Tema 13 del Auxiliar Administrativo: Protección de Datos Personales — RGPD y LOPDGDD

La protección de datos personales es uno de esos temas que cae siempre. No hay convocatoria de Auxiliar Administrativo del Estado que no incluya al menos 2 o 3 preguntas sobre el RGPD y la LOPDGDD. Además, es un tema que vas a aplicar todos los días como funcionario: cada vez que manejes un expediente, atiendas a un ciudadano o accedas a una base de datos, estarás tratando datos personales.

Lo que vas a leer aquí cubre el Reglamento General de Protección de Datos (RGPD), la Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) y el papel de la Agencia Española de Protección de Datos (AEPD). Con referencias directas a los artículos que necesitas para el examen.

El RGPD: Reglamento (UE) 2016/679

El Reglamento General de Protección de Datos (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016) es la norma europea que regula el tratamiento de datos personales de las personas físicas. Es de aplicación directa en todos los Estados miembros desde el 25 de mayo de 2018, sin necesidad de transposición.

Un dato personal es toda información sobre una persona física identificada o identificable (nombre, DNI, correo electrónico, dirección IP, datos de salud, etc.). El tratamiento es cualquier operación sobre esos datos: recogida, registro, consulta, comunicación, destrucción.

Principios del tratamiento (art. 5 RGPD)

El artículo 5 es uno de los más preguntados en examen. Contiene siete principios que debes memorizar:

1. Licitud, lealtad y transparencia: los datos se tratan de forma lícita, leal y transparente para el interesado. Hay que informarle de quién trata sus datos, con qué finalidad y sobre qué base jurídica.
2. Limitación de la finalidad: los datos se recogen con fines determinados, explícitos y legítimos. No pueden tratarse posteriormente de manera incompatible con dichos fines (salvo para archivo en interés público, investigación científica o histórica o fines estadísticos).
3. Minimización de datos: solo se recogen los datos adecuados, pertinentes y estrictamente necesarios para la finalidad del tratamiento. Ni uno más.
4. Exactitud: los datos deben ser exactos y estar actualizados. Los datos inexactos deben rectificarse o suprimirse sin dilación.
5. Limitación del plazo de conservación: los datos se conservan solo durante el tiempo necesario para los fines del tratamiento. Después, deben eliminarse o anonimizarse.
6. Integridad y confidencialidad: los datos se tratan con las medidas técnicas y organizativas adecuadas para garantizar su seguridad, incluida la protección contra el tratamiento no autorizado, la pérdida o la destrucción accidental.
7. Responsabilidad proactiva (accountability): el responsable del tratamiento no solo debe cumplir los principios anteriores, sino que debe ser capaz de demostrar que los cumple (art. 5.2).

Bases legitimadoras del tratamiento (art. 6 RGPD)

Para que un tratamiento sea lícito, debe ampararse en al menos una de las seis bases jurídicas del artículo 6.1. Este punto es crucial y contiene un artículo trampa habitual en examen:

1. Consentimiento del interesado para uno o varios fines específicos.
2. Ejecución de un contrato en el que el interesado es parte, o aplicación de medidas precontractuales.
3. Cumplimiento de una obligación legal aplicable al responsable del tratamiento.
4. Protección de intereses vitales del interesado o de otra persona física.
5. Cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable.
6. Interés legítimo del responsable o de un tercero, siempre que no prevalezcan los intereses o derechos fundamentales del interesado.

Ojo con el artículo trampa: en las Administraciones Públicas, la base legitimadora habitual no es el consentimiento, sino el cumplimiento de una misión de interés público (art. 6.1.e) o el cumplimiento de una obligación legal (art. 6.1.c). Si en el examen te preguntan qué base jurídica ampara el tratamiento de datos por una AAPP, la respuesta casi nunca es el consentimiento. Además, las AAPP no pueden invocar el interés legítimo (art. 6.1.f) como base del tratamiento: esta base queda reservada al sector privado.

Derechos de los interesados: ARCO-POL

El RGPD reconoce un conjunto de derechos a las personas cuyos datos se tratan. Tradicionalmente se conocían como derechos ARCO (Acceso, Rectificación, Cancelación y Oposición). Hoy se han ampliado y se denominan ARCO-POL:

• Acceso (art. 15): derecho a obtener del responsable confirmación de si se están tratando datos personales que te conciernen y, en tal caso, acceso a los datos y a información sobre las finalidades, categorías de datos, destinatarios, plazo de conservación, etc.
• Rectificación (art. 16): derecho a obtener la rectificación de los datos personales inexactos o a que se completen los datos incompletos.
• Supresión o derecho al olvido (art. 17): derecho a obtener la supresión de los datos personales cuando ya no sean necesarios, se retire el consentimiento, te opongas al tratamiento, los datos se hayan tratado ilícitamente, etc. En el caso de datos publicados en internet, el responsable debe adoptar medidas razonables para informar a otros responsables de la solicitud de supresión.
• Oposición (art. 21): derecho a oponerte en cualquier momento al tratamiento de tus datos, incluida la elaboración de perfiles. Si el tratamiento tiene fines de mercadotecnia directa, la oposición es absoluta (sin necesidad de justificación).
• Portabilidad (art. 20): derecho a recibir los datos personales que has proporcionado al responsable en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable sin que el primero lo impida.
• Limitación del tratamiento (art. 18): derecho a obtener la limitación del tratamiento cuando impugnes la exactitud de los datos, el tratamiento sea ilícito pero no quieras la supresión, el responsable ya no los necesite pero tú los necesites para reclamaciones, o te hayas opuesto al tratamiento y esté pendiente la verificación.

Estos derechos se ejercen ante el responsable del tratamiento, son gratuitos y deben ser atendidos en el plazo de un mes (ampliable a tres en casos de complejidad). Si el responsable no atiende la solicitud, el interesado puede reclamar ante la AEPD.

El Delegado de Protección de Datos (arts. 37-39 RGPD)

El DPD (o DPO, por sus siglas en inglés) es la figura encargada de supervisar el cumplimiento de la normativa de protección de datos dentro de una organización. Sus funciones principales son:

• Informar y asesorar al responsable y al encargado del tratamiento sobre sus obligaciones.
• Supervisar el cumplimiento del RGPD y de las políticas internas.
• Cooperar con la autoridad de control (en España, la AEPD).
• Actuar como punto de contacto con la AEPD y con los interesados.

Artículo trampa para examen: la designación del DPD es obligatoria siempre en las Administraciones Públicas (art. 37.1.a RGPD), sin excepciones. También es obligatoria cuando la actividad principal consista en tratamientos a gran escala de categorías especiales de datos (datos de salud, biométricos, penales, etc.) o en la observación habitual y sistemática de interesados a gran escala.

La LOPDGDD: Ley Orgánica 3/2018

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) es la norma española que adapta el ordenamiento jurídico interno al RGPD. No sustituye al RGPD (que es directamente aplicable), sino que lo complementa y desarrolla en los aspectos donde el Reglamento deja margen a los Estados miembros.

Novedades principales de la LOPDGDD

Datos de personas fallecidas (art. 3 LOPDGDD)

La LOPDGDD permite que los herederos, o las personas vinculadas al fallecido por razones familiares o de hecho, puedan solicitar el acceso, la rectificación o la supresión de los datos del difunto. Esta es una novedad importante que no estaba en la legislación anterior. Se exceptúa cuando el fallecido lo hubiera prohibido expresamente o así lo establezca una ley.

Edad mínima para el consentimiento de menores (art. 7 LOPDGDD)

Otro dato de examen frecuente. El RGPD permite que los Estados miembros fijen la edad para el consentimiento digital entre los 13 y los 16 años. España la ha fijado en 14 años. Por debajo de esa edad, el consentimiento debe otorgarlo el titular de la patria potestad o tutela.

Tratamientos concretos regulados

La LOPDGDD regula tratamientos específicos que el RGPD no detalla:

• Sistemas de videovigilancia (art. 22): se permite el tratamiento de imágenes con fines de preservación de la seguridad, siempre que se coloque un cartel informativo visible.
• Sistemas de exclusión publicitaria (listas Robinson, art. 23): los responsables deben consultar estos sistemas antes de realizar tratamientos con fines de publicidad.
• Sistemas de información crediticia (ficheros de morosos, art. 20): se limita la inclusión a deudas ciertas, vencidas y exigibles superiores a 50 euros, con obligación de notificar al afectado.
• Denuncias internas (art. 24): se admiten sistemas de denuncia anónima en el ámbito laboral para la comunicación de infracciones.

Derechos digitales (Título X LOPDGDD)

Una de las aportaciones más novedosas de la LOPDGDD es el reconocimiento de un catálogo de derechos digitales en su Título X (arts. 79-97). Estos derechos no derivan del RGPD, sino que son una aportación exclusivamente española:

• Derecho a la neutralidad de Internet (art. 80): los proveedores de servicios de Internet deben proporcionar una oferta transparente y no discriminatoria.
• Derecho a la seguridad digital (art. 82): derecho a la seguridad de las comunicaciones transmitidas y almacenadas electrónicamente.
• Derecho a la desconexión digital en el ámbito laboral (art. 88): los trabajadores y empleados públicos tienen derecho a no atender comunicaciones profesionales fuera de su horario de trabajo. Las Administraciones Públicas deben elaborar una política interna de desconexión digital.
• Derecho a la intimidad frente al uso de dispositivos de videovigilancia y geolocalización en el ámbito laboral (arts. 89-90).
• Testamento digital (art. 96): las personas pueden establecer instrucciones sobre el destino de sus datos personales tras su fallecimiento ante el responsable del tratamiento o mediante documento ante notario.
• Derecho a la educación digital (art. 83): las Administraciones educativas deben incluir en los currículos la competencia digital y la garantía de los derechos en Internet.

La AEPD: Agencia Española de Protección de Datos

La Agencia Española de Protección de Datos (AEPD) es la autoridad administrativa independiente de ámbito estatal encargada de velar por el cumplimiento de la legislación de protección de datos (art. 44 LOPDGDD). Tiene personalidad jurídica propia y plena capacidad pública y privada.

Funciones principales

• Velar por el cumplimiento del RGPD y de la LOPDGDD.
• Atender las reclamaciones de los interesados.
• Ejercer la potestad de investigación (puede requerir información, acceder a locales, realizar auditorías).
• Ejercer la potestad sancionadora: imponer multas y medidas correctivas.
• Promover la sensibilización del público y de los responsables del tratamiento.
• Emitir circulares con carácter normativo.
• Cooperar con las autoridades de protección de datos de otros Estados miembros.

Régimen sancionador (arts. 70-78 LOPDGDD)

La LOPDGDD clasifica las infracciones en tres niveles:

Dato importante para las AAPP: las Administraciones Públicas no reciben multas económicas. Cuando la AEPD detecta una infracción por parte de una AAPP, emite una resolución declarando la infracción, establece las medidas a adoptar y puede proponer actuaciones disciplinarias. Además, se publica la resolución, lo que tiene un importante efecto reputacional.

Son infracciones muy graves, entre otras: tratar datos sin base legitimadora, no atender los derechos de los interesados de forma reiterada, la transferencia internacional de datos sin garantías adecuadas y la obstaculización de la labor inspectora de la AEPD.

Tratamiento de datos en las Administraciones Públicas: claves para el examen

Este bloque concentra los puntos que más confusión generan en los test. Resumen esquemático:

• Base legitimadora habitual: interés público (art. 6.1.e RGPD) u obligación legal (art. 6.1.c). No el consentimiento.
• Interés legítimo: las AAPP no pueden utilizarlo como base del tratamiento.
• DPD obligatorio: siempre, en todas las AAPP, sin excepción (art. 37.1.a RGPD).
• Consentimiento de menores: 14 años en España (no 16, como establece el RGPD por defecto).
• Sin multas para las AAPP: se dicta resolución declarativa, medidas correctoras y publicación.
• Datos de personas fallecidas: los herederos pueden ejercer derechos de acceso, rectificación y supresión (novedad LOPDGDD).
• Responsabilidad proactiva: las AAPP deben poder demostrar el cumplimiento, no basta con cumplir.

Recursos para preparar el Tema 13

• Test gratuito de protección de datos
• Esquema de protección de datos
• Flashcards de protección de datos
• Guía completa: Oposiciones Auxiliar Administrativo del Estado

Si quieres preparar este tema y el resto del temario con tests actualizados, esquemas descargables y simulacros de examen corregidos, echa un vistazo a nuestro curso de Auxiliar Administrativo del Estado. Tienes acceso desde el primer día a todo el material y actualizaciones incluidas hasta que apruebes.