Protección y confidencialidad de datos personales

Protección de datos y seguridad de la información: régimen jurídico

Los datos personales de la persona informante, personas afectadas y terceras personas, recogidos durante el proceso de gestión de la información, se tratarán de forma confidencial y cumpliendo con las obligaciones establecidas en la normativa de protección de datos personales y de seguridad de la información.

El tratamiento de los datos que sea necesario realizar en este proceso se regirá por la siguiente normativa:

  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (en adelante, RGPD).
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD).
  • Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales (en adelante, Ley 7/2021).
  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (en adelante, ENS).
  • Título VI de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (en adelante, LPI).

Responsabilidad del tratamiento

El Ayuntamiento de Derio será el órgano responsable de la puesta en marcha del Sistema Interno de Información y del tratamiento de los datos personales (LPI, art. 5.1)

Como responsable del tratamiento, el Ayuntamiento de Derio:

  • Decidirá y aplicará las medidas técnicas y organizativas de seguridad, dentro de su responsabilidad, más adecuadas al tratamiento de datos personales.
  • Realizará análisis de riesgos y evaluaciones de impacto cuando sean necesarios, de acuerdo con el RGPD.
  • Notificará a la autoridad competente, a ser posible en el plazo de 72 horas, las violaciones de seguridad de los datos personales. Si la violación puede suponer un riesgo para los derechos y libertades físicas de las personas, también deberá notificarlo a las personas interesadas de inmediato.
  • Resolver las solicitudes que reclamen el ejercicio de derechos sobre protección de datos (RGPD art. 15 a 22).
  • Desarrollar el resto de funciones que le asigne la normativa de protección de datos.

El Ayuntamiento de Derio, en calidad de responsable de la implantación del sistema interno de información y responsable del tratamiento, atribuye al Órgano responsable del sistema interno de información (ORSII), la condición de Responsable del Sistema interno de información.

El ORSII tendrá como funciones la gestión y resolución de solicitudes de derechos de protección de datos y presentación de alegaciones ante la Agencia Vasca de Protección de Datos cuando haya posibles violaciones de seguridad y denuncias. De esta manera, se agilizará la gestión de las solicitudes de la persona interesada y la comunicación con las autoridades y organismos de control.

Legitimación para el tratamiento de datos personales

El Ayuntamiento de Derio está obligado como Administración pública a tener un sistema interno de información (LPI, art. 13). El tratamiento de los datos personales necesario para la gestión de las comunicaciones sobre infracciones se realizará, según LPI, art.30.2, y cumpliendo con lo establecido en RGPD, art. 6.1.c, LOPDGDD, art. 8.1 y Ley 7/2021, art. 11.

Solo se tratarán los datos personales necesarios para la gestión del sistema interno de información y se suprimirán en el momento que ya no sean necesarios para el conocimiento o investigación del caso (LPI, art.2). Se añadirán las garantías correspondientes para una protección adecuada de los intereses y derechos fundamentales de las personas interesadas.

También se suprimirán los datos personales de las comunicaciones:

  • Cuando se refieran a comportamientos no incluidos en la LPI. Cuando se acredite que la información o parte de ella es falsa (excepto si esta falta de veracidad puede suponer una ilegalidad; en ese caso, la información se guardará durante el procedimiento judicial).
  • Cuando sean datos de categoría especial y no sea necesario tratarlos.
  • Los datos de categoría especial (RGPD art. 9.1.) no son necesarios para la gestión de las comunicaciones recibidas. Si se considerara necesario hacerlo, deberá regirse por el RGPD, art.9.2 g). según el cual «el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales de la persona interesada«.

Acceso a los datos personales contenidos en el sistema interno de información y comunicación a terceras personas

A los datos contenidos en el sistema interno de información solo podrán acceder (LPI, art. 32.1):

  • Personas que forman parte del órgano responsable del SII (ORSII) y la persona física en quien este pueda delegar las facultades de gestión del sistema interno de información y de tramitación de expedientes de investigación.
  • Persona delegada de la protección de datos.
  • Persona responsable de Recursos Humanos o el órgano competente asignado (si es necesario tomar medidas disciplinarias contra personas empleadas).
  • En su caso, persona responsable de los Servicios Jurídicos (si es necesario tomar medidas legales sobre los hechos comunicados).
  • Personas encargadas del tratamiento designadas en cada caso.

Los datos contenidos en el sistema interno de información se podrán comunicar a terceras personas, cuando sea necesario para:

  • Tomar medidas correctoras en el Ayuntamiento de Derio.
  • Tramitar procedimientos sancionadores o penales.
  • El sistema interno de información permitirá presentar comunicaciones de forma anónima.

En caso de que la persona informante revele su identidad, esta solo podrá ser comunicada a la Autoridad judicial, al Ministerio Fiscal o a la autoridad administrativa competente en el marco de una investigación penal, disciplinaria o sancionadora. Estas situaciones están protegidas por normativa, de manera que, antes de comunicar a terceras personas los datos, la autoridad competente informará por escrito a la persona informante explicando el porqué de la revelación de su identidad. No se comunicará si ello puede comprometer la investigación o procedimiento judicial.

El aplicativo del sistema interno de información cuenta con un libro-registro de las informaciones recibidas y sus investigaciones correspondientes (cumpliendo con los requisitos previstos en la LPI). Su acceso no es público. Solo podrá accederse a un registro o parte de un registro, dentro de un procedimiento judicial, bajo tutela de la Autoridad judicial competente y mediante un auto de dicha autoridad.

Conservación de los datos personales

Los datos personales sobre las informaciones recibidas y las investigaciones realizadas se conservarán durante el tiempo necesario y proporcionado en cumplimiento de la LPI.

Los datos se conservarán solo hasta que se decida iniciar la investigación. Y si ésta no se inicia pasados 3 meses desde la comunicación, se suprimirán. (excepto si se demuestra necesario conservarlos para el funcionamiento del sistema). La conservación de datos se podrá extender 3 meses más (es decir, un total de 6) si el caso es muy complejo. Si en el plazo de estos 3 o 6 meses no se ha dado curso a las comunicaciones, los datos solo podrán aparecer de forma anónima (no se aplicará el bloqueo previsto en la LOPDGDD, art. 32).

En el caso de los datos del libro-registro sobre las informaciones recibidas y las investigaciones realizadas se conservarán durante el tiempo necesario y proporcionado en cumplimiento de la LPI y hasta un máximo de 10 años.

Cumplimiento del deber de informar y atención de solicitudes de derechos en protección de datos personales

Cuando se vayan a tratar los datos personales de las personas interesadas, el Ayuntamiento de Derio deberá aportar la siguiente información (RGPD, art. 13 y 14):

  • Nombre y datos de contacto de la persona responsable del tratamiento.
  • Datos de contacto de la persona delegada de protección de datos.
  • Fines a los que se destina el tratamiento de datos personales y su base jurídica.
  • Categorías de personas destinatarias de los datos personales, en su caso.
  • Plazo durante el que se conservarán los datos personales o los criterios para establecerlo cuando no sea posible.
  • Sobre el derecho de la persona interesada a solicitar a la responsable del tratamiento el acceso a los datos personales y otros derechos que le reconoce la normativa de protección de datos.
  • Sobre el derecho a presentar una reclamación ante una autoridad de control.
  • Categorías (tipos) de datos personales de que se trate.
  • Fuente de la que proceden los datos personales.

La información sobre protección de datos será concisa, transparente, comprensible, de fácil acceso y en lenguaje claro (RGPD, art. 12). Esta información se aportará en dos niveles (LOPDGDD, art. 11):

Nivel 1: Información básica de protección de datos

Se da en el momento que las personas comunican sus datos personales.

  • Nombre de la persona responsable del tratamiento.
  • Finalidad del tratamiento.
  • Posibilidad de ejercer los derechos establecidos en el RGPD art. 15 a 22.
  • Categorías (tipos) de datos que se van a tratar, si las hay.
  • Fuentes de donde proceden los datos, si las hay.
  • Enlace al segundo nivel de información: www.derio.eus/informacion-adicional

Nivel 2: Información adicional de protección de datos

Esta información corresponde al resto de requisitos que establece la RGPD (art.13).

Es el resto de información necesaria para garantizar el cumplimiento del deber de información y transparencia.

Se publicará en la página web del Ayuntamiento de Derio www.derio.eus/registro-actividades en el apartado “Registro de Actividades de Tratamiento”.

La persona interesada podrá ejercer los derechos recogidos en la normativa sobre protección de datos (RGPD art. 15 a 22). Si la persona a la que se refiere la comunicación quisiera ejerce el derecho de oposición (RGPD art.21) prevalecerá el tratamiento de sus datos personales, salvo que haya pruebas de lo contrario.

La persona interesada puede ejercer sus derechos enviando un escrito al Ayuntamiento de Derio.

También tiene derecho a reclamar ante la Agencia Vasca de Protección de Datos.

Confidencialidad

El sistema interno de información permite presentar y tramitar comunicaciones anónimas, de manera que se garantiza el anonimato de la persona informante.

Las comunicaciones que contengan datos personales también garantizan que la identidad de la persona informante no se revelará a terceras personas (excepto casos establecidos en la LPI).

El sistema interno de información no obtendrá datos que permitan identificar a la persona informante y contará con las medidas técnicas y organizativas adecuadas para preservar la identidad y confidencialidad de los datos sobre personas afectadas o terceras personas mencionadas en la información.

Durante la tramitación del expediente, las personas afectadas que mencione la comunicación tendrán el derecho a la misma protección (identidad y confidencialidad de datos) que las personas informantes.

Horario de invierno: lunes, miércoles, jueves y viernes de 08:30 a 15:30. Martes de 08:30 a 18:00.

Horario de verano: del 1 de junio al 30 de septiembre, de lunes a viernes de 08:30 a 14:00.

Facebook-f X-twitter Instagram Whatsapp
Páginas
Contacto

©Ayuntamiento de Derio

Scroll al inicio
Ir al contenido