acceder al documento en este enlace.

 

Con base en los modelos contenidos en dicha guía, se ha elaborado por parte del Consejo de Transparencia y Protección de Datos un formulario para las notificaciones de violaciones de seguridad que, dentro de su ámbito competencial, hayan de serle notificadas por parte de los responsables de tratamiento.

 

En la Ventanilla Electrónica del Consejo puedes encontrar el formulario para realizar la correspondiente notificación, así como información sobre cómo presentar la misma.

 

Con independencia de la notificación a la autoridad de control, el artículo 34 RGPD establece también cuándo la existencia de la violación de seguridad ha de comunicarse a las personas físicas afectadas. A estos efectos, la Agencia Española de Protección de Datos ha elaborado una herramienta, denominada Comunica-Brecha RGPD, con el objeto de ayudar a la decisión sobre la realización de la mencionada comunicación. Dicha herramienta ha sido integrada en la página web del Consejo, y puedes acceder a ella desde este enlace.

Resoluciones más destacadas

Corresponden a la Dirección del Consejo, de acuerdo con lo dispuesto en los artículos 43.1 i) de la LTPA y en el artículo 57 de la LOPDGDD, el ejercicio de las funciones y potestades recogidas en los artículos 57 y 58 del Reglamento General de Protección de Datos (RGPD), como autoridad autonómica de protección de datos personales y dentro de su ámbito competencial. Entre las mencionadas funciones, según establece el artículo 57.1 f) RGPD, se encuentra, “tratar las reclamaciones presentadas por un interesado o por un organismo, organización o asociación de conformidad con el artículo 80, e investigar, en la medida oportuna, el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación ...”.

 

En este apartado se muestra una síntesis de las resoluciones más destacadas emitidas por el Consejo, una vez notificadas a los interesados y anonimizadas:

 

Resolución RED-1/2020, de 9 de octubre, DESESTIMATORIA, en relación a la reclamación presentada por la falta de algún documento entre los aportados como respuesta a la solicitud de EJERCICIO DE DERECHO de acceso ante el Servicio Andaluz de Salud (SAS) y la ilegibilidad de otros. Desde el SAS se reenvía la información al reclamante, solucionando el problema de legibilidad y se acredita la remisión de toda la documentación clínica existente al mismo. pdf

 

Resolución RED-2/2020, de 20 de octubre, DESESTIMATORIA, en relación a dos reclamaciones presentadas por no haber sido debidamente atendido el EJERCICIO DE DERECHO de acceso a las declaraciones y test realizados por orden de un órgano judicial- ante un Instituto de Medicina Legal adscrito a la Dirección General de la Oficina Judicial y Fiscal. Se considera que el derecho de acceso ha de resolverse por el órgano judicial competente, como responsable del tratamiento, si bien el órgano reclamado, como encargado de tratamiento, debe dar traslado de la solicitud de ejercicio del derecho al mencionado órgano judicial. pdf

 

Resolución RED-3/2020, de 12 de noviembre, ESTIMATORIA por motivos formales, relativa a una reclamación por inadecuada atención al EJERCICIO DE DERECHO de acceso sobre datos personales por el Servicio Andaluz de Salud. Se produce una atención extemporánea del ejercicio de derechos, por lo que se estima por motivos formales la reclamación, sin que proceda instar a otra actuación al órgano reclamado. pdf

 

Resolución RED-4/2020, de 23 de diciembre, DESESTIMATORIA, en relación a una reclamación presentada por no haber sido atendido el EJERCICIO DE DERECHO de supresión de datos de un historial médico de urgencias. Se considera que la denegación del derecho de supresión por el Servicio Andaluz de Salud está justificada en virtud del artículo 17.3 RGPD que recoge los supuestos en los que no procede el derecho de supresión y de la Ley de Autonomía del Paciente que obliga a los centros sanitarios a conservar la historia clínica. pdf

 

Resolución RED-5/2020, de 30 de diciembre, ESTIMATORIA por motivos formales, relativa a una reclamación por inadecuada atención al EJERCICIO DE DERECHO de acceso sobre datos personales por el Servicio Andaluz de Salud. Se produce una atención extemporánea del ejercicio de derechos, por lo que se estima por motivos formales la reclamación, sin que proceda instar a otra actuación al órgano reclamado. pdf

 

Resolución RED-6/2020, de 30 de diciembre, DESESTIMATORIA, relativa a una reclamación por inadecuada atención al EJERCICIO DE DERECHO de acceso a datos personales por el Instituto de Medicina Legal y Ciencias Forenses de Huelva, adscrito a la Dirección General de la Oficina Judicial y Fiscal (Consejería de Turismo, Regeneración Justicia y Administración Local). Se desestima por considerar que es el órgano judicial competente el responsable del tratamiento ante el que se debió ejercitar el derecho de acceso, siendo el Instituto de Medicina Legal y Ciencias Forenses de Huelva un encargado de tratamiento. Se insta a la Dirección General de la Oficina Judicial y Fiscal a trasladar, en el plazo máximo de quince días, la solicitud de ejercicio de derecho de acceso al órgano judicial correspondiente. pdf

 

Resolución RED-7/2020, de 30 de diciembre, declarando la PÉRDIDA SOBREVENIDA DEL OBJETO, relativa a una reclamación por inadecuada atención al EJERCICIO DE DERECHO de acceso sobre datos personales por el Servicio Andaluz de Salud. Se procede a declarar la pérdida sobrevenida del objeto de la reclamación y, consiguientemente, la terminación del procedimiento, en la medida en que el Servicio Andaluz de Salud ha dado respuesta a la solicitud formulada a partir de la intervención del Delegado de Protección de Datos. pdf

 

Resolución RED-1/2021, de 9 de febrero, ESTIMATORIA por motivos formales, relativa a una reclamación por inadecuada atención al EJERCICIO DE DERECHO de acceso sobre datos personales por el Ayuntamiento de Las Gabias (Granada). Se produce una atención extemporánea del ejercicio de derechos, por lo que se estima por motivos formales la reclamación, sin que proceda instar a otra actuación al órgano reclamado. pdf

 

Resolución RED-2/2021, de 10 de febrero, ESTIMATORIA por motivos formales, relativa a una reclamación por inadecuada atención al EJERCICIO DE DERECHO de acceso sobre datos personales por el Servicio Andaluz de Salud. Se produce una atención extemporánea del ejercicio de derechos, por lo que se estima por motivos formales la reclamación, instando al órgano reclamado a realizar las actuaciones que sean necesarias para garantizar que se ha procedido de modo efectivo a la rectificación de los datos objeto de la reclamación. pdf

 

Dictámenes más destacados

Es función de la Dirección del Consejo, de acuerdo con el artículo 48.1 e) de la LTPA, “resolver las consultas que en materia de transparencia o protección de datos le planteen las administraciones y entidades sujetas a esta Ley". A su vez, como parte de los poderes consultivos establecidos para la autoridad de control en el artículo 58.3 b) del RGPD se encuentra “emitir, por iniciativa propia o previa solicitud, dictámenes destinados al Parlamento nacional, al Gobierno del Estado miembro o, con arreglo al Derecho de los Estados miembros, a otras instituciones y organismos, así como al público, sobre cualquier asunto relacionado con la protección de los datos personales”.

 

En este apartado se muestra una síntesis de los Dictámenes más destacados emitidos por el Consejo:

 

Dictamen 1/2020, de 3 de junio, relativo a la utilización en un procedimiento disciplinario de documentación con datos personales que acompaña a una denuncia, en particular, grabaciones efectuadas por el propio denunciante pdf

 

Dictamen 2/2020, de 17 de agosto, relativo a la utilización de alternativas al binomio "hombre/mujer" en la cumplimentación de la variable "Sexo" en los formularios, y a las garantías en el tratamiento de dichos datos pdf

 

Dictamen 3/2020, de 13 de noviembre, relativo a la asignación de los roles que recaen sobre la Dirección General de Transformación Digital respecto a los tratamientos que realiza o en los que participa, en el ejercicio de sus competencias, para diversas Consejerías y organismos en el seno de la Junta de Andalucía pdf

 

Dictamen 4/2020, de 3 de diciembre, relativo a la consulta efectuada por parte del Delegado de Protección de Datos de la Consejería de Salud y Familias en relación con la solicitud, por parte de un Ayuntamiento, de los datos de las personas del municipio fallecidas por COVID-19, a los efectos de tributarles un homenaje pdf

La Disposición Adicional 7ª de la LOPDGDD, establece un método para la publicación del número del documento identificativo de los interesados cuando esta sea necesaria en el caso de anuncios y publicaciones de actos administrativos.

 

Ante las numerosas consultas recibidas, las autoridades de control en materia de protección de datos han elaborado de forma conjunta unas orientaciones provisionales para la aplicación de la mencionada Disposición Adicional para tratar de evitar que la adopción de fórmulas distintas pudieran dar lugar a posibilitar, ante publicaciones diversas, la recomposición íntegra del número de dicho documento identificativo.

 

Puedes consultar en el siguiente enlace dichas orientaciones (actualizadas el 15/03/2019 con objeto de subsanar erratas detectadas).

El Reglamento General de Protección de Datos (RGPD) establece en su artículo 35.1 que las organizaciones que tratan datos tienen obligación de realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD) con anterioridad a la puesta en funcionamiento de dichos tratamientos cuando sea probable que, en función de su naturaleza, alcance, contexto o fines, entrañen un alto riesgo para los derechos y libertades de las personas.

 

En relación con esto, el artículo 35.4 RGPD prevé que cada autoridad de control establezca y publique una lista de los tipos de operaciones de tratamiento que requieran de una evaluación de impacto. Esta lista tiene, por tanto, la finalidad de ofrecer seguridad a los responsables respecto a cuáles son los tratamientos en que siempre se considerará que es probable que exista un alto riesgo. También de acuerdo con lo previsto por el RGPD, la lista ha sido comunicada al Comité Europeo de Protección de Datos, que ha emitido un dictamen favorable sobre ella, siguiendo los criterios establecidos en la valoración de todas las listas remitidas por las autoridades nacionales.

 

Puedes consultar en el siguiente enlace la lista de operaciones de tratamiento que requieren la mencionada evaluación de impacto.

 

Por otra parte, para facilitar a los responsables de los tratamientos la identificación de aquellos tratamientos que no requieren una EIPD, el RGPD, en su artículo 35.5, dispone que las autoridades de control podrán publicar una lista con los tratamientos que no requieran de la elaboración de una EIPD. Dicha lista deberá ser comunicada al Comité Europeo de Protección de Datos (CEPD).

 

Puedes consultar en el siguiente enlace la lista orientativa de tipos de tratamientos que no requieren la evaluación de impacto.