Tema 8 del Subalterno del Estado: Protección de Datos Personales

La protección de datos puede sonar a legislación técnica y abstracta, pero en el día a día de un subalterno es algo muy concreto: no puedes dejar un expediente con datos personales encima del mostrador, no puedes decirle a nadie el número de teléfono de un compañero sin su consentimiento, y cuando destruyes documentos tienes que usar la destructora, no la papelera. Si entiendes estas reglas básicas, entiendes la esencia del Tema 8.

El examen de Subalterno no te va a pedir que recites los 99 artículos del Reglamento General de Protección de Datos (RGPD). Lo que te va a preguntar es que entiendas los principios fundamentales, los derechos de los ciudadanos y, sobre todo, cómo aplicas todo esto en tu trabajo. Vamos a verlo de forma clara y práctica.

Qué es un dato personal y por qué hay que protegerlo

Un dato personal es cualquier información que permite identificar a una persona, directa o indirectamente. Los más evidentes son el nombre, los apellidos, el DNI, la dirección, el teléfono o el correo electrónico. Pero también son datos personales la imagen (una fotografía), la voz (una grabación), la dirección IP, los datos bancarios, los datos de salud, la afiliación sindical o las creencias religiosas.

La protección de datos existe porque toda persona tiene derecho a controlar su información personal. Nadie puede recoger, guardar, usar o difundir tus datos sin un motivo legítimo y sin informarte de ello. Este derecho está reconocido en el artículo 18.4 de la Constitución Española y desarrollado por dos normas fundamentales:

• El RGPD (Reglamento General de Protección de Datos): Reglamento (UE) 2016/679, aplicable en toda la Unión Europea desde el 25 de mayo de 2018. Al ser un reglamento europeo, es directamente aplicable sin necesidad de transposición.
• La LOPDGDD (Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los Derechos Digitales): la ley española que complementa y adapta el RGPD al ordenamiento jurídico nacional.

Conceptos clave que debes manejar

• Tratamiento de datos: cualquier operación que se realice con datos personales: recogerlos, guardarlos, consultarlos, modificarlos, comunicarlos a terceros o destruirlos. Cuando registras una visita en el libro de control de accesos, estás tratando datos personales.
• Responsable del tratamiento: la persona u organismo que decide para qué y cómo se tratan los datos. En la Administración Pública, el responsable suele ser el organismo (el Ministerio, la Dirección General, etc.).
• Encargado del tratamiento: quien trata los datos por cuenta del responsable (por ejemplo, una empresa de informática que gestiona los servidores del organismo).
• Interesado: la persona a quien pertenecen los datos. Es quien tiene los derechos de protección de datos.
• Delegado de Protección de Datos (DPD): una figura obligatoria en todas las Administraciones Públicas. Es el profesional encargado de supervisar que se cumple la normativa de protección de datos. Si tienes dudas sobre cómo tratar un dato, el DPD es tu referencia.

Los principios del RGPD simplificados

El RGPD establece una serie de principios que rigen todo tratamiento de datos personales. Para el nivel de Subalterno, lo importante es entender su significado práctico:

Licitud, lealtad y transparencia. Solo puedes tratar datos si hay una base legal que lo justifique (en la Administración, la base habitual es el cumplimiento de una obligación legal o el ejercicio de funciones de interés público). Además, debes ser transparente: el ciudadano tiene derecho a saber qué datos suyos se tratan y para qué.

Limitación de la finalidad. Los datos solo pueden usarse para el fin que justificó su recogida. Si registras el DNI de un visitante para el control de accesos, no puedes usar ese dato para otra cosa (por ejemplo, para enviarle publicidad).

Minimización de datos. Solo se recogen los datos estrictamente necesarios. En el libro de visitas, necesitas el nombre, el DNI y a quién visita. No necesitas su estado civil, su profesión ni su número de cuenta.

Exactitud. Los datos deben ser correctos y estar actualizados. Si un ciudadano te comunica que ha cambiado de dirección, esa información debe actualizarse en el sistema.

Limitación del plazo de conservación. Los datos no se guardan indefinidamente. Se conservan solo durante el tiempo necesario para la finalidad que justificó su recogida. Un registro de visitas de hace diez años probablemente ya no es necesario y debería haberse destruido.

Integridad y confidencialidad. Los datos deben protegerse frente a accesos no autorizados, pérdidas o destrucciones. Esto implica medidas de seguridad tanto físicas (armarios con llave, destructora de documentos) como informáticas (contraseñas, cifrado).

Responsabilidad proactiva. El responsable del tratamiento debe poder demostrar que cumple todos los principios anteriores. No basta con cumplir: hay que poder probarlo.

Derechos de los ciudadanos

El RGPD reconoce a los ciudadanos una serie de derechos sobre sus datos personales. Se conocen informalmente como los derechos ARSLOP (por sus iniciales):

• Acceso: el ciudadano puede pedir que le informen de qué datos suyos se tratan, para qué finalidad y quién tiene acceso a ellos.
• Rectificación: puede pedir que se corrijan datos inexactos o se completen datos incompletos.
• Supresión (derecho al olvido): puede pedir que se eliminen sus datos cuando ya no sean necesarios para la finalidad que justificó su recogida.
• Limitación del tratamiento: puede pedir que se restrinja temporalmente el uso de sus datos mientras se resuelve una reclamación.
• Oposición: puede oponerse al tratamiento de sus datos en determinadas circunstancias.
• Portabilidad: puede pedir que se le entreguen sus datos en un formato estructurado para transmitirlos a otro responsable.

Como subalterno, no vas a tramitar estos derechos directamente (eso corresponde al departamento competente), pero debes saber que existen. Si un ciudadano te dice en recepción "quiero ejercer mi derecho de acceso a mis datos", tu función es derivarlo al departamento adecuado o al DPD del organismo.

Aplicación práctica para el subalterno

Aquí está lo que realmente importa en tu trabajo diario y lo que más se pregunta en el examen:

No dar información a personas no autorizadas

Si un ciudadano te pregunta en recepción "¿cómo va el expediente de María García?", la respuesta es siempre la misma: "No puedo facilitarle esa información. Le derivo al departamento que lleva su asunto". Da igual que sea su marido, su hija o su abogado. Solo el interesado o su representante debidamente acreditado pueden acceder a información sobre sus datos.

Lo mismo aplica por teléfono: nunca confirmes ni niegues que una persona trabaja en el centro, que tiene una cita, que ha presentado una solicitud o cualquier otro dato que pueda identificarla.

No dejar documentos a la vista

Los documentos que contienen datos personales (expedientes, notificaciones, listados con nombres y DNI) nunca deben quedar a la vista del público. Si estás en recepción y tienes documentación sobre el mostrador, dale la vuelta o guárdala en un cajón cuando atiendas a alguien. Esta regla parece obvia, pero se incumple constantemente y es una fuente habitual de infracciones.

Usar la destructora de documentos

Los documentos con datos personales no van a la papelera ni al contenedor de papel reciclado. Van a la destructora de documentos. Esto incluye: copias de DNI, listados con datos de empleados, borradores de notificaciones, sobres con direcciones, etiquetas de envío... Cualquier papel que contenga información que permita identificar a una persona debe destruirse de forma segura.

Si encuentras documentos con datos personales en una papelera, recógelos y pásalos por la destructora. Y comunica la incidencia al DPD para que se tomen medidas.

Bloquear el ordenador al ausentarte

Si utilizas un ordenador en tu puesto de trabajo (por ejemplo, para el sistema de registro de visitas), bloquéalo siempre que te levantes, aunque sea un momento. En Windows, basta con pulsar la tecla de Windows + L. Si alguien no autorizado accediera al sistema aprovechando que te has ausentado, la responsabilidad podría recaer en ti.

No copiar datos en dispositivos personales

Nunca copies información del trabajo en tu teléfono personal, en un pendrive propio ni en una cuenta de correo personal. Los datos de la Administración se tratan con los medios de la Administración. Si necesitas trasladar un archivo, utiliza los medios autorizados (red interna, correo corporativo, sistema de gestión documental).

Comunicar incidencias al DPD

Si detectas cualquier situación que pueda suponer una brecha de seguridad de datos personales (documentos tirados en la basura, un ordenador desbloqueado con datos visibles, un sobre abierto con información confidencial, un acceso no autorizado), debes comunicarlo inmediatamente al Delegado de Protección de Datos o, si no conoces quién es, a tu superior jerárquico. Las brechas de seguridad deben notificarse a la AEPD en un plazo máximo de 72 horas, así que la rapidez es fundamental.

La AEPD: la autoridad de control

La Agencia Española de Protección de Datos (AEPD) es el organismo público independiente encargado de velar por el cumplimiento de la normativa de protección de datos en España. Sus funciones principales son:

• Supervisar que las organizaciones (públicas y privadas) cumplen el RGPD y la LOPDGDD.
• Atender las reclamaciones de los ciudadanos que consideren que sus datos han sido tratados indebidamente.
• Imponer sanciones por infracciones de la normativa.
• Emitir guías y recomendaciones para facilitar el cumplimiento.

Para el examen, lo importante es saber que existe, que cualquier ciudadano puede presentar una reclamación ante la AEPD si cree que sus datos han sido vulnerados, y que las Administraciones Públicas no son sancionadas con multas económicas (a diferencia de las empresas privadas), pero sí pueden recibir un apercibimiento público y la obligación de corregir la infracción.

Consecuencias de incumplir la protección de datos

Como empleado público, el incumplimiento de la normativa de protección de datos puede acarrearte consecuencias disciplinarias:

• Falta leve: por descuidos menores (dejar un documento a la vista de forma puntual).
• Falta grave: por incumplimientos reiterados o con mayor impacto (revelar datos personales a terceros no autorizados).
• Falta muy grave: por vulneraciones deliberadas y graves (acceder a expedientes sin autorización para obtener beneficio personal, difundir datos especialmente protegidos).

Las sanciones disciplinarias van desde la amonestación hasta la separación del servicio (el despido del funcionario), pasando por la suspensión de empleo y sueldo. Y, en casos extremos, podría haber también responsabilidad penal (el artículo 197 del Código Penal tipifica el descubrimiento y revelación de secretos).

La conclusión es clara: la protección de datos no es un tema menor. Trátalo con seriedad en tu trabajo y en el examen.

Datos especialmente protegidos

El RGPD distingue una categoría de datos que merecen una protección reforzada por su especial sensibilidad. Son las llamadas categorías especiales de datos:

• Origen étnico o racial.
• Opiniones políticas.
• Convicciones religiosas o filosóficas.
• Afiliación sindical.
• Datos genéticos y biométricos (huellas dactilares, reconocimiento facial).
• Datos de salud.
• Datos relativos a la vida sexual o la orientación sexual.

Como subalterno, es poco probable que manejes estos datos directamente, pero debes saber que existen y que su tratamiento está especialmente restringido. Si alguna vez te llega un sobre que contenga un informe médico o cualquier documento con datos de salud, extrema las precauciones: entrégalo cerrado y en mano al destinatario.

Consejos para el examen de Subalterno

• Memoriza los principios del RGPD: licitud, limitación de finalidad, minimización, exactitud, limitación de conservación, integridad y confidencialidad.
• Aprende los derechos ARSLOP: acceso, rectificación, supresión, limitación, oposición, portabilidad.
• Céntrate en las aplicaciones prácticas: las preguntas más frecuentes son situaciones concretas del tipo "¿qué debe hacer el subalterno si...?".
• Recuerda la conexión con el Tema 6: la destructora de documentos, el libro de visitas y la confidencialidad son funciones directas del subalterno.
• No olvides la AEPD y el DPD: quién vigila y a quién acudir.

Recursos para preparar este tema

• Test de Protección de Datos -- Practica con preguntas tipo examen sobre RGPD y LOPDGDD.
• Esquema de Protección de Datos -- Resumen visual de principios y derechos.
• Flashcards de Protección de Datos -- Repasa los conceptos clave de forma rápida.
• Guía completa de oposiciones de Subalterno -- Todo sobre la oposición: temario, requisitos, convocatorias.

Si quieres prepararte con test actualizados, esquemas y simulacros para todas las oposiciones de la AGE, echa un vistazo a nuestro curso de Parte General. Tienes acceso completo al temario, test ilimitados y seguimiento personalizado.