El Defensor

El Defensor del Pueblo Andaluz es una Institución creada para la protección de los derechos y las libertades de los andaluces.

Su intervención es gratuita, sencilla y reservada. Actúa de manera independiente, con transparencia y objetividad.

Contáctanos

Ayuda

Queremos conocer las medidas que se van a adoptar para el cumplimiento del nuevo Reglamento de Protección de Datos

Actuación de oficio del Defensor del Pueblo Andaluz formulada en el expediente 18/1430 dirigida a Consejería de la Presidencia, Administración Local y Memoria Democrática , Consejo de Transparencia y Protección de Datos de Andalucía

El Defensor supervisa la preparación y adopción de medidas para el cumplimiento de las previsiones del Reglamento General de Protección de Datos.

A partir del próximo 25 de mayo comenzará a aplicarse en nuestro país el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE .

Dicho Reglamento, a pesar de contener muchos conceptos, principios y mecanismos similares a los establecidos por la Directiva 95/46 y por las normas nacionales que la aplican, modifica aspectos sustanciales del régimen actual y contiene nuevas obligaciones que deben ser analizadas y aplicadas por cada responsable y encargado de tratamiento teniendo en cuenta sus propias circunstancias, acogiendo un modelo regulatorio de marcado carácter anglosajón.

A este respecto, y sin querer obviar otras muchas novedades que merecerían ser destacadas, cabe afirmar que son dos los elementos de carácter general que constituyen la mayor innovación del RGPD:

De una parte, el “Principio de responsabilidad proactiva”. El RGPD lo describe como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.

En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la manera en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.

Y de otra parte, “El enfoque de riesgo”. Con respecto al mismo, el RGPD señala que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas.

El RGPD exige por tanto un mayor nivel de responsabilidad por parte de las organizaciones, un análisis proactivo de las circunstancias que puedan concurrir en cada caso, una evaluación de los riesgos potenciales y la determinación toda una suerte de medidas de responsabilidad activa sobre la base de ese enfoque de riesgo.

En nuestra Comunidad, el Estatuto de Autonomía para Andalucía regula el derecho a la protección de datos en su artículo 32, insertándolo así en el Capítulo II del Título primero, dedicado a los “Derechos y Deberes”. De este modo se dispone que “Se garantiza el derecho de todas las personas al acceso, corrección y cancelación de sus datos personales en poder de las Administraciones públicas andaluzas”.

Por su parte, el artículo 82 previene que «Corresponde a la Comunidad Autónoma de Andalucía la competencia ejecutiva sobre protección de datos de carácter personal, gestionados por las instituciones autonómicas de Andalucía, Administración autonómica, Administraciones locales, y otras entidades de derecho público y privado dependientes de cualquiera de ellas, así como por las universidades del sistema universitario andaluz».

En cumplimiento de este precepto estatutario, la Ley 1/2014, de 24 de junio, de Transparencia Pública de Andalucía designó en su artículo 43.1 al Consejo de Transparencia y Protección de Datos de Andalucía como «autoridad independiente de control en materia de protección de datos», atribuyéndole importantes competencias en relación con esta materia en nuestra Comunidad Autónoma.

Sin embargo, pese a que la citada Ley 1/2014 entró en vigor al año de su publicación en el BOE, según lo dispuesto en su Disposición Final Quinta, esto es, el 16 de julio de 2015, lo cierto es que el Consejo de Transparencia y Protección de Datos de Andalucía sigue a la presente fecha sin asumir las competencias que en materia de protección de datos dicha Ley le encomienda.

Esta postergación en la asunción de las competencias legalmente atribuidas al Consejo por una norma con rango de Ley se ampara en lo establecido en la Disposición transitoria tercera del Decreto 434/2015, de 29 de septiembre, por el que se aprueban los Estatutos del Consejo de Transparencia y Protección de Datos de Andalucía, que señala lo siguiente:

«El Consejo asumirá las funciones en materia de protección de datos que tiene atribuidas de conformidad con lo que establezcan las disposiciones necesarias para su asunción y ejercicio por la Comunidad Autónoma. En tanto se lleve a cabo la aprobación y ejecución de dichas disposiciones continuarán siendo ejercidas por la Agencia Española de Protección de Datos».

Con independencia de que resulte jurídicamente cuestionable la suspensión de la efectividad de lo dispuesto en una norma legal en virtud de lo establecido en una norma de rango reglamentario, lo cierto es que han transcurrido ya mas de dos años desde la entrada en vigor de la Ley 1/2014 y a la presente fecha el Consejo de Transparencia y Protección de Datos de Andalucía sigue sin asumir las competencias que en materia de protección de datos tiene legalmente encomendadas, sin que oficialmente se expliquen las razones que justifican tal anomalía, aunque de forma no oficial se señale como causa la insuficiencia en la dotación de medios personales y materiales a dicho Consejo para ejercer adecuadamente las funciones encomendadas en esta materia.

A este respecto, no podemos por menos que manifestar la preocupación de esta Institución por las dilaciones habidas en la asunción por el Consejo de Transparencia y Protección de Datos de Andalucía de las competencias que en materia de protección de datos le encomienda la Ley 1/2014, especialmente cuando estamos a escasas fechas de que comience a aplicarse en Andalucía una norma de tanta trascendencia y alcance como es el Reglamento General de Protección de Datos.

Ante la inminencia de la fecha para la plena aplicación del RGPD (25 de mayo de 2018), a partir de la cual será exigible la adopción de las medidas técnicas y organizativas señaladas y el cumplimiento de obligaciones que el mismo impone a los poderes públicos, se propone al Defensor del Pueblo Andaluz la iniciación de queja de oficio para supervisar cuales sean las previsiones al respecto con que cuenten las Administraciones Públicas de Andalucía, de conformidad y en aplicación de lo establecido en los artículos 1.1 y 10.1 de la Ley 9/1983, de 1 de diciembre, reguladora de la Institución, el Defensor del Pueblo Andaluz.

Si quiere presentar una queja o una consulta pinche en el siguiente enlace

Escribir un comentario

Texto plano

  • No se permiten etiquetas HTML.
  • Las direcciones de las páginas web y las de correo se convierten en enlaces automáticamente.
  • Saltos automáticos de líneas y de párrafos.

Sus datos personales están protegidos.

0 Comentarios

  • Defensoría de la Infancia y Adolescencia de Andalucía
  • Otras defensorías e Instituciones
  • Sede electrónica
  • Nuestro compromiso
  • Parlamento de Andalucía