FAQ Protección de Datos

RESPUESTA AEPD

En aplicación de lo establecido en la normativasanitaria, laboral y, en particular,de prevención de riesgos laborales, los empleadores podrán tratar, de acuerdo con dicha normativa y con las garantías que establecen, los datos del personal necesarios para garantizar susaludy adoptar las medidas necesarias por las autoridades competentes, lo que incluye igualmente asegurar elderecho a la protección de la salud del resto del personaly evitar los contagios en el seno de la empresa y/o centros de trabajoque puedan propagar la enfermedad al conjunto de la población.La empresa podráconocer si la persona trabajadoraestá infectadao no,paradiseñar a través de su servicio de prevención los planes de contingencia que sean necesarios,o que hayan sido previstos por las autoridades sanitarias. Esa información también puede ser obtenida mediante preguntas al personal. Sin embargo, las preguntasdeberían limitarse exclusivamente a indagar sobre la existencia de síntomas,o si la persona trabajadora ha sido diagnosticada como contagiada,o sujeta a cuarentena. Resultaría contrario al principio de minimización de datos la circulación de cuestionarios de salud extensos y detallados,o que incluyan preguntas no relacionadas con la enfermedad.

RESPUESTA AEPD

Con independencia de que las autoridades competentes, en particular las
sanitarias, establezcan estas medidas por una cuestión de Salud Pública y que
así lo comuniquen a los centros de trabajo, los empleadores tienen la obligación
legal de proteger la salud de las personas trabajadoras y mantener el lugar de
trabajo libre de riesgos sanitarios, por lo que estaría justificada la solicitud de
información a los empleados y visitantes externos sobre síntomas o factores de
riesgo sin necesidad de pedir su consentimiento explícito (RGPD y Ley de
Prevención de Riesgos Laborales).
La información a solicitar debería responder al principio de proporcionalidad y
limitarse exclusivamente a preguntar por visitas a países de alta prevalencia del
virus y en el marco temporal de incubación de la enfermedad, las últimas 2
semanas, o si se tiene alguno de los síntomas de la enfermedad. Resultaría
contrario al principio de minimización de datos la utilización de cuestionarios de
salud extensos y detallados, o que incluyan preguntas no relacionadas con la
enfermedad.

RESPUESTA FAQ

Para cumplir las decisiones sobre la pandemia de coronavirus que adopten las
autoridades competentes, en particular las sanitarias de las Administraciones
públicas, la normativa de protección de datos no debería utilizarse para
obstaculizar o limitar la efectividad de las medidas que adopten las autoridades,
especialmente las sanitarias, en la lucha contra la pandemia.
La normativa de protección de datos permite adoptar las medidas que sean
necesarias para salvaguardar los intereses vitales de las personas físicas, el
interés público esencial en el ámbito de la salud, la realización de diagnósticos
médicos, o el cumplimiento de obligaciones legales en el ámbito laboral, incluido el tratamiento de datos de salud sin necesidad de contar con el consentimiento
explícito el afectado.
En todo caso, el tratamiento de estos datos debe observar los principios
establecidos en el RGPD, en particular los de minimización, limitación de la
finalidad y minimización de la conservación.

RESPUESTA AEPD

Los trabajadores que, tras haber tenido contacto con un caso de coronavirus,
pudieran estar afectados por dicha enfermedad y que, por aplicación de los
protocolos establecidos por las Autoridades Sanitarias competentes, se ven
sometidos al correspondiente aislamiento preventivo para evitar los riesgos de
contagio derivados de dicha situación hasta tanto se disponga del
correspondiente diagnóstico, deberán informar a su empleador y al servicio de
prevención o, en su caso, a los delegados de prevención (Ley de Prevención de
Riesgos Laborales)
La persona trabajadora en situación de baja por enfermedad no tiene obligación
de informar sobre la razón de la baja a la empresa, sin embargo, este derecho
individual puede ceder frente a la defensa de otros derechos como el derecho a
la protección de la salud del colectivo de trabajadores en situaciones de
pandemia y, más en general, la defensa de la salud de toda la población.

RESPUESTA AEPD

Verificar si el estado de salud de las personas trabajadoras puede constituir un
peligro para ellas mismas, para el resto del personal, o para otras personas
relacionadas con la empresa constituye una medida relacionada con la vigilancia
de la salud de los trabajadores que, conforme a la Ley de Prevención de Riesgos
Laborales, resulta obligatoria para el empleador y debería ser realizada por
personal sanitario.
En todo caso, el tratamiento de los datos obtenidos a partir de las tomas de
temperatura debe respetar la normativa de protección de datos y, por ello y entre
otras obligaciones, debe obedecer a la finalidad específica de contener la
propagación del coronavirus, limitarse a esa finalidad y no extenderse a otras
distintas, y mantenidos no más del tiempo necesario para la finalidad para la que
se recaban.

RESPUESTA AEPD

Esta información debería proporcionarse sin identificar a la persona afectada a
fin de mantener su privacidad, si bien, podría transmitirse a requerimiento de las
autoridades competentes, en particular las sanitarias.

La información debe proporcionarse respetando los principios de finalidad y
proporcionalidad y siempre dentro de lo establecido en las recomendaciones o
instrucciones emitidas por las autoridades competentes, en particular las
sanitarias. Por ejemplo, si es posible alcanzar la finalidad de protección de la
salud del personal divulgando la existencia de un contagio, pero sin especificar
la identidad de la persona contagiada, debería procederse de ese modo. Si, por
el contrario, ese objetivo no puede conseguirse con información parcial, o la
práctica es desaconsejada por las autoridades competentes, en particular las
sanitarias, podría proporcionarse la información identificativa.

No. Tanto el Reglamento General de Protección de Datos (RGPD) como la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) son de aplicación a cualquier actividad de tratamiento de datos personales que lleve a cabo una entidad local como consecuencia del tratamiento de datos con fines de gestión de la pandemia.

Además, las entidades locales deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de acuerdo con lo previsto en el Esquema Nacional de Seguridad (ENS).

Sí. Nada impide desarrollar actividades legítimas necesarias ni hay obstáculo, pero siempre que se asegure que los datos son tratados en cada caso con pleno respeto al RGPD y a la LOPDGDD.

Si bien se tendrá que tener en cuenta el nuevo marco legal introducido por el decreto de declaración del estado de alarma, a partir de los criterios introducidos de forma específica 

para esta pandemia por el “statement de la EDPB” y especialmente, por el informe 0017/2020 del gabinete jurídico de la AEPD.

Es importante en todo caso que en el registro de actividades de la entidad local se genere un nuevo registro por cada nueva actividad de tratamiento que sea creada (en el que constará la información establecida en el artículo 30 del RGPD y su base legal) y que dicha actividad de tratamiento sea pública y accesible por medios electrónicos para las personas interesadas.

Significa que la base de datos cumpla los principios básicos de protección de datos y todas las garantías que se establecen para las personas físicas titulares de los datos, como son:

• Con carácter previo se analizará la necesidad de una evaluación de impacto según los criterios de la AEPD . En cualquier caso, aunque no exista la necesidad de evaluación de impacto siempre deberá llevarse a cabo un análisis de riesgos que permita la correcta aplicación de las políticas de seguridad.
• Aplicar el principio de privacidad desde el diseño a la cantidad de datos, a la extensión de su tratamiento, a su accesibilidad y a su plazo de conservación.
• Analizar la base jurídica aplicable y determinar los fines legítimos de tratamiento, los posibles destinatarios y la duración del tratamiento.
• Informar a las personas interesadas cuyos datos son objeto de tratamiento, informando la información a formularios, políticas de privacidad, locuciones telefónicas, envíos postales, u otras formas como enlace a la actividad de tratamiento. 
• Aplicar las medidas de seguridad. En este sentido, se dispondrá como marco de referencia las políticas de seguridad corporativas que se hayan establecido para esta situación de emergencia específica que como mínimo garantice los principios de accesibilidad y integridad principalmente soportados sobre servidores corporativos de bases de datos o de ficheros (en cuyo caso debería optarse por la encriptación de estos). Sin perjuicio de que el marco general de cumplimiento para todas las Entidades locales lo marcan las medidas de seguridad definidas en el Anexo II del Esquema Nacional de Seguridad (ENS), así como aquellas medidas resultantes del análisis de riesgos). En todo caso, el mínimo de las medidas a establecer viene constituido por lo establecido en el artículo 32 del RGPD que exige medidas apropiadas como:
  • a) la seudonimización y el cifrado de datos personales; 
  • b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; 
  • c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; 
  • d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
• Garantizar en plazo y contenido el ejercicio de los derechos de las personas.

Además, aunque el tratamiento sea novedoso y temporal debería quedar bajo el amparo de las políticas y procedimientos de protección de datos de la entidad local.

La validación de las medidas indicadas en el punto anterior debería ser realizada por el delegado de protección de datos de la entidad local, sin perjuicio de las figuras definidas en los comités de seguridad: responsable de seguridad y responsable del sistema.

El RGPD contiene las salvaguardas y reglas necesarias para permitir legítimamente los tratamientos de datos personales en situaciones, como la presente, en que existe una emergencia sanitaria de alcance general y para estas situaciones el RGPD reconoce que la base jurídica de los tratamientos puede ser múltiple.

Los tratamientos datos personales encuentran en el artículo 6 distintas bases jurídicas legitimadoras, entre otras:

▪ el cumplimiento de una obligación legal;

▪ proteger intereses vitales del interesado o de otra persona física;

▪ cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

También podrán tratarse categorías especiales de datos de acuerdo con el artículo 9 RGPD cuando el tratamiento sea necesario:

▪ para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito de la seguridad y protección social;

▪ para proteger intereses vitales del interesado o de otra persona física;

▪ por razones de un interés público esencial; 

▪ para la prestación de asistencia o tratamiento de tipo sanitario o social;

▪ por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud; 

▪ en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento y el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

Debemos tener en cuenta que cada una de estas bases jurídicas deben encontrar reconocimiento expreso en la legislación interna y requieren adoptar las debidas cautelas y garantías adecuadas.

Informe AEPD

El desarrollo de políticas públicas de asistencia social en coordinación con los servicios de salud pública y de control de la crisis sanitaria, como por ejemplo:

▪ El suministro de alimentos cocinados compras básicas de alimentación o medicamentos a gente mayor o personas en situación de vulnerabilidad;

▪ Atención a menores;

▪ Localizar posibles casos de masificación residencial, que puedan constituir un riesgo importante para los residentes y contactos vecinales;

▪ Cualquier otro servicio de asistencia domiciliaria a personas vulnerables;

▪ Reparto de material de protección;

▪ Facilitar la actuación de voluntariado social en la situación de emergencia.

Si estos son precisos y se requieren para poder prestar un servicio a la ciudadanía, sí, pero teniendo en cuenta la necesidad y la temporalidad del tratamiento o cruce de datos. Por ejemplo, la información puede ser compartida si la finalidad que se persigue con el tratamiento lo requiere, entre la Policía Local, Recursos Humanos, Servicios Sociales y Salud Pública.

Es importante recordar:

▪ la obligación de confidencialidad al personal del Ayuntamiento que trate los datos;

▪ definir condiciones que aseguren la monitorización activa, es decir trazabilidad y supervisión de los tratamientos; 

▪ establecer criterios claros de conservación y/o supresión de los datos;

▪ programar adecuadamente las condiciones y duración del bloqueo posterior de los datos personales.

Además, es necesario asegurar en todo momento la seguridad de los datos personales tratados, especialmente en las actuales situaciones de teletrabajo de acuerdo con las normas de cada organización o en su defecto las de practica reconocida en la administración como puede ser las del CCN:

▪ Se recomienda no permitir la descarga de ficheros con datos personales en discos locales. 

▪ Alojar los tratamientos en bases de datos corporativas que prevean su trazabilidad y seguridad. 

▪ En caso de tener que recurrir, dada la situación actual, a ficheros ofimáticos, transmitirlos encriptados y enviar las claves a sus destinatarios por una vía alternativa a la utilizada para la transmisión del fichero (ej: fichero encriptado por mail y clave por sms al móvil del destinatario); y almacenarlos en los servidores de ficheros corporativos de forma preferente.

En el documento enlazado se pueden encontrar una guía completa de productos de seguridad y comunicaciones, elaborada por el CCN:

En la medida de lo posible sí. El RGPD indica que ello no será preciso en la medida en que las personas interesadas ya dispongan de la información; la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, en particular, para el tratamiento con fines de interés público, o en la medida en que la obligación pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento. 

No obstante, en estos casos, la entidad local debe adoptar medidas adecuadas para proteger los derechos, libertades e intereses de las personas interesadas, inclusive haciendo pública la información, por ejemplo, por medios electrónicos en el sitio web municipal.

También podría quedar limitada la obligación de informar si la obtención o la comunicación está expresamente establecida por el Derecho de la Unión Europea o nuestro Derecho Interno si establece medidas adecuadas para proteger los intereses legítimos de las personas interesadas.

Sí, siempre y cuando se tenga en cuenta que esta es una actividad de tratamiento propia de la Policía Local exclusivamente y que está sujeta a los mismos principios del RGPD y la LOPDGDD, como cualquier actividad de vigilancia que ya esté llevando a cabo la Policía Local regulada por la normativa específica de seguridad pública, dado que pese a la característica del medio tecnológico de recogida datos (vehículo aéreo que puede pertenecer a distintas categorías y con diversos sistemas de procesamiento de los datos) al fin y al cabo el dron realiza funciones de captación de imágenes para fines de vigilancia por motivos del COVID-19. 

En todo caso, la utilización de drones con el objetivo de implantar una vigilancia general de una población debería tener en cuenta que:

▪ Debe aplicarse la legislación específica:

• La Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos.
• El Real Decreto 596/1999, de 16 de abril, por el que se aprueba el Reglamento de desarrollo y ejecución de la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos.

▪ Estas videocámaras requieren de un informe favorable de la Comisión de Garantías de la Videovigilancia y de su autorización por el Delegado del Gobierno en la Comunidad Autónoma.

▪ El dron incorpora una videocámara móvil. Conforme al artículo 6.4 de la LO 4/1997 se exige la presencia de un peligro concreto para habilitar el uso de este tipo de cámara.

▪ Deberían evaluarse las condiciones de vuelo del dron de acuerdo con la regulación vigente así como la prohibición expresa de obtener imágenes del interior de las viviendas y de sus vestíbulos. Esta previsión del artículo 6 de la LO 4/1997 debe entenderse que alcanza a patios interiores y zonas reservadas a la vida privada y familiar. El Tribunal Constitucional en su STC 22/1984 considera que una intromisión de esta naturaleza afecta a la inviolabilidad del domicilio y requiere de autorización judicial.

▪ La LO 4/1997 veda expresamente la grabación de conversaciones salvo autorización judicial.

La normativa no establece una excepción para el tratamiento de datos llevados a cabo por la operativa de drones, por lo que este derecho de información a las personas interesadas habrá de ser cumplido.

Una buena recomendación sería la comunicación “multicanal” habida cuenta de las limitaciones que una aproximación tradicional a la información tiene, por ejemplo, publicándola en la página web municipal, insertando anuncios en periódicos locales, mediante buzoneo, u otras formas. 

El anexo del Real Decreto 596/1999, de 16 de abril, por el que se aprueba el Reglamento de desarrollo y ejecución de la Ley Orgánica 4/1997, define de modo preciso la señalética y el contenido de la información. 

Sí. En estos casos, además de que la base jurídica de tratamiento sea legítima, es muy importante informar a la persona interesada de la fuente de la que proceden los datos personales y de cuáles son los datos personales objeto de tratamiento. Esto puede hacerse de acuerdo con las propuestas antedichas en preguntas anteriores.

Además, esta información se debería hacer constar en el registro de actividades de tratamiento de la corporación local igualmente.

Estas situaciones pueden darse para llevar a cabo actividades especialmente relevantes como, por ejemplo, localizar personas vulnerables (especialmente a través de sus teléfonos) cuyos datos de contacto en algún caso no están en las “fuentes administrativas” del Ayuntamiento o no están actualizados, para lo cual hay que hacer cruces con otros servicios de carácter autonómico como los de salud o con operadores privados de telecomunicaciones o incluso, acudiendo a fuentes públicas en internet.

En todo caso, en todo momento, deberá optarse por la que represente un menor riesgo para los interesados y con fuentes de finalidades compatibles. En este sentido, la Ley de Servicios Sociales prevé la colaboración entre los servicios sociales municipales y los Centros de Atención Primaria (CAPs) para un tratamiento integral de los pacientes y la actuación con medidas coordinadas, ante problemas de salud pública como el actual, permitiendo el intercambio de datos, especialmente los identificativos o de contacto, presentes en los Registros Centrales de asegurados de los servicios sanitarios de las Comunidades autónomas.

En este sentido y atendiendo al principio de minimización de datos y menor riesgo para los derechos y libertades de la persona interesada, es preferible llevar a cabo el intercambio de datos entre las Administraciones públicas antes que el intercambio con otros operadores de índole privada, dado que, en este segundo caso, desde la Administración se podría estar revelando de forma indirecta a estos operadores privados la condición de persona vulnerable, a la hora de solicitar su teléfono (por ejemplo).

Sí en la medida en que ello sea necesario dado que el artículo 16.3 de la Ley de Bases de Régimen Localincluye la previsión en relación con la posible cesión de los datos personales de la siguiente forma:  “Los datos del Padrón Municipal se cederán a otras administraciones públicas que lo soliciten sin consentimiento previo al afectado solamente cuando les sean necesarios para el ejercicio de sus respectivas competencias, y exclusivamente para asuntos en los que la residencia o el domicilio sean datos relevantes. También pueden servir para elaborar estadísticas oficiales sometidas al secreto estadístico, en los términos previstos en la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública y en las leyes de estadística de las comunidades autónomas con competencia en la materia”.

Sí, pero en estos casos conviene adoptar una medida adicional como es la suscripción de un contrato de encargo de tratamiento al amparo del artículo 28 del RGPD, de manera que, finalizada la situación de emergencia que requiere la colaboración con la entidad privada, los datos sean devueltos al Ayuntamiento, destruyendo cualquier copia por parte de la entidad privada.

La necesidad de dar acceso a los datos personales contenidos en las bases de datos del Ayuntamiento a entidades privadas (como listas con nombre de personas de contacto y direcciones) puede surgir del encargo por parte de los Ayuntamientos de servicios como reparto de comidas, reparto de mascarillas, visitas para atender las necesidades de mayores y personas en situación vulnerable u otros fines que deberán ser claramente detallados en el contrato de encargo.En la medida de lo posible, en todo caso, la contratación de estos terceros debería llevarse a cabo por los cauces habituales de contratación pública local o de emergencia pero siempre incluyendo el contrato de encargo de tratamiento.

En estos casos quizás a la entidad local se le complique la posibilidad de llevar a cabo la firma de un contrato de encargo de tratamiento, fundamentalmente en caso de que la ayuda para la realización de las tareas sea llevada a cabo por un grupo de personas voluntarias que no se han constituido como agrupación bajo ninguna forma jurídica.

Como medida mínima a ejecutar por el Ayuntamiento en estos casos es imprescindible trasladar a la/s persona/s que vayan a prestar el servicio o colaboración las instrucciones precisas para que el Ayuntamiento no pierda el control sobre los datos que son puestos a su disposición así como concienciar a dichas personas que solo deben usarlos de forma estrictamente confidencial y siembre bajo las instrucciones de tratamiento del Ayuntamiento. 

Por tanto, el Ayuntamiento debe trasladar a las personas físicas las instrucciones del encargo de tratamiento de los datos, en la medida de lo posible acercándose en su redacción a lo establecido en el artículo 28 del RGPD.

A estos efectos se aporta como ANEXO I a este documento un modelo de instrucciones de encargo de tratamiento.

Sí. El derecho a la protección de datos no es incompatible con el monitoreo epidemiológico, enfatizando que los datos anonimizados no están cubiertos por los requisitos de protección de datos. Por lo tanto, el uso de información agregada para señalar zonas de alta, media o baja incidencia de la enfermedad en el territorio municipal no vulnera la normativa de protección de datos.

No obstante, el Ayuntamiento deberá tener en cuenta que cuanto mayor sea el grado de información estadística más deben tenerse en cuenta medidas que aseguren la anonimización. En la publicación de información estadística que incluya datos relativos a edad, género, indicadores sociales etc., deberá tenerse muy en cuenta el impacto del tamaño poblacional del área en la identificabilidad de las personas. 

En primer lugar, entenderemos por geolocalización la ubicación en coordenadas absolutas de un terminal, bien sea mediante el seguimiento de los sistemas GPS integrados o del posicionamiento celular que pueden realizar las compañías operadoras.

No debe confundirse con los sistemas de localización próxima que como el Bluetooth que permitiría establecer relaciones de proximidad entre dispositivos, pero no conocer su localización en términos de posición absoluta.

La Orden SND/297/2020 de 27 de marzo, regula en su punto segundo encomendar a la  Secretaría de Estado de Digitalización y Inteligencia Artificial el estudio de la movilidad de las personas en los días previos y durante el confinamiento siguiendo el modelo agregado y anonimizado ya utilizado previamente por el INE con los datos provenientes de las operadoras del servicio.

Asimismo, en el punto tercero, encomienda a dicha Secretaría ser el punto central de la coordinación para la evaluación de otras propuestas tecnológicas por parte de otros organismos y entidades, entre los que deberemos incluir también las posibles propuestas de las EELL.

Por lo que cualquier posible tratamiento al respecto, deberá hacerse dentro de este marco, de forma agregada, con las debidas garantías de irreversibilidad del proceso y de acuerdo con la citada Orden.

El uso del padrón municipal para los fines indicados puede entenderse dentro del ejercicio de las competencias municipales siempre que se lleve a cabo en el marco de la función de integración social de la población, cultivar los lazos de unión, evitar el desarraigo o generar el bienestar y distensión de la población pero, no se debe utilizar previa elaboración de perfiles y haciendo públicos los datos personales, sin que en este último caso previamente se obtenga el consentimiento de las personas interesadas.

Si el Ayuntamiento desea llevar a cabo alguna comunicación o felicitación personalizada de forma pública, será preciso que obtenga previamente el consentimiento de la persona interesada, especialmente en el caso de tratamiento de menores, lo cual puede llevar a cabo a través de diversas formas:

• Informando a la ciudadanía de la posibilidad de llevar a cabo este tipo de iniciativas a efectos de lo cual, las personas interesadas pueden solicitar su participación a través de la cumplimentación de un formulario web autorizando el tratamiento de sus datos personales o el de menores bajo su representación o tutela legal.
• Habilitando para la ciudadanía un canal telefónico donde llevar a cabo la misma solicitud.

Es preciso advertir que el padrón municipal no habilita per se este uso de los datos personales para felicitar públicamente a la ciudadanía de forma personalizada, por lo que si bien desde el Ayuntamiento es posible identificar la fecha de nacimiento de los vecinos, debe llegar a las familias y personas titulares de los datos (incluso en colaboración con las entidades del barrio o las escuelas) para, de forma previa a tratar los datos para estas iniciativas, obtener la autorización de las personas interesadas.

En todo caso, cualquier acción municipal llevada a cabo en esta línea, debe garantizar la protección del derecho al honor, a la intimidad personal y familiar y a la propia imagen y llevarse a cabo dentro de los usos sociales.

Sí, siempre que se realice mediante un consentimiento explícito que podría obtenerse a través de la cumplimentación previa de un formulario web.

En el caso en que en las redes sociales oficiales sean terceras personas (por ej. vecinos o vecinas) quienes publiquen los datos en estas redes municipales, se les exigirá a través de una política o código de comportamiento, el cumplimiento de unas reglas que garanticen el cumplimiento de la normativa de protección de datos y derecho a la intimidad y propia imagen, como, por ejemplo, las siguientes:

▪ No publicar imágenes de personas sin su permiso o autorización.

▪ Evitar las imágenes que puedan identificar a menores pese a ser su padre, madre o tutor legal.

▪ Las reglas habituales de ética y estética para no invadir el derecho al honor, intimidad personal y familiar.

Será el Ayuntamiento quien, en todo caso, deberá llevar a cabo la redacción de estas “reglas” y su publicación en los canales municipales oficiales de comunicación (incluidas las redes sociales) a través de un comité creado al efecto que también se encargará de verificar el cumplimiento de estas reglas.

No obstante, lo anterior debe entenderse sin perjuicio de los supuestos del ejercicio del derecho a la información amparados constitucionalmente que pueda llevar a cabo el Ayuntamiento a través de sus canales de comunicación.

Sí. Pero habría que tener en cuenta que si de lo que se trata es de habilitar una plataforma donde se puedan dejar mensajes, será importante valorar específicamente los siguientes aspectos:

El primero, el de la titularidad de la plataforma. Si la plataforma donde se almacenarán los datos y desde donde se difundirán a la ciudadanía no es propiedad de la entidad local, será preciso que el Ayuntamiento, cuando contrate el uso de la plataforma, suscriba un contrato de encargo de tratamiento con su titular. Esto es complicado cuando las plataformas que se utilizan para ello son plataformas sociales comerciales del tipo whatsapp. Por ello, lo idóneo sería que la plataforma fuera local o de un proveedor con quien el Ayuntamiento tuviera capacidad de negociación para establecer las condiciones del encargo de tratamiento. Véase en Barcelona recorda un ejemplo de este servicio.

El segundo, la necesidad de que para hacer uso del servicio existan unas normas de uso o condiciones de participación en el servicio por parte de la ciudadanía, en las cuales quede explicado el alcance del mismo así como las condiciones de tratamiento de los datos (incluyendo las condiciones del artículo 13 y 14 del RGPD o remisión al correspondiente registro de actividad), derechos de imagen (explicando las garantías previstas de acuerdo con el derecho al honor intimidad personal y familiar), derechos de propiedad intelectual (para no incurrir además en infracciones de esta normativa) y moderación del servicio. En estas condiciones se pueden incluir las “normas de estilo” de los mensajes que los ciudadanos quieran difundir. Véase un ejemplo de condiciones de participación.

El tercero, sería conveniente la creación de un Comité que supervise que todos los mensajes y publicaciones que se emiten cumplen los criterios o normas de estilo y términos de las condiciones de uso.

Es preciso recordar que si la plataforma utilizada por el Ayuntamiento para un servicio de este estilo es una plataforma o red social comercial, las anteriores condiciones deberán ser previstas igualmente por el Ayuntamiento, con la dificultad que ello conlleva; asimismo, la ciudadanía deberá cumplir, además de las condiciones de la entidad local, las establecidas por el titular de la plataforma social.

Sí, para proporcionar información general de interés, así como información de los servicios del Ayuntamiento.

Únicamente habría que tener en cuenta que, en el caso de que a través de estos servicios la ciudadanía proporcionase datos personales (véase por ej. dar su dirección para recibir un servicio) sería conveniente adaptar la información a proporcionar a las personas interesadas, en virtud de los artículos 13 y 14 del RGPDa través de locuciones telefónicas con remisión al registro de actividades o política de privacidad en la web municipal.

Las competencias sanitarias están reservadas al Estado y a las Comunidades Autónomas.  

Por tanto, el primer paso para poner en práctica estos servicios debe ser verificar que el Ayuntamiento dispone o tiene atribuidas competencias en materia sanitaria que le permitan crear aplicaciones con fines de autoevaluación previa recogida de datos personales puesto que, en general, estas funciones solo están atribuidas a Ayuntamientos de grandes poblaciones.

En caso de que el Ayuntamiento no tenga atribuidas estas competencias (las cuales por su propia naturaleza están restringidas a las autoridades sanitarias) los Ayuntamientos no podrán elaborar herramientas para la gestión de este tipo de funciones. 

Por tanto, si el Ayuntamiento puede justificar, en el marco de su ámbito competencial, la existencia de competencias sanitarias, el uso de estos medios no es incompatible con la normativa de protección de datos.

Sí. Teniendo en cuenta lo indicado en la pregunta anterior (esto es, excluyendo cualquier actividad o función relacionada con las competencias sanitarias que están reservadas a las Comunidades Autónomas) desde áreas como los servicios sociales si pueden crearse herramientas para la gestión propia de las competencias de esa área en concreto.

Además, es posible que las áreas de servicios sociales tengan funciones de ayuda o colaboración con las Administraciones Públicas, de la Comunidad Autónoma o del Estado, con competencias sanitarias.

Por tanto, desde las entidades locales sí es posible llevar a cabo estas funciones de apoyo y colaboración con las Administraciones Públicas con competencias sanitarias mediante habilitación de herramientas específicas al efecto. Pero es importante que en estos casos queden claras las competencias, funciones y responsabilidad de los tratamientos de datos de cada Administración en función de sus competencias a través de convenios u otros instrumentos jurídicos al efecto.

Una vez que el Ayuntamiento decide la creación de aplicaciones móviles o webs temáticas para la gestión de sus competencias en algún área, por ej. en el área de servicios sociales, es importante que tenga en cuenta los siguientes pasos:

▪ Garantizar que el desarrollo y uso de la aplicación se relacione directamente con el ejercicio de competencias de la Administración Local y ello se pueda justificar.

▪ Diseñar o seleccionar la herramienta bajo el principio de privacidad desde el diseño y por defecto.

▪ Vinculado al punto anterior, es preciso extremar el rigor en el cumplimiento del RGPD y en particular en la definición de la finalidad y la proporcionalidad tanto en los permisos de la aplicación como en las categorías de datos personales objeto de tratamiento.

▪ Valorar la necesidad de realizar una evaluación de impacto en la protección de datos para determinar el tipo de medidas que se deben establecer en las herramientas en función de cómo se lleve a cabo el tratamiento de los datos.

▪ El diseño de cómo se garantizará la visibilidad de los textos legales informativos del alcance del tratamiento de datos (incluyendo fines de tratamiento, destinatarios y derechos) así como la forma de obtención de los consentimientos es también muy relevante.

▪ Revisar las guías y recomendaciones a seguir elaboradas por las autoridades de control, todo ello para incorporar las medidas que requiere el RGPD y la LOPDGDD que ya se han mencionado en respuestas anteriores.

▪ Y tener en cuenta que si las herramientas son desarrolladas por un tercero deberá incluirse de modo expreso en el contrato de encargado del tratamiento el deber de usar metodologías de protección de datos desde el diseño y por defecto que permitan a la entidad local cumplir con el RGPD y LOPDGDD. En este sentido se exigirá al tercero que utilice una metodología de desarrollo reconocida tomando en consideración los aspectos de seguridad a lo largo de todo el ciclo de vida y previa aceptación y puesta en servicio se someterá a un análisis de vulnerabilidades y pruebas de penetración.

▪ No olvidar que es fundamental el trabajo del delegado de protección de datos durante el proceso de análisis, desarrollo, programación y test previo a producción de la aplicación. 

Con el fin de que la Entidad del Sector Público conozca con precisión dónde se encuentran físicamente alojados sus sistemas de información y su información, el prestador de servicios aportará la documentación que detalle si los tratamientos de información van a ejecutarse en sistemas e instalaciones propias o de la Entidad del Sector Público. Asimismo, en caso de que los tratamientos se realicen en sistemas del prestador del servicio, se indicarán las medidas de seguridad física asociadas. 

Hacemos especial hincapié en que exista una completa y transparente política de privacidad accesible por las personas usuarias de la aplicación o de la web, textos informativos claros y accesibles en los formularios de recogida de datos y todo ello en coherencia con el correspondiente enlace al registro de actividad publicado de forma electrónica por la entidad local.

En el marco de la prevención y gestión del COVID-19 los Ayuntamientos pueden haber llevado a cabo la recogida y tratamiento de datos personales de diversa naturaleza como hemos ido viendo a lo largo de todo el documento (en especial los que se encuentren en el ámbito del art.9 del RGPD).

Es tarea del Ayuntamiento determinar los plazos de conservación de la información que contenga dichos datos personales o, en su caso, el proceso de bloqueo, pseudoanimización o anonimización completa en función de los criterios que se establezcan por cada servicio municipal y en la legalidad vigente una vez finalizada la situación especial generada por el estado de alarma o cualquier otra norma con rango legal que le pudiera suceder.

En este sentido deberá tenerse en cuenta si, tanto los servicios sociales como en su caso los servicios de salud pública (de acuerdo a las competencias municipales al respecto), deban conservar estos datos personales y mantener determinados tratamientos de datos, cuando pudieran existir algunos escenarios como los que citamos a continuación:

• El impacto social y económico de la enfermedad puede obligar a mantener, con posterioridad al período de alarma sanitaria, la necesidad de políticas públicas de igualdad que puedan requerir identificar a afectados, personas vulnerables o familias especialmente golpeadas.
• Que se produzca la aparición de un segundo brote, donde las víctimas de la primera podrían ser sujetos especialmente vulnerables.
• Analizar, a la luz de la información obtenida, necesidades de mejora o modificación de los servicios municipales para poder atender a la ciudadanía en mejores condiciones, al finalizar la situación de crisis.

Siempre será preciso que el Ayuntamiento, continúe aplicando, en todo momento, los principios del RGPD, especialmente, en lo referido a transparencia, minimización o seguridad y de forma muy especial con su legitimación, dado que por ejemplo el tratamiento de los datos de salud, podrían estar limitados al período del estado de alarma.

Para ello, se sugiere separar los datos sanitarios, de otros de tipo social, para los que las EELL ya están legitimadas en sus funciones de servicios sociales, o generar sistemas de agregación, pseudonimización o anonimización que garanticen la irreversibilidad de los datos personales protegidos en el nuevo escenario normativo que, en cualquier caso, siempre será el que marque el final de la conservación legal de los mismos.

Sí y mucho. Aunque, a priori, su función es interna y tienen como fin garantizar la gobernanza de la protección de datos dentro de la entidad local de acuerdo con los principios y garantías del RGPD y la LOPDGDD, la crisis ha desatado rumores, acusaciones, pronunciamientos alarmistas que disuaden a la sociedad de confiar el tratamiento de los datos. Por ello, las políticas y la transparencia de los tratamientos de datos informando a las personas interesadas y publicando los registros de actividades que sean objeto de nueva creación, contribuyen a ofrecer seguridad y tranquilidad a la ciudadanía.

La evolución de la pandemia marcada por Covid-19 ha traído consigo el uso generalizado de videoconferencias. En este sentido, El Real Decreto-ley 11/2020, de 31 de marzo, por el que se adoptan medidas urgentes complementarias en el ámbito social y económico para hacer frente al COVID-19 (Ref. BOE-A-2020-4208) modifica el artículo 46 de la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local, añadiendo un nuevo apartado 3, en virtud de la disposición final 2 del citado Real Decreto-ley: 

“En todo caso, cuando concurran situaciones excepcionales de fuerza mayor, de grave riesgo colectivo, o catástrofes públicas que impidan o dificulten de manera desproporcionada el normal funcionamiento del régimen presencial de las sesiones de los órganos colegiados de las Entidades Locales, estos podrán, apreciada la concurrencia de la situación descrita por el Alcalde o Presidente o quien válidamente les sustituya al efecto de la convocatoria de acuerdo con la normativa vigente, constituirse, celebrar sesiones y adoptar acuerdos a distancia por medios electrónicos y telemáticos, siempre que sus miembros participantes se encuentren en territorio español y quede acreditada su identidad. Asimismo, se deberá asegurar la comunicación entre ellos en tiempo real durante la sesión, disponiéndose los medios necesarios para garantizar el carácter público o secreto de las mismas según proceda legalmente en cada caso.

A los efectos anteriores, se consideran medios electrónicos válidos las audioconferencias, videoconferencias, u otros sistemas tecnológicos o audiovisuales que garanticen adecuadamente la seguridad tecnológica, la efectiva participación política de sus miembros, la validez del debate y votación de los acuerdos que se adopten”.

A estos efectos, debe tenerse en cuenta que las aplicaciones de videoconferencia que no estén adecuadamente protegidas pueden suponer un vector de ataque.

Esta modificación se contempla específicamente para los órganos de gobierno de la Administración local y en una serie de supuestos excepcionales. En el caso del Pleno, el artículo 70. 1 de la Ley 7/1985, de 2 de abril, reguladora de las Bases del Régimen Local, preceptúa expresamente el carácter público de las sesiones de los plenos, por lo que, con carácter general, dichas sesiones serán objeto de publicación, bien en streaming o en diferido.^[1]

Como premisa de partida, una adecuada implementación de la solución respetando unos mínimos requisitos de seguridad en la configuración y la creación de unas normas de uso, harán factible la puesta en marcha de este tipo de soluciones.

En este sentido, el Centro Criptológico Nacional ha publicado un documento de ciberconsejos en el uso de sistemas de videollamadas., donde se indican las diferentes recomendaciones de seguridad (convocatorias, limitación de acceso a terceras personas, etc.)

[1]           No obstante, podrán ser secretos el debate y votación de aquellos asuntos que puedan afectar al 3 derecho fundamental de los ciudadanos a que se refiere el artículo 18.1 de la Constitución, cuando así se acuerde por mayoría absoluta

A raíz de la pandemia, las entidades locales han adaptado su forma trabajar para hacer frente a estos momentos complicados, en los que se incluye, entre otras, el teletrabajo, aspecto que genera grandes oportunidades. Estas oportunidades, lamentablemente, también amplían las posibilidades de los ciberdelincuentes, que encuentran nuevas vías de atacar a nuestras organizaciones, poniendo en riesgo los datos personales.

La suma de una puesta en producción acelerada, a nivel masivo de accesos remotos, unida a la falta de costumbre en este tipo de accesos para algunas personas, eleva considerablemente el riesgo a sufrir incidentes de seguridad de diferente índole.

En este sentido, el Centro Criptológico Nacional ha publicado un Informe de Buenas Prácticas bajo el título de: CCN-CERT BP/18 Recomendaciones de Seguridad para situaciones de teletrabajo y refuerzo en vigilancia, así como un documento sobre Acceso Remoto Seguro, donde se proporcionan una serie de soluciones que permiten implementar, de forma ágil, acceso remoto a los recursos de una Organización minimizando el impacto en los recursos IT y optimizando el tiempo para su puesta en producción.

Con independencia de la solución técnica seleccionada, es muy importante documentar las decisiones tomadas por el comité de crisis en la activación del teletrabajo, documentando los riesgos inherentes a su puesta en marcha, así como las principales medidas implementadas para minimizarlos.

A pesar de que el derecho a la protección es un derecho fundamental, debemos mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad.

No obstante, las entidades del Sector Privado cuando provean de servicios o soluciones, sujetos al cumplimiento del Esquema Nacional de Seguridad, a las Entidades Públicas, deberán estar en condiciones de exhibir, respecto a estos, la correspondiente Declaración de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categoría BÁSICA, o la Certificación de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categorías MEDIA o ALTA, de acuerdo a lo establecido en la “Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad”, aprobada el 13 de octubre de 2016, por Resolución de la Secretaría de Estado de Administraciones Públicas.

Es responsabilidad de las entidades públicas contratantes notificar a los operadores del sector privado que participen en la provisión de soluciones tecnológicas o en la prestación de servicios, la obligación de que tales soluciones o servicios sean conformes con lo dispuesto en el Esquema Nacional de Seguridad y posean las correspondientes Declaraciones o Certificaciones de Conformidad, según lo señalado en la mencionada Instrucción Técnica de Seguridad.

Para soluciones “on premise”, será de aplicación también lo indicado en el “Abstract- Requisitos de Seguridad Adicionales para Servicios en la Nube prestados desde instalaciones en modo local”, en particular en lo relativo a los requisitos de seguridad adicionales (Guía de Instalación y Configuración Segura del Sistema destinada a administradores y la Guía de Uso Seguro del Sistema destinada a usuarios finales).