Ya coexisten empresas privadas que intervienen en la gestión de bases de datos de ayuntamientos en España, especialmente en áreas como la gestión de impuestos municipales y la atención al ciudadano a través de plataformas electrónicas. Esta externalización de servicios es una práctica común, en teoría "para mejorar la eficiencia y modernizar la administración local".
Por ejemplo, existen de empresas que operan en este sector y, otras que desarrollan software y plataformas, herramientas, para la gestión de trámites online, portales ciudadanos y sistemas de gestión de incidencias.
¿Contravienen estas empresas la Ley Orgánica 3/2018 en la Protección de Datos (LOPDGDD)?
La respuesta es compleja y depende de cómo se realice la gestión de los datos personales en cada caso concreto. En principio, la externalización de servicios a empresas privadas no implica necesariamente una contravención de la LOPDGDD, siempre y cuando se cumplan una serie de requisitos y obligaciones establecidos en la ley:
Encargo del tratamiento: El ayuntamiento debe actuar como "responsable del tratamiento" y la empresa privada como "encargada del tratamiento". Esto implica que debe existir un contrato por escrito que regule, entre otros aspectos, la finalidad del tratamiento, las medidas de seguridad que debe aplicar la empresa, las instrucciones del ayuntamiento y las obligaciones de confidencialidad.
-Legitimación del tratamiento: La cesión de datos a la empresa privada debe basarse en una base jurídica legítima, como el cumplimiento de una obligación legal, el cumplimiento de una misión realizada en interés público o el consentimiento del interesado (cuando sea necesario)
- Información y derechos de los ciudadanos: Los ayuntamientos deben informar claramente a los ciudadanos sobre quiénes son los encargados del tratamiento de sus datos y garantizar el ejercicio de sus derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición.
- Medidas de seguridad: Tanto el ayuntamiento como la empresa privada deben implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, protegiendo los datos personales contra la pérdida, destrucción accidental o ilícita, alteración, divulgación o acceso no autorizado.
- Transferencias internacionales: Si la empresa encargada del tratamiento tiene servidores o realiza el tratamiento de datos fuera de la Unión Europea, deben cumplirse las condiciones para las transferencias internacionales de datos establecidas en la LOPDGDD y el RGPD.
-Supervisión y auditoría: El ayuntamiento como responsable del tratamiento debe supervisar y auditar la actividad de la empresa encargada del tratamiento para asegurar el cumplimiento de la normativa de protección de datos.
Posibles riesgos de contravención:
A pesar de que la externalización no es inherentemente ilegal, existen riesgos de incumplimiento si no se gestiona adecuadamente:
- Falta de un contrato de encargo del tratamiento adecuado: Si no se formaliza un contrato que cumpla con los requisitos del artículo 28 del RGPD (y por ende de la LOPDGDD), se podría considerar que la empresa está actuando como corresponsable del tratamiento sin las debidas garantías.
- Finalidades del tratamiento no claramente definidas o excesivas: Si se ceden datos a la empresa para finalidades que no están claramente especificadas o que son excesivas para la prestación del servicio, se podría vulnerar el principio de limitación de la finalidad.
- Medidas de seguridad insuficientes por parte de la empresa: Si la empresa no implementa medidas de seguridad adecuadas, se podría producir una brecha de seguridad que afecte a los datos personales de los ciudadanos. - Falta de transparencia hacia los ciudadanos: Si no se informa adecuadamente a los ciudadanos sobre la participación de la empresa privada en la gestión de sus datos, se vulneraría el principio de transparencia y el derecho a la información.
- Dificultad para ejercer los derechos por parte de los ciudadanos: Si los mecanismos para que los ciudadanos ejerzan sus derechos ante la empresa encargada del tratamiento no son claros o accesibles, se podría obstaculizar el ejercicio de estos derechos.
En conclusión, la intervención de empresas privadas en la gestión de bases de datos de ayuntamientos es una práctica común y, en principio, legal, siempre que se cumpla estrictamente con lo establecido en la Ley Orgánica 3/2018 y el Reglamento General de Protección de Datos.
Los ayuntamientos deben ser especialmente diligentes en la selección y supervisión de estas empresas, asegurándose de que actúen como encargados del tratamiento y cumplan con todas las obligaciones en materia de protección de datos para garantizar los derechos de los ciudadanos.
Y, ademas, deben informar claramente a los ciudadanos sobre quiénes son los encargados del tratamiento de sus datos y garantizar el ejercicio de sus derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición.
Que piensas de esto? Cumple tu ayuntamiento con esta norma y con sus ciudadanos?
No hay comentarios:
Publicar un comentario