Lectura pública del tema
1. La protección de datos personales y su régimen jurídico: principios
1. La protección de datos personales y su régimen jurídico: principios
🎯 Idea clave
- Los principios de protección de datos constituyen el marco fundamental que regula el tratamiento de información personal en la Administración General del Estado.
- El Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD) establecen los principios rectores aplicables a todos los tratamientos de datos.
- La licitud, lealtad y transparencia exigen que los datos se traten de forma legal, justa y con información clara al interesado.
- El principio de minimización limita la recogida de datos a lo estrictamente necesario para la finalidad perseguida.
- La exactitud obliga a mantener los datos actualizados y corregir los errores detectados.
- La responsabilidad proactiva exige que los responsables del tratamiento demuestren el cumplimiento de los principios.
📚 Desarrollo
Marco normativo aplicable. La protección de datos personales en la Administración General del Estado se rige principalmente por el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Estos textos establecen los principios que deben guiar cualquier tratamiento de datos, garantizando el respeto a los derechos fundamentales de los ciudadanos.
Principio de licitud, lealtad y transparencia. Este principio exige que los datos personales se traten de manera legal, justa y transparente para el interesado. En la AGE, esto implica informar claramente a los ciudadanos sobre la finalidad del tratamiento, la base jurídica que lo sustenta y los derechos que les asisten. La transparencia se materializa en la obligación de proporcionar información accesible y comprensible, especialmente en procesos como la selección de personal o la gestión de recursos humanos.
Principio de finalidad. Los datos personales solo pueden recogerse para fines determinados, explícitos y legítimos, y no podrán tratarse posteriormente de manera incompatible con dichos fines. En la AGE, esto se aplica, por ejemplo, en los procesos de selección de personal, donde los datos de los opositores solo pueden utilizarse para evaluar su idoneidad y deben suprimirse una vez finalizado el proceso, salvo que exista una obligación legal de conservación.
Principio de minimización. Este principio establece que los datos tratados deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. En la gestión administrativa, esto implica evitar la recogida de datos innecesarios, como solicitar información irrelevante en formularios o bases de datos. La minimización reduce riesgos y garantiza un tratamiento proporcional.
Principio de exactitud. Los datos personales deben ser exactos y actualizados, adoptándose las medidas necesarias para garantizar que los datos inexactos se supriman o rectifiquen sin dilación. En la AGE, este principio es especialmente relevante en la gestión de nóminas, permisos o evaluaciones de empleados públicos, donde errores en los datos podrían tener consecuencias administrativas o económicas para los afectados.
Principio de limitación del plazo de conservación. Los datos personales no pueden conservarse durante más tiempo del necesario para los fines del tratamiento. En la AGE, esto se aplica, por ejemplo, en los datos de los participantes en procesos selectivos, que deben eliminarse una vez finalizado el procedimiento, salvo que una norma exija su conservación. La supresión o anonimización de datos es una obligación clave para cumplir con este principio.
Principio de integridad y confidencialidad. Los datos deben tratarse de manera que se garantice una seguridad adecuada, protegiéndolos contra el tratamiento no autorizado o ilícito, la pérdida, la destrucción o el daño accidental. En la AGE, esto se materializa mediante medidas técnicas y organizativas, como el cifrado de datos, el control de accesos o la implementación del Esquema Nacional de Seguridad (ENS).
Principio de responsabilidad proactiva. Este principio exige que los responsables del tratamiento demuestren el cumplimiento de los principios de protección de datos. En la AGE, esto implica documentar las medidas adoptadas, realizar evaluaciones de impacto cuando sea necesario y colaborar con la Agencia Española de Protección de Datos (AEPD). La responsabilidad proactiva refuerza la cultura de cumplimiento en la administración pública.
🧩 Elementos esenciales
- Licitud, lealtad y transparencia: Tratamiento legal, justo y con información clara al interesado.
- Finalidad: Datos recogidos para fines determinados, explícitos y legítimos.
- Minimización: Datos adecuados, pertinentes y limitados a lo necesario.
- Exactitud: Datos precisos y actualizados, con corrección de errores.
- Limitación del plazo de conservación: Supresión o anonimización cuando ya no sean necesarios.
- Integridad y confidencialidad: Seguridad contra accesos no autorizados o pérdidas.
- Responsabilidad proactiva: Obligación de demostrar el cumplimiento de los principios.
- Base jurídica: Tratamientos amparados en una norma o consentimiento válido.
- Derechos de los interesados: Garantía de acceso, rectificación, supresión y oposición.
- Protección desde el diseño: Integración de la protección de datos en los procesos administrativos.
- Evaluaciones de impacto: Análisis previo en tratamientos de alto riesgo.
- Delegado de Protección de Datos (DPD): Figura obligatoria en la AGE para supervisar el cumplimiento.
🧠 Recuerda
- Los principios de protección de datos son de aplicación obligatoria en todos los tratamientos de la AGE.
- La licitud, lealtad y transparencia exigen informar claramente a los ciudadanos sobre el uso de sus datos.
- La finalidad del tratamiento debe ser siempre explícita y legítima.
- La minimización limita la recogida de datos a lo estrictamente necesario.
- Los datos deben ser exactos y actualizarse cuando sea preciso.
- La conservación de datos está limitada al tiempo necesario para cumplir la finalidad.
- La integridad y confidencialidad exigen medidas de seguridad adecuadas.
- La responsabilidad proactiva obliga a demostrar el cumplimiento de los principios.
- El Delegado de Protección de Datos (DPD) es clave en la supervisión del cumplimiento.
- La protección de datos debe integrarse desde el diseño en los procesos administrativos.
2. La protección de datos personales y su régimen jurídico: derechos
2. La protección de datos personales y su régimen jurídico: derechos
🎯 Idea clave
- Los derechos en protección de datos permiten a los ciudadanos controlar el uso de su información personal por parte de las Administraciones Públicas.
- El derecho de acceso faculta a los interesados para conocer qué datos se tratan y con qué finalidad.
- El derecho de rectificación garantiza la corrección de datos inexactos o incompletos.
- El derecho de supresión ("derecho al olvido") permite eliminar datos cuando ya no sean necesarios o se hayan tratado ilícitamente.
- El derecho a la limitación del tratamiento restringe temporalmente el uso de los datos en casos específicos.
- El derecho de oposición permite rechazar el tratamiento de datos en determinadas circunstancias, incluso en el ámbito público.
📚 Desarrollo
Marco normativo aplicable. Los derechos en materia de protección de datos se regulan en el Reglamento General de Protección de Datos (RGPD) y en la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Estos textos establecen un catálogo de derechos ejercitables frente a las Administraciones Públicas, como el INAP, cuando tratan datos personales en el ejercicio de sus funciones.
Derecho de acceso. Este derecho permite a los interesados solicitar y obtener confirmación sobre si sus datos personales están siendo tratados, así como acceder a información detallada sobre la finalidad del tratamiento, las categorías de datos afectados, los destinatarios o las categorías de destinatarios, y el plazo de conservación. En el ámbito de la AGE, este derecho es especialmente relevante en procesos como la selección de personal o la gestión de recursos humanos.
Derecho de rectificación. Los ciudadanos pueden exigir la corrección de datos personales inexactos o incompletos que obren en poder de la Administración. Este derecho es fundamental para garantizar la exactitud de los datos, un principio esencial en el RGPD. Por ejemplo, en la gestión de nóminas o en la formación de empleados públicos, cualquier error en los datos debe ser subsanado a petición del interesado.
Derecho de supresión. Conocido como "derecho al olvido", permite solicitar la eliminación de datos personales cuando estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando el tratamiento sea ilícito. En la AGE, este derecho se aplica con matices, ya que las Administraciones Públicas pueden estar obligadas a conservar ciertos datos por razones legales, como en el caso de expedientes administrativos.
Derecho a la limitación del tratamiento. Este derecho permite solicitar la suspensión temporal del tratamiento de datos en situaciones específicas, como cuando se impugna la exactitud de los datos o cuando el interesado se opone a su supresión. Durante el período de limitación, la Administración solo podrá tratar los datos con el consentimiento del interesado o para la formulación de reclamaciones.
Derecho de oposición. Los ciudadanos pueden oponerse al tratamiento de sus datos personales cuando este se base en el interés legítimo de la Administración o en el ejercicio de funciones públicas. Sin embargo, este derecho tiene limitaciones en el ámbito público, ya que las Administraciones pueden denegar la oposición si existen motivos legítimos imperiosos para el tratamiento, como el cumplimiento de una obligación legal.
Derechos digitales en la LOPDGDD. La LOPDGDD amplía los derechos reconocidos en el RGPD, incorporando derechos específicos en el ámbito digital, como el derecho a la desconexión digital en el entorno laboral o el derecho a la intimidad frente al uso de dispositivos de videovigilancia. Estos derechos son aplicables a los empleados públicos y a los ciudadanos en sus relaciones con la Administración.
Ejercicio de los derechos. Los interesados pueden ejercer sus derechos ante la Administración mediante solicitudes dirigidas al responsable del tratamiento, que en el caso del INAP suele ser el órgano competente en materia de protección de datos. La Administración está obligada a responder a estas solicitudes en el plazo de un mes, prorrogable en casos complejos, y debe facilitar el ejercicio de estos derechos de forma gratuita.
🧩 Elementos esenciales
- Derecho de acceso: Permite conocer si se tratan datos personales, su finalidad, categorías, destinatarios y plazo de conservación.
- Derecho de rectificación: Faculta para corregir datos inexactos o incompletos en poder de la Administración.
- Derecho de supresión ("derecho al olvido"): Permite eliminar datos cuando ya no sean necesarios o el tratamiento sea ilícito, con excepciones legales.
- Derecho a la limitación del tratamiento: Suspende temporalmente el tratamiento de datos en casos específicos, como impugnaciones o oposiciones.
- Derecho de oposición: Permite rechazar el tratamiento de datos basado en intereses legítimos o funciones públicas, con limitaciones en el ámbito administrativo.
- Derecho a la portabilidad: No es aplicable en el ámbito público, ya que se limita a tratamientos basados en consentimiento o contrato.
- Derechos digitales (LOPDGDD): Incluyen derechos como la desconexión digital o la intimidad frente a videovigilancia, aplicables a empleados públicos.
- Plazo de respuesta: La Administración debe responder a las solicitudes en un mes, prorrogable en casos complejos.
- Gratuidad: El ejercicio de estos derechos es gratuito para los interesados, salvo solicitudes manifiestamente infundadas o excesivas.
- Limitaciones en el ámbito público: Algunos derechos, como la supresión o la oposición, pueden verse limitados por obligaciones legales de conservación o intereses públicos.
🧠 Recuerda
- Los derechos en protección de datos son herramientas clave para que los ciudadanos controlen su información personal.
- El derecho de acceso permite conocer qué datos se tratan y con qué finalidad.
- La rectificación garantiza la corrección de datos inexactos o incompletos.
- La supresión ("derecho al olvido") no es absoluta en el ámbito público debido a obligaciones legales de conservación.
- La limitación del tratamiento suspende temporalmente el uso de los datos en casos específicos.
- La oposición al tratamiento tiene limitaciones en el ámbito administrativo por razones de interés público.
- Los derechos digitales, como la desconexión digital, son aplicables a los empleados públicos.
- La Administración debe responder a las solicitudes en un mes y facilitar el ejercicio de estos derechos de forma gratuita.
- Algunos derechos, como la portabilidad, no son aplicables en el ámbito público.
- Las limitaciones a estos derechos deben estar justificadas por motivos legales o intereses públicos imperiosos.
3. La protección de datos personales y su régimen jurídico:obligaciones
3. La protección de datos personales y su régimen jurídico:obligaciones
🎯 Idea clave
- Las Administraciones Públicas deben garantizar la protección de datos personales en todos sus procesos administrativos.
- El Esquema Nacional de Seguridad (ENS) establece medidas obligatorias para la gestión de datos en el sector público.
- Los organismos como el INAP deben designar un Delegado de Protección de Datos (DPD) para supervisar el cumplimiento normativo.
- La confidencialidad y el cifrado de datos son obligaciones clave en la gestión de información sensible.
- Los datos personales deben tratarse con exactitud y suprimirse cuando dejen de ser necesarios para su finalidad.
- Las auditorías periódicas son obligatorias para verificar el cumplimiento de las medidas de seguridad.
📚 Desarrollo
Obligaciones generales. Las Administraciones Públicas, incluyendo el INAP, están sujetas al Reglamento General de Protección de Datos (RGPD) y a la Ley Orgánica 3/2018 (LOPDGDD). Estas normas exigen que el tratamiento de datos personales se realice con licitud, lealtad y transparencia, garantizando que los interesados conozcan el uso que se hace de su información. Además, los datos deben ser adecuados, pertinentes y limitados a lo necesario para los fines específicos del tratamiento.
Medidas de seguridad. El Esquema Nacional de Seguridad (ENS) establece un marco obligatorio para las Administraciones Públicas, que incluye medidas como el cifrado de datos en comunicaciones y almacenamiento, el control de accesos basado en roles y la realización de auditorías periódicas. Estas medidas buscan proteger la información contra accesos no autorizados, pérdidas o alteraciones, especialmente en procesos sensibles como la gestión de nóminas, permisos o evaluaciones de empleados públicos.
Delegado de Protección de Datos (DPD). El INAP, como organismo público, debe designar un DPD conforme al artículo 37.1.a del RGPD. Este responsable tiene la función de asesorar en la aplicación de los principios de protección de datos, supervisar el cumplimiento normativo y actuar como punto de contacto con la Agencia Española de Protección de Datos (AEPD). Su labor es esencial en procesos como la selección de personal o la gestión de formación, donde se manejan datos personales de candidatos y empleados.
Tratamiento de datos en procesos específicos. En la selección de personal, los datos deben limitarse a la finalidad del proceso y suprimirse una vez concluido, salvo que exista una obligación legal de conservación. En la formación de empleados públicos, se aplica el principio de exactitud para evitar errores en certificados o registros. En la gestión de recursos humanos, la confidencialidad es prioritaria, especialmente en datos sensibles como bajas médicas o evaluaciones de desempeño.
Interoperabilidad y accesibilidad. Las Administraciones Públicas deben garantizar que los sistemas de información cumplan con estándares de interoperabilidad y accesibilidad, como los establecidos en el Esquema Nacional de Interoperabilidad (ENI) y las WCAG 2.1. Esto incluye el uso de formatos abiertos, metadatos obligatorios y estructuras documentales accesibles, asegurando que la información sea comprensible y usable para todos los ciudadanos.
Responsabilidad proactiva. Las entidades públicas deben adoptar un enfoque de responsabilidad proactiva, documentando las medidas implementadas para cumplir con la normativa. Esto implica mantener registros de actividades de tratamiento, evaluar riesgos y aplicar medidas técnicas y organizativas adecuadas. La transparencia y la rendición de cuentas son pilares fundamentales para demostrar el cumplimiento normativo.
Formación y concienciación. El personal de la Administración debe recibir formación continua en protección de datos, especialmente en el uso de herramientas como Microsoft 365 o sistemas de gestión documental. Esta formación debe incluir aspectos como la identificación de datos sensibles, el manejo de incidentes de seguridad y la aplicación de protocolos de cifrado y acceso restringido.
🧩 Elementos esenciales
- Cumplimiento normativo: Aplicación del RGPD y la LOPDGDD en todos los procesos administrativos de la AGE.
- Esquema Nacional de Seguridad (ENS): Marco obligatorio que establece medidas de seguridad para la protección de datos en el sector público.
- Delegado de Protección de Datos (DPD): Figura obligatoria en organismos públicos para supervisar el cumplimiento de la normativa.
- Cifrado de datos: Obligación de proteger la información sensible mediante técnicas de cifrado en comunicaciones y almacenamiento.
- Control de accesos: Restricción del acceso a datos personales basada en roles y permisos específicos.
- Auditorías periódicas: Evaluaciones obligatorias para verificar el cumplimiento de las medidas de seguridad y protección de datos.
- Principio de exactitud: Obligación de garantizar que los datos personales sean precisos y se actualicen cuando sea necesario.
- Supresión de datos: Eliminación de datos personales una vez cumplida su finalidad, salvo obligación legal de conservación.
- Confidencialidad: Protección de datos sensibles, como bajas médicas o evaluaciones, para evitar accesos no autorizados.
- Interoperabilidad: Uso de formatos abiertos y estándares para garantizar la compatibilidad entre sistemas de información.
- Accesibilidad: Cumplimiento de estándares como WCAG 2.1 para asegurar que la información sea accesible a todos los ciudadanos.
- Responsabilidad proactiva: Documentación de medidas y evaluación de riesgos para demostrar el cumplimiento normativo.
🧠 Recuerda
- Las Administraciones Públicas deben cumplir con el RGPD y la LOPDGDD en todos sus procesos.
- El ENS establece medidas obligatorias de seguridad para la protección de datos en el sector público.
- El DPD es una figura clave para supervisar el cumplimiento normativo en organismos como el INAP.
- Los datos personales deben tratarse con exactitud y suprimirse cuando dejen de ser necesarios.
- El cifrado y el control de accesos son medidas esenciales para proteger la información sensible.
- Las auditorías periódicas verifican el cumplimiento de las medidas de seguridad.
- La interoperabilidad y la accesibilidad son requisitos obligatorios en los sistemas de información.
- La responsabilidad proactiva implica documentar y evaluar las medidas implementadas.
- La formación en protección de datos es obligatoria para el personal de la Administración.
- La confidencialidad es prioritaria en la gestión de datos sensibles como bajas médicas o evaluaciones.