Inicio / Documentacion / RGPD y datos personales

RGPD y datos personales

Reglamento General de Protección de Datos aplicado

Versión 1.0

Capítulo 1: Relación entre RGPD y LO 7/2021

Dos regímenes jurídicos diferenciados

Existen DOS regímenes jurídicos de protección de datos aplicables a las policías locales:

AspectoRGPD (UE 2016/679)LO 7/2021
ÁmbitoTratamientos NO municipalesTratamientos para fines municipales
EjemplosGestión de RRHH, contabilidad, web públicaDenuncias, sanciones, atestados
DerechosDerechos plenos (acceso, rectificación, supresión, portabilidad)Derechos limitados (supresión muy restringida, no portabilidad)
ConsentimientoBase legal en muchos casosNO aplicable
AutoridadAEPD (Agencia Española de Protección de Datos)AEPD (misma autoridad, distinto régimen)

Criterio de distinción: finalidad del tratamiento

Para saber qué normativa aplicar, pregúntese: ¿Cuál es la finalidad del tratamiento?

  • Si la finalidad es prevenir, investigar o sancionar infracciones → LO 7/2021
  • Si la finalidad es otra (administrativa, laboral, contable, informativa) → RGPD

Ejemplos prácticos de distinción

TratamientoNormativa aplicableMotivo
Base de datos de denunciasLO 7/2021Finalidad municipal
Nóminas de agentesRGPDFinalidad laboral
Web del ayuntamientoRGPDFinalidad informativa
Cámaras de videovigilancia en comisaríaRGPD (si solo seguridad del edificio) o LO 7/2021 (si también para investigación)Depende de la finalidad
Formación de agentesRGPDFinalidad formativa
Sistema VioGénLO 7/2021Finalidad municipal (protección víctimas)

Capítulo 2: Tratamientos del sistema regidos por RGPD

Gestión de usuarios del sistema

Finalidad: Gestión de accesos al sistema informático

Normativa: RGPD (es un tratamiento administrativo, no municipal)

Base legal: Obligación legal (seguridad de sistemas de información - ENS)

Datos: TIP, nombre, email, rol, logs de acceso, IP

Plazo: Mientras el usuario esté activo + 3 años (logs de auditoría)

Derechos: Acceso, rectificación (NO supresión mientras esté en activo)

Portal web del ayuntamiento

Si ayuntamientosmart.com tiene una parte pública (web informativa), los datos recogidos se rigen por RGPD:

Finalidad: Atención a ciudadanos, información pública

Normativa: RGPD

Base legal: Consentimiento (si hay formulario de contacto) o Interés legítimo (si solo cookies analíticas)

Datos: Nombre, email, consulta enviada

Plazo: Hasta que se atienda la consulta + 1 año

Derechos: Todos los derechos RGPD plenos

Gestión de recursos humanos

Si el sistema se usa para gestionar datos laborales de agentes:

Finalidad: Gestión laboral

Normativa: RGPD

Base legal: Relación laboral (art. 6.1.b RGPD)

Datos: DNI, domicilio, datos bancarios (nómina), formación, evaluaciones

Plazo: Duración relación laboral + plazos legales (4 años datos fiscales, etc.)

Derechos: Todos los derechos RGPD

Capítulo 3: Principios del RGPD

Licitud, lealtad y transparencia

Similar a LO 7/2021 pero con más énfasis en transparencia:

  • Debe informarse SIEMPRE al interesado (no hay excepción por investigación en RGPD)
  • La información debe ser clara, concisa y de fácil acceso
  • Debe proporcionarse ANTES de recoger los datos

Limitación de la finalidad

Los datos solo pueden usarse para las finalidades informadas:

  • Datos recogidos para nómina NO pueden usarse para marketing
  • Datos de formulario web NO pueden usarse para enviar publicidad (salvo consentimiento)

Minimización de datos

Solo recoger datos estrictamente necesarios:

  • Para formulario de contacto: nombre, email, consulta → SÍ
  • Para formulario de contacto: DNI, dirección, teléfono → Probablemente NO (salvo que sea necesario)

Exactitud

Los datos deben ser exactos y actualizarse:

  • Si un agente cambia de email, debe actualizarse en el sistema
  • Datos incorrectos deben rectificarse a petición del interesado

Limitación del plazo de conservación

Los datos no pueden conservarse indefinidamente:

  • Logs de acceso al sistema: 3 años (ENS)
  • Currículums de procesos de selección: hasta fin del proceso + 1 año
  • Datos de consultas web: hasta resolución + 1 año

Integridad y confidencialidad

Medidas de seguridad adecuadas:

  • Cifrado de datos sensibles
  • Control de acceso
  • Copias de seguridad
  • Protección contra ataques

Responsabilidad proactiva (accountability)

El responsable debe poder demostrar que cumple el RGPD:

  • Documentar tratamientos (registro de actividades)
  • Realizar evaluaciones de impacto
  • Adoptar medidas técnicas y organizativas
  • Poder evidenciar el cumplimiento ante AEPD

Capítulo 4: Bases de legitimación (RGPD)

A diferencia de la LO 7/2021, el RGPD tiene 6 bases de legitimación. Debe existir AL MENOS UNA para cada tratamiento:

a) Consentimiento del interesado

El interesado ha dado su consentimiento para el tratamiento. Requisitos:

  • Libre (sin coacción)
  • Informado (sabe para qué da el consentimiento)
  • Específico (consentimiento para cada finalidad)
  • Inequívoco (acción afirmativa, no silencio)

Ejemplo: Suscripción a newsletter del ayuntamiento → Requiere consentimiento

b) Ejecución de un contrato

El tratamiento es necesario para ejecutar un contrato con el interesado.

Ejemplo: Datos de agentes para gestionar su contrato laboral

c) Obligación legal

El tratamiento es necesario para cumplir obligación legal del responsable.

Ejemplo: Conservar datos fiscales 4 años (obligación tributaria)

d) Protección de intereses vitales

El tratamiento es necesario para proteger la vida del interesado u otra persona.

Ejemplo: Comunicar datos médicos de un agente herido a servicios de emergencia

e) Interés público o ejercicio de poderes públicos

El tratamiento es necesario para misión de interés público o ejercicio de autoridad pública.

Ejemplo: Publicar información en web del ayuntamiento (transparencia)

f) Interés legítimo

El tratamiento es necesario para interés legítimo del responsable o tercero, siempre que no prevalezcan derechos del interesado.

Ejemplo: Videovigilancia de instalaciones para seguridad del edificio (interés legítimo: proteger el patrimonio)

Capítulo 5: Derechos de los interesados (RGPD)

En tratamientos regidos por RGPD, los derechos son MÁS AMPLIOS que en LO 7/2021.

Derecho de información

Debe informarse al interesado de:

  • Identidad del responsable
  • DPD (si existe)
  • Finalidades del tratamiento
  • Base legal
  • Destinatarios de los datos
  • Plazo de conservación
  • Derechos que le asisten
  • Derecho a reclamar ante AEPD
  • Si la comunicación de datos es obligatoria y consecuencias de no facilitarlos

Derecho de acceso

El interesado puede obtener:

  • Confirmación de si se tratan sus datos
  • Acceso a sus datos personales
  • Copia de los datos (primera copia gratuita)
  • Información sobre el tratamiento (finalidad, destinatarios, plazo, etc.)

Derecho de rectificación

Datos inexactos deben rectificarse sin dilación. Datos incompletos pueden completarse.

Derecho de supresión ("derecho al olvido")

El interesado puede solicitar supresión si:

  • Los datos ya no son necesarios
  • Retira el consentimiento (si era la base legal)
  • Se opone al tratamiento y no hay motivos imperiosos
  • Los datos se han tratado ilícitamente
  • Deben suprimirse por obligación legal

NO procede suprimir si:

  • Es necesario para cumplir obligación legal
  • Es necesario para formular, ejercer o defender reclamaciones
  • Es necesario por razones de interés público

Derecho a la limitación del tratamiento

El interesado puede solicitar que se limite el tratamiento (no borrar, pero no usar) si:

  • Impugna la exactitud de los datos (hasta que se verifique)
  • El tratamiento es ilícito pero no quiere suprimir
  • Ya no son necesarios pero los necesita para reclamaciones
  • Se ha opuesto al tratamiento (hasta que se verifique si prevalecen motivos del responsable)

Derecho a la portabilidad

El interesado puede recibir sus datos en formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable, si:

  • El tratamiento se basa en consentimiento o contrato
  • Y el tratamiento es automatizado

Ejemplo: Un agente puede solicitar sus datos de formación en formato Excel para llevarlos a otra administración.

Derecho de oposición

El interesado puede oponerse al tratamiento basado en interés legítimo o interés público. El responsable debe dejar de tratar salvo que acredite motivos imperiosos.

Oposición ABSOLUTA a tratamiento para marketing directo (siempre debe atenderse).

Capítulo 6: Obligaciones del responsable (RGPD)

Registro de actividades de tratamiento

Similar a LO 7/2021. Debe documentarse cada tratamiento.

Evaluación de Impacto (EIPD)

Obligatoria cuando el tratamiento pueda entrañar alto riesgo para derechos y libertades:

  • Uso de nuevas tecnologías
  • Tratamiento a gran escala de categorías especiales de datos
  • Observación sistemática a gran escala (videovigilancia masiva)
  • Perfilado automatizado con efectos jurídicos

Delegado de Protección de Datos (DPD/DPO)

Obligatorio para autoridades públicas (incluidos ayuntamientos). Puede ser el mismo DPD para tratamientos RGPD y LO 7/2021.

Notificación de brechas de seguridad

Si hay brecha de seguridad:

  1. Notificar a AEPD en 72 horas (igual que LO 7/2021)
  2. Si hay alto riesgo, notificar también a los interesados
  3. Documentar la brecha

Privacy by design y by default

Incorporar protección de datos desde el diseño:

  • Minimizar datos desde el diseño del formulario
  • Cifrado por defecto de datos sensibles
  • Configuraciones por defecto respetuosas con la privacidad

Acciones

Imprimir Ver PDF Soporte

Documentos relacionados

En esta página