Читать книгу Análisis práctico de sanciones en materia de protección de datos -divididas por conceptos y sectores - Elena Davara Fernández de Marcos - Страница 45

La vigencia desde el 25 de mayo de 2018 del RGPD ha obligado a las administraciones públicas a introducir relevantes novedades en su modelo de gestión y protección de los datos personales. El Considerando 74 RGPD realiza toda una declaración de intenciones sobre el deber que incumbe a las entidades del sector público, en relación con la disposición de un sistema de cumplimiento en garantía del ejercicio de un derecho que, no olvidemos, tiene carácter fundamental. Dicho Considerando establece que “….el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el Reglamento General de Protección de Datos, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas”.

En este mandato podemos observar una conexión del modelo de control fijado, primero por el RGPD y después por la normativa interna aprobada por el legislador español, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) con las técnicas de Compliance, de un modo destacado en relación a los siguientes elementos: análisis de riesgos y evaluaciones de impacto, la figura del delegado de protección de datos en comparación con el Compliance Officer y la existencia de un canal de denuncias como medidas de cumplimiento normativo. Afirmación que se ve reforzada por la propia Agencia Española de Protección de Datos (en adelante AEPD) que ha procedido a la elaboración de una herramienta de cumplimiento normativo2, sobre la base de un diseño basado en la prevención, como lo demuestran los principios de privacidad desde el diseño y de proactividad.

La LOPDGDD dispone en su artículo 28 que los responsables y encargados del tratamiento determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el reglamento, con la propia ley orgánica, sus normas de desarrollo y la legislación sectorial aplicable. En particular, habrán de valorar si procede la realización de la evaluación de impacto en la protección de datos, lo que se exige en una serie de supuestos en los que se presume que existen mayores riesgos y que requieren de la adopción de medidas.

Tanto el RGPD como la LOPDGDD tienen en su ámbito subjetivo al conjunto de las administraciones públicas, que están por tanto, sujetas al marco obligacional descrito. Porque el tratamiento de los datos de carácter personal constituye, en determinados supuestos, una actividad necesaria para el desarrollo de las competencias de las diferentes administraciones públicas, pero eso no justifica que se encuentren exentas de justificación de dicho tratamiento sobre las bases jurídicas que ofrezcan legitimación a dicho tratamiento, sin perjuicio de que, en atención a la finalidad de interés público las bases jurídicas tengan distinta naturaleza.

Tal y como recoge el Considerando 40, “Para que el tratamiento sea lícito, los datos personales deben ser tratados con el consentimiento del interesado o sobre alguna otra base legítima establecida conforme a Derecho […]”.El RGPD diseña, en su artículo 6, un sistema de legitimación basado en seis bases jurídicas que no mantienen entre sí ninguna relación de prioridad o prelación, y que en el caso de las administraciones públicas se reconducen básicamente a aquellos tratamientos que sean necesarios para el cumplimiento de una obligación legal para el responsable y aquéllos necesarios para el cumplimiento de una misión realizada en interés público o ejercicio de poderes públicos.

Pero si algún elemento diferencial existe en relación con la posición de las Administraciones Públicas en relación a su posición como sujetos obligados en materia de protección de datos radica en la dimensión de la potestad sancionadora, tal y como examinaremos a continuación.