Respuesta
Una administración pública está sujeta a las disposiciones del RGPD cuando realiza el tratamiento de los datos personales de una persona. Es responsabilidad de las administraciones nacionales apoyar a la administración regional y local en la preparación de la aplicación del RGPD.
La mayoría de los datos personales en poder de administraciones públicas se tratan habitualmente basándose en una obligación legal o en la medida en que sea necesario para desempeñar funciones en interés público o en el ejercicio del poder público que tienen conferido.
Al realizar el tratamiento de los datos personales, una administración pública debe respetar los principios clave, tales como:
- un tratamiento leal y lícito,
- limitación de la finalidad,
- minimización de los datos y la retención.
En el caso del tratamiento con arreglo a la legislación, dicha legislación debería garantizar que estos principios se respeten (por ejemplo, los tipos de datos, el plazo de conservación y las garantías adecuadas).
Antes de tratar los datos personales, las personas deben ser informadas sobre el tratamiento, como sus fines, los tipos de datos recogidos, los destinatarios y sus derechos en materia de protección de datos.
Una administración pública tiene la obligación de designar un delegado de protección de datos, sin embargo, puede nombrarse un único delegado de protección de datos para varios organismos públicos y, por lo tanto, compartirse entre ellos o subcontratar este trabajo a un DPD externo. Deberá, asimismo, garantizar que se han aplicado las medidas técnicas y organizativas apropiadas para asegurar los datos personales. Si se subcontratan partes del tratamiento a una organización externa (denominada «encargado»), debe haber un contrato u otro acto jurídico que garantice que el encargado ofrece garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas que cumplen los criterios del RGPD.
En los casos que los datos personales en poder se difundan accidental o ilícitamente a destinatarios sin autorización o que se impida su acceso o se alteren temporalmente, deberá notificarse la violación de la seguridad a la autoridad de protección de datos sin dilación indebida y a más tardar 72 horas después de que hayan tenido constancia de la violación. Además, la administración pública deberá informar a las personas sobre la violación.
Puede encontrar más información sobre las obligaciones de las administraciones públicas previstas en el RGPD en la sección Empresas y organizaciones.