Última revisión
datos
1620 - Integración de la normativa de protección de datos en el sector público
Relacionados:
Vademecum: datos
Fecha última revisión: 20/04/2023
Explicamos cómo se integra la protección de los datos personales en el sector público español, desglosando los organismos y entidades que lo componen: desde la Administración General del Estado, pasando por las autónomas y los organos locales, así como las entidades de derecho privado vinculadas a la administración. Se detalla la normativa específica aplicable en cada caso sobre el tratamiento de los datos personales, y se comentan aspectos relevantes como el consentimiento del interesado o la definición de responsable del tratamiento.
A modo de repaso sobre la normativa aplicable:
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD).
¿Qué entidades integran el sector público?
El sector público se integra por:
- La Administración General del Estado.
- Las Administraciones de las comunidades autónomas.
- Las entidades que integran la Administración local.
El sector público institucional comprende:
- Cualesquier organismo público y entidad de derecho público vinculado o dependiente de las AAPP.
- Las entidades de derecho privado vinculadas o dependientes de las AAPP, que quedarán sujetas a lo dispuesto en las normas de la LPAC que específicamente se refieran a las mismas y, en todo caso, cuando ejerzan potestades administrativas.
- Las universidades públicas, que se regirán por su normativa específica y supletoriamente por las previsiones de la LPAC.
No obstante, tienen la consideración de Administraciones públicas: la Administración General del Estado, las Administraciones de las comunidades autónomas, las entidades que integran la Administración Local, así como los organismos públicos y entidades de derecho público previstos en la letra a) del apartado 2 del artículo 2 de la LPAC.
Por último, las corporaciones de derecho público se regirán por su normativa específica en el ejercicio de las funciones públicas que les hayan sido atribuidas por ley o delegadas por una Administración pública y, supletoriamente, por la LPAC (artículo 2 de la LPAC, así como el artículo 2 de la LRJSP).
Aspectos normativos de la protección de datos en el sector público
La normativa de aplicación sobre la protección de datos en las Administraciones públicas es la siguiente:
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD).
De la normativa de protección de datos, destacar el siguiente glosario de definiciones:
- Datos personales: «toda información sobre una persona física identificada o identificable ("el interesado"); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona» (artículo 4.1 del RGPD).
- Tratamiento: «cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción» (artículo 4.2 del RGPD).
- Responsable del tratamiento o responsable: «la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros». (artículo 4.7 del RGPD).
- Encargado del tratamiento o encargado: «la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento» (artículo 4.8 del RGPD).
- Consentimiento del interesado: «toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen» (artículo 4.11 del RGPD).