El Consejo de Transparencia y Protección de Datos de Andalucía ha aprobado el Plan de Control e Inspección sobre Protección de Datos del sector público andaluz 2023-2025 dividido en cuatro líneas básicas de actuación.

La Línea 1 se dirige al control del cumplimiento de la obligación de designación del delegado de protección de datos (DPD) por parte de los organismos públicos, preferentemente en los ayuntamientos andaluces, ya que, debido a su ámbito territorial y competencial, los tratamientos de datos personales que estos DPD llevan a cabo afectan a la totalidad de la población andaluza. El objetivo será alcanzar el 100% de los ayuntamientos.

El RGPD establece la figura de DPD como un elemento clave dentro del modelo de responsabilidad proactiva propugnado por la citada norma, siendo su función prestar al responsable del tratamiento la asistencia y asesoramiento sobre las obligaciones del RGPD y el resto de normativa aplicable en protección de datos, así como supervisar su cumplimiento.

La Línea 2 verificará el cumplimiento de los principales elementos de responsabilidad proactiva en proyectos que traten datos personales haciendo un uso intensivo de nuevas tecnologías y que, por su naturaleza, alcance, contexto o fines, pudieran entrañar un alto riesgo para los derechos y libertades de las personas físicas.

En los últimos tiempos, los avances tecnológicos han provocado un impacto significativo en la protección de los datos personales. Tecnologías como el machine learning, la inteligencia artificial, el análisis de big data, el internet de las cosas (IoT), el reconocimiento facial u otras tecnologías biométricas y el blockchain han experimentado un crecimiento exponencial, siendo utilizadas en una amplia variedad de sectores y contextos. La Administración Pública no es ajena a esta transformación e incorpora una fuerte componente tecnológica en multitud de proyectos con repercusión directa en la ciudadanía. Sin embargo, esta rápida evolución plantea nuevos desafíos en términos de privacidad y seguridad de los datos personales.

El RGPD desempeña un papel fundamental en el control de este impacto. El Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales desde una perspectiva tecnológicamente neutral. La tecnología en sí misma no es un tratamiento de datos, sino un medio utilizado por los responsables para implementar operaciones de datos personales en un tratamiento. Esto implica que las organizaciones deben seleccionar cuidadosamente las tecnologías que utilizan, teniendo en cuenta los riesgos que entraña el tratamiento de datos para los derechos y libertades de las personas físicas.

En esta Línea se controlarán específicamente los siguientes aspectos:

- El nivel de participación del DPD, de acuerdo con sus funciones de asesoramiento y supervisión, en el diseño e implantación del proyecto.

- Las características del tratamiento y medidas técnicas y organizativas adoptadas para garantizar un nivel de seguridad adecuado al riesgo.

- La actualización de datos en el Inventario de actividades de tratamiento del responsable.

- La información a facilitar a los interesados sobre la existencia del tratamiento y el ejercicio de sus derechos.

- El análisis de riesgos, así como, en su caso, la evaluación de impacto relativa a la protección de datos.

Esta actuación afectará a una muestra de, al menos, doce proyectos anuales, gestionados por el sector público andaluz, que cumplan con los requisitos arriba indicados.

La Línea 3 verificará el cumplimiento de las obligaciones legales en materia de protección de datos por parte de los portales web institucionales del sector público en el uso de cookies, dadas las importantes implicaciones en relación con la privacidad y el amplio uso que realiza la ciudadanía de los mismos.

Esta línea comprobará el cumplimiento por el sector público andaluz de las dos obligaciones principales en la materia: la transparencia y el consentimiento. En el primer caso, la información sobre las cookies debe ser suficientemente completa y clara para permitir a los usuarios entender sus finalidades y el uso que se les dará. Esta información se debe facilitar antes de la utilización de las cookies no necesarias, a través de un banner que sea visible para el usuario y que deberá mantenerse hasta el momento en que éste realice la acción requerida para la obtención del consentimiento o su rechazo. En cuanto al consentimiento, éste debe ser proporcionado por el usuario de forma expresa.

Esta actuación afectará a una muestra aleatoria de, al menos, veinte portales web institucionales de la Administración de la Junta de Andalucía y organismos autónomos, entidades públicas empresariales, agencias y demás entes públicos vinculados o dependientes de la Administración autonómica; universidades del sistema universitario andaluz; diputaciones provinciales andaluzas; municipios que sean capitales de las provincias andaluzas y municipios que, sin ser capitales de provincia, tengan una población superior a 100.000 habitantes.

La Línea 4 controlará la realización de análisis de riesgos y, en su caso, de evaluaciones de impacto relativas a la protección de datos por parte de los responsables del tratamiento, dado que este análisis constituye uno de los elementos centrales en torno al cual se fundamenta el principio de responsabilidad proactiva.

Esta actuación afectará a una muestra aleatoria de, al menos, veinte inventarios de actividades de tratamiento de responsables del tratamiento de la Administración de la Junta de Andalucía y organismos autónomos, entidades públicas empresariales, agencias y demás entes públicos vinculados o dependientes de la Administración autonómica; universidades del sistema universitario andaluz; diputaciones provinciales andaluzas; municipios que sean capitales de las provincias andaluzas y municipios que, sin ser capitales de provincia, tengan una población superior a 100.000 habitantes.

Más información en este enlace.