Estas en:

Otras informaciones

 

POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES

 

Índice

Exposición de motivos. 3

TÍTULO I. DISPOSICIONES GENERALES. 4

Artículo 1.  Ámbito objetivo de aplicación. 4

Artículo 2. Ámbito subjetivo de aplicación. 5

Artículo 3. Principios de protección de datos personales. 6

Artículo 4. Directrices generales en el tratamiento de datos del Ayuntamiento. 8

TITULO II. DE LA ORGANIZACIÓN DEL AYUNTAMIENTO.. 10

Artículo 5. Distribución funcional en cumplimiento de la Política de protección de datos del Ayuntamiento como Responsable del tratamiento. 10

Artículo 6. La persona designada como Delegado/a de Protección de Datos del Ayuntamiento  12

Artículo 7. Creación de grupos de trabajo. 13

Artículo 8. Obligaciones del personal 13

Artículo 9. Resolución de conflictos. 14

TITULO III. DE LA GESTIÓN DE LAS MEDIDAS ORGANIZATIVAS Y TÉCNICAS. 14

Artículo 10. Categorías de datos personales y de personas afectadas. 14

Artículo 11. Licitud del tratamiento. 15

Artículo 12. Información a las personas afectadas. 15

Artículo 13. Registro de actividades de tratamiento. 16

Artículo 14. Privacidad desde el diseño y por defecto. 16

Artículo 15. Análisis de riesgos, evaluación de impacto en la protección de datos y gestión de los riesgos de seguridad de la información. 17

Artículo 16. Transferencias Internacionales de Datos. 18

Artículo 17. Notificación de brechas de seguridad de los datos personales. 18

Artículo 18. Ejercicio de derechos por las personas interesadas. 18

Artículo 19. Sensibilización y formación. 19

Artículo 20. Medidas de seguridad de la información. 19

Artículo 21. Plazo de conservación y bloqueo. 19

TÍTULO IV. DE LAS RELACIONES CON TERCEROS EN EL TRATAMIENTO DE DATOS PERSONALES  20

Artículo 22. Principios generales. 20

Artículo 23. Encargados del Tratamiento del Ayuntamiento. 21

TÍTULO V. DE LAS MEDIDAS DE CONTROL Y EVALUACIÓN.. 22

Artículo 24. Revisión y auditoría. 22

Artículo 25. Revisión de la Política de protección de datos. 22

Disposición adicional primera. Desarrollo de procedimientos. 23

Disposición adicional segunda. Publicidad. 23

                             

 

                                                                                                                              

  Decreto Nº 121 de 05/03/2026 " RESOLUCIÓN DE ALCALDÍA APROBANDO POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES"-SEGRA 14055

Exposición de motivos

El Ayuntamiento de Caso pretende establecer con esta Política un marco regulatorio para dar respuesta a la vigente normativa en materia de protección de datos personales contenida tanto en el  Reglamento (UE) 2016/679 del Parlamento europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos -RGPD-), como en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales, así como las directrices de las autoridades de control el Comité Europeo de Protección de Datos, atendiendo a los criterios interpretativos de las autoridades de control (Agencia Española de Protección de Datos o Comité Europeo) y a la jurisprudencia en la materia

El Ayuntamiento aprueba esta Política de carácter interno en el marco de las potestades de autoorganización administrativa reconocidas en el artículo 4 de la Ley 7/1985, de 2 de abril, Reguladora de las Bases de Régimen Local (en adelante LBRL), al objeto de establecer directrices que permitan un cumplimiento efectivo de los requerimientos legales, con el máximo respeto a este derecho fundamental a la protección de datos personales regulado en el artículo 18.4 de la Constitución.

Además, el Ayuntamiento propone un modelo de cumplimiento normativo desde el punto de vista organizativo que sirva de evidencia de las buenas prácticas y medidas de diligencia debida como demostración de su firme compromiso con la garantía en la protección de los datos personales y la seguridad de la información, en el marco de las posibles actuaciones del artículo 24 del RGPD sobre la responsabilidad del Responsable del tratamiento

Además, este principio, no puede entenderse sin su vinculación con las medidas de seguridad que deben ser apropiadas al riesgo en los tratamientos realizados y que deben atender a los requerimientos del Esquema Nacional de Seguridad (en adelante ENS), según lo dispuesto en la Disposición Adicional Primera de la LOPDGDD.

El Ayuntamiento tiene en cuenta también la posición y funciones que desarrolla el Delegado/a de Protección de Datos, para evitar posibles disfunciones en la aplicación de la normativa.

Con fecha 5 de marzo de 2026 el Alcalde de la corporación municipal de Caso, según lo establecido en el artículo 21/22/23 de la Ley 7/1985, de 2 de abril, Reguladora de las Bases de Régimen Local, aprueba el Decreto/Resolución por el que se regula la Política de Protección de Datos Personales del Ayuntamiento de Caso.

TÍTULO I. DISPOSICIONES GENERALES

Artículo 1.  Ámbito objetivo de aplicación

1. Constituye el objeto de esta Política de Protección de datos el establecimiento de los principios, directrices y las responsabilidades en la gestión de las actividades de tratamiento con datos personales del Ayuntamiento de Caso, además del diseño de los procedimientos y de las medidas y actuaciones para dar cumplimiento a la normativa vigente en la materia.

2. Esta Política se aplicará a los datos personales que son tratados por el Ayuntamiento como Responsable del tratamiento.

3. Esta Política es de obligado cumplimiento para los distintos órganos, servicios y departamentos que conforman la estructura orgánica del Ayuntamiento y para todo el personal con acceso a la información que contenga datos personales con independencia de su relación como empleado público, como prestador de servicios contratado o como tercero.

Está Política puede también aplicarse al sector público municipal, previo acuerdo del Pleno de la Corporación y de los Órganos de Gobierno de las citadas entidades.

4. La Política de Protección de datos aprobada afecta a la información y datos personales tratados tanto por medios electrónicos, con independencia de los sistemas aplicables para su gestión, como aquellos que sean tratados en soporte papel u otro formato. Esta información se define según las siguientes normas:

a) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos –en adelante RGPD-),

b) Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos de Personales y garantía de derechos digitales, en adelante LOPDGDD)

c) Preceptos vigentes de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos personales. d) Normativa especial o sectorial que puedan contener previsiones en la materia.

e) Jurisprudencia en la materia y las interpretaciones del Comité Europeo de Protección de Datos y de las autoridades de control de la UE, en concreto, las de la Agencia Española de Protección de Datos (AEPD).

f) El Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.

5. Las definiciones de los términos contenidos en la presente Política deben interpretarse en el mismo sentido que las del artículo 4 del RGPD.

6. La presente Política no es de aplicación a los datos de personas fallecidas cuyo tratamiento se regirá por lo establecido en el artículo 3 de la LOPDGDD.

Artículo 2. Ámbito subjetivo de aplicación

El Ayuntamiento tiene entre sus competencias la potestad de autoorganización, según lo recogido en el artículo 4.1.a) de la LBRL, pudiendo dictar normas con carácter reglamentario para el desarrollo de la misma aplicables a los Órganos de Gobierno municipal, así como a los diferentes servicios y departamentos y a todos los empleados públicos municipales.

Artículo 3. Principios de protección de datos personales

1. El Ayuntamiento trata los datos personales bajo su responsabilidad conforme a los siguientes principios de protección de datos reconocidos en el artículo 5 del RGPD y demás normativa vigente en la materia:

a) Licitud, lealtad y transparencia: los datos personales son tratados de manera lícita, leal y transparente en relación con la persona afectada;

b) Legitimación en el tratamiento de datos personales: solo se tratan los datos personales cuando dicho tratamiento se encuentre amparado en alguna de las causas de legitimación establecidas en los artículos 6 y 9 del RGPD, a excepción del interés legítimo que no es de aplicación a las Administraciones Públicas;

c) Limitación de la finalidad: los datos personales son tratados para el cumplimiento de fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines;

d) Minimización de datos: los datos personales son adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados; 

e) Exactitud: los datos personales son exactos y, en su caso, actualizados siguiendo indicaciones de las personas afectadas; el Ayuntamiento adopta todas las medidas razonables para que se supriman o rectifiquen, sin dilación, cuando aquellos sean inexactos con respecto a los fines para los que se tratan, según las comunicaciones recibidas por los interesados;

f) Limitación del plazo de conservación: los datos personales son mantenidos de forma que se permita la identificación de las personas afectadas el tiempo necesario para los fines que justificaron su tratamiento, o para la presentación de reclamaciones por las personas afectadas o ante la existencia de alguna obligación legal que obligue a su conservación y/o bloqueo, sin perjuicio del cumplimiento de las obligaciones legales en materia de política de gestión documental y archivo aprobado por el Ayuntamiento de acuerdo a los requisitos de la legislación en materia de patrimonio histórico;

g) Integridad y confidencialidad: los datos personales son tratados de tal manera que se garantice su seguridad, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas al riesgo del tratamiento. Quienes intervengan en el tratamiento de los datos están sujetos al deber de secreto y confidencialidad incluso después de haber concluido la relación con la Entidad local, se extremarán estas precauciones en el supuesto de contratación con terceros en los que se traten datos personales, incluso cuando incidentalmente pueda conocer datos personales. La obligación de secreto es complementaria a las obligaciones que puedan tener los empleados públicos por la propia normativa reguladora de su profesión o por la de terceros contratados por el Ayuntamiento;

h) Responsabilidad proactiva: el Ayuntamiento es responsable del cumplimiento de los principios anteriormente señalados y adopta las medidas técnicas y organizativas que le permitan estar en condiciones de demostrar dicho cumplimiento;

i) Derechos de las personas afectadas: se adoptan las medidas y procedimientos que garanticen el adecuado ejercicio por las personas afectadas de los derechos de acceso, rectificación, supresión, oposición y, cuando sea posible, limitación del tratamiento y portabilidad respecto de sus datos personales. Se respeta, en aquellos tratamientos basados en el consentimiento, el derecho a la revocación de este en cualquier momento; 

j) Seguridad integral: la seguridad tiende a la preservación de la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la autenticidad. La seguridad se entiende como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el tratamiento de los datos personales responsabilidad del Ayuntamiento; 

k) Gestión de Riesgos: la gestión del riesgo es el conjunto de actividades coordinadas que el Ayuntamiento desarrolla para dirigir y controlar el riesgo para los derechos fundamentales de las personas afectadas por el tratamiento. El análisis y gestión de riesgos son parte esencial del modelo de responsabilidad proactiva propugnado por el RGPD, de forma que permita el mantenimiento de un entorno controlado en el tratamiento de los datos personales, minimizando los riesgos hasta niveles aceptables. La mitigación de los riesgos se realiza mediante la aplicación de medidas organizativas y técnicas. Las medidas técnicas -de seguridad-, que deberán ser adecuadas a lo establecido en el Esquema Nacional de Seguridad, en cumplimiento de la Disposición Adicional Primera de la LOPDGDD;

l) Proceso de evaluación: el Ayuntamiento implantará un proceso de control, verificación, evaluación y valoración periódico de la eficiencia y eficacia de las medidas técnicas y organizativas adoptadas para garantizar la seguridad de los tratamientos de datos personales, siguiendo los requerimientos del ENS;

m) Protección de datos y seguridad desde el diseño: el Ayuntamiento promueve la implantación del principio de protección de datos desde el diseño con el objetivo de cumplir los requisitos definidos en el RGPD y demás normativa vigente, y, por tanto, los derechos de las personas afectadas de forma que la protección de datos se encuentre presente en las primeras fases de concepción de los diferentes proyectos que afecten a datos personales, incluyendo la implantación de nuevos sistemas de gestión de la información que vayan a implantarse en la Entidad local;

n) Consentimiento de la persona afectada, en aquellos tratamientos donde la base de legitimación sea el consentimiento, según el artículo 6.1.a) del RGPD, este debe ser una manifestación de voluntad libre, específica, informada e inequívoca por la que se acepta el tratamiento. La declaración se recabará principalmente por medios escritos sin perjuicio de otras que puedan evidenciar la acción afirmativa de la persona afectada por cualquier otro medio, pero siempre deberá quedar constancia del mismo;

o) Tratamiento de datos de categorías especiales: el Ayuntamiento, con carácter general no trata datos personales de categorías especiales. El tratamiento se vincula a la prestación de determinados servicios de competencia municipal o delegada con pleno respeto a los principios de la vigente normativa.

Artículo 4. Directrices generales en el tratamiento de datos del Ayuntamiento

Las directrices fundamentales de protección de datos se configuran como objetivos para garantizar el cumplimiento de los principios básicos de la presente Política de protección de datos y serán principios inspiradores de las actuaciones del Ayuntamiento siempre que sea preciso el tratamiento de datos personales en las mismas, respetando además el resto del ordenamiento jurídico. Para la adecuada implantación de estas directrices y teniendo en cuenta los requerimientos del RGPD y de la vigente normativa se implementan entre otras las siguientes actuaciones:

a) Creación, gestión y mantenimiento del Registro de actividades de tratamiento, sometido a la debida publicidad en los términos que establezca la normativa vigente, en el Portal de Transparencia de la Entidad local;

b) Se establecen directrices para que las personas afectadas estén informadas de forma transparente, con un lenguaje entendible y accesible, de los tratamientos de sus datos personales por parte del Entidad local;

c) Se evitan, en la medida de los posible, las transferencias internacionales de datos personales fuera de la Unión Europea. En caso de que fuese necesario el tratamiento de datos fuera de la Unión Europea el Ayuntamiento adoptará las medidas técnicas organizativas previstas en el RGPD. Se presta especial atención a que los prestadores de servicios no realicen transferencias internacionales de datos.       

d) Seguridad en el tratamiento de datos personales: se implantan los mecanismos necesarios para que cualquier persona que acceda o pueda acceder a los activos de información y a los datos personales, conozca sus obligaciones y responsabilidades en materia de seguridad, reduciendo el riesgo derivado de un uso indebido de dichos activos, teniendo en cuenta el ciclo de vida del tratamiento de los datos personales desde su incorporación a los sistemas hasta su total destrucción, garantizando la seguridad por defecto;

e) Gestión de las brechas de datos personales: se implantan los mecanismos apropiados para el control y minimización del impacto en los derechos y libertades de las personas afectadas, diseñando procedimientos  para la debida actuación para la gestión y resolución de la brecha, teniendo en cuenta la necesidad de comunicar, en los términos previstos en el RGPD y demás normativa, a la AEPD y a las personas afectadas cuando la brecha pueda tener un alto impacto en los derechos y libertades El Ayuntamiento procura que el procedimiento de gestión brechas esté interrelacionando con la gestión de otros incidentes como los relacionados con la seguridad de la información;

f) Se adoptan las medidas técnicas, organizativas y procedimentales necesarias para el cumplimiento de la normativa legal vigente en materia de protección de datos personales, entre ellas las necesarias para la adecuada gestión de los derechos de las personas afectadas por el tratamiento, estableciéndose procedimientos de respuesta rápida a las solicitudes de información o al ejercicio de derechos, adecuados al cumplimiento de los plazos establecidos en la normativa y respetando, en todo caso, el derecho de las personas afectadas a recurrir ante las autoridades de control o bien a presentar reclamación previa ante el Delegado/a de Protección de Datos de la Entidad local;

g) En la gestión indirecta de los servicios de competencia municipal bien mediante empresas externas u otras entidades u organismos se tiene en cuenta si estas van a acceder a datos personales tratados bajo responsabilidad del Ayuntamiento. En su caso, y en función del acceso que puedan tener, se tienen en cuenta en los pliegos del contrato la exigencia de medidas técnicas y organizativas precisas, así como la acreditación de la solvencia suficiente en cumplimiento del RGPD y demás normativa vigente en la materia, sin perjuicio de cumplir con las obligaciones de la normativa de contratación y de seguridad de la información

TITULO II. DE LA ORGANIZACIÓN DEL AYUNTAMIENTO

Artículo 5. Distribución funcional en cumplimiento de la Política de protección de datos del Ayuntamiento como Responsable del tratamiento

El Ayuntamiento, actuará como Responsable del tratamiento cuando determine los fines y medios, según la definición del artículo 4 apartado séptimo del RGPD. Para la adecuada gestión de los procedimientos del Ayuntamiento en cumplimiento de la normativa de protección de datos personales, se atribuyen las siguientes responsabilidades y funciones, sin perjuicio de aquellas otras que en desarrollo del presente Decreto/Resolución puedan aprobarse o en la Política de Seguridad de la Información de la entidad o en la definición competencial de la Relación de Puestos de Trabajo:

Al Alcalde del Ayuntamiento o al Concejal en quien se delegue (teniendo en cuenta los límites en materia de delegación dispuestos en el artículo 21.3 de la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local) le corresponde:

    • La aprobación de la Política de Protección de datos personales y sus modificaciones;
    • Aprobación del Registro de Actividades del Tratamiento y, en su caso, la modificación o supresión de las actividades de tratamiento.
    • El ejercicio de acciones judiciales o administrativas en defensa del Entidad local como Responsable del tratamiento de los datos personales, para lo cual contará con el asesoramiento del Delegado/a de Protección de Datos, o bien, en la defensa de los intereses del Ayuntamiento en las posibles reclamaciones por parte de terceros;
    • La dirección y representación de la Entidad local en materia de protección de datos personales;
    • La aprobación/firma de las resoluciones y/o comunicaciones relacionadas con la respuesta al ejercicio de derechos u otras peticiones realizadas por las personas afectadas por el tratamiento de sus datos personales;
    • La notificación a la AEPD y/o las personas afectadas aquellos incidentes de seguridad, en su caso;
    • La firma de los contratos o actos jurídicos vinculantes de Encargado del Tratamiento con entidades o personas físicas o jurídicas que presten servicios al Ayuntamiento cuando accedan a datos personales;
    • La designación, cese o remoción de la persona designada como Delegado/a de Protección de Datos, así como su inscripción ante la AEPD;
    • Dictar las instrucciones internas precisas en cumplimiento de la Política de protección de datos del Ayuntamiento.
    • La presidencia de aquellas comisiones o grupos de trabajo que, cómo asesores del Ayuntamiento puedan crearse para la coordinación de las políticas en materia de protección de datos.

Artículo 6. La persona designada como Delegado/a de Protección de Datos del Ayuntamiento

El Ayuntamiento debe designar y comunicar a la AEPD al Delegado/a de Protección de Datos, a fin de dar cumplimiento a lo requerido en el artículo 37 del RGPD.

La persona designada como Delegado/a lleva a cabo las tareas establecidas en el artículo 39 del citado RGPD, las contenidas en la LOPDGDD, así como las establecidas en los criterios y documentos de buenas prácticas que se adopten la Agencia Española de Protección de Datos, en su condición de autoridad de control, o por el Comité Europeo de Protección de Datos. 

La persona designada como Delegado/a de Protección de Datos del Ayuntamiento es un órgano municipal o una persona física interna o externa a la entidad, cabiendo la posibilidad de que dicho servicio en caso de ser externalizado sea asumido por el Consorcio Asturiano de Servicios Tecnológicos (CAST). El Delegado/a de Protección de Datos debe reunir, en cualquier caso, las condiciones y la capacitación jurídica y técnica adecuada según lo establecido en la normativa vigente. En todo caso, debe ser respetado en la independencia de sus actuaciones, además de asignarle los medios materiales y de personal que precise en el desempeño de su trabajo.

El Delegado/a de Protección de Datos será respetado en el desempeño de las diferentes tareas y funciones que se le atribuyen dentro de la Entidad local.

De conformidad con el artículo 39 del RGPD, las funciones del Delegado/a de Protección de Datos, son al menos las siguientes:

  • Informar y asesorar al Responsable o al Encargado del tratamiento, y a los empleados que se ocupen del tratamiento, de las obligaciones que les incumben en virtud de la normativa de aplicación.
  • Supervisar el cumplimiento de lo dispuesto en el RGPD y en otra normativa de aplicación, de las políticas del Responsable o del Encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, de la concienciación y formación del personal que participa en las operaciones de tratamiento, así como de las auditorías correspondientes.
  • Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación, de conformidad con el artículo 35 del RGPD.
  • Cooperar con la AEPD.
  • Actuar como punto de contacto de la AEPD para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36 del RGPD, y realizar consultas, en su caso, sobre cualquier otro asunto.

El Delegado/a de Protección de Datos desempeña sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

Artículo 7. Creación de grupos de trabajo

Los órganos de la dirección del Ayuntamiento a propuesta del Comité de Seguridad o del Delegado/a de Protección de Datos, dentro de su respectivo ámbito, podrán crear grupos de trabajo específicos para el estudio o análisis de actuaciones concretas del Ayuntamiento, la mejora de los principios recogidos en la presente Política. Los grupos de trabajo podrán contar con la asistencia de personas externas a la Entidad local en función de los temas tratados. 

Artículo 8. Obligaciones del personal

Todos los órganos y unidades del Ayuntamiento prestan su colaboración en las actuaciones de implementación en la Política de protección de datos.

Todos los empleados municipales, con independencia de la relación de carácter funcionarial o laboral, fijos, interinos o eventuales, que presten servicios en la Ayuntamiento tienen la obligación de conocer y cumplir lo previsto en la presente Política, así como en las normas y procedimientos que la desarrollen. 

Todos los empleados públicos del Ayuntamiento, así como cualquier otro personal que pueda prestar sus servicios en el Ayuntamiento tiene el deber de colaborar en la mejora de los procedimientos y requisitos en materia de protección de datos evitando actuaciones que puedan incrementar los riesgos a los que se encuentran expuestos los datos personales, tanto en la función del Ayuntamiento como Responsable del Tratamiento como en la de Encargado. A tal efecto, el Delegado/a de Protección de Datos podrá ser consultado con aquellas propuestas o sugerencias que se puedan plantear.

Artículo 9. Resolución de conflictos

La resolución de conflictos entre los diferentes responsables que componen la estructura organizativa de la Política de protección de datos y de aquellos otros que puedan designarse en cumplimiento de las medidas del Esquema Nacional de Seguridad corresponde, en última instancia, al Alcalde o Concejal en quien delegue, asistido por el Delegado/a de Protección de Datos.

TITULO III. DE LA GESTIÓN DE LAS MEDIDAS ORGANIZATIVAS Y TÉCNICAS

Artículo 10. Categorías de datos personales y de personas afectadas

1. Con carácter general, Ayuntamiento, trata las siguientes tipologías de datos personales:

    1. Identificativos (nombre, apellidos y documento nacional de identidad);
    2. De contacto (email, teléfono, dirección);
    3. Profesionales (cargo en un municipio o empresa);
    4. Académicos: titulaciones
    5. Categorías especiales de datos: salud (discapacidad), ideología (política o sindical).

2. Las categorías de las personas afectadas se corresponden con aquellos que mantienen algún tipo de relación con la entidad, entre otros se deben considerar:

  1. Personas empleadas del Entidad local;
  2. Proveedores y personas empleadas de los prestadores de servicios del Ayuntamiento;
  3. Vecinos del municipio;
  4. Interesados en expedientes administrativos;
  5. Denunciantes o denunciados en procedimientos sancionadores.

Artículo 11. Licitud del tratamiento

Los datos personales solo serán tratados para la finalidad para la que fueron recogidos.

Con carácter general, los datos personales no serán cedidos o comunicados a terceros, salvo los supuestos en los que exista una obligación legal o mandato de una autoridad administrativa o judicial. En el supuesto de que el Ayuntamiento precise de comunicar los datos excepcionalmente y al margen de las obligaciones legales o requerimientos, deberá informar a las personas interesadas y, en su caso, requerirles su consentimiento, conforme a las prescripciones del RGPD.

El Ayuntamiento trata los datos personales, con carácter general, en cumplimiento de una obligación legal, artículo 6.1.c) o para el ejercicio de los fines, como misión de interés público o ejercicio de potestad pública, que le han sido atribuidos, según el artículo 6.1 e) del RGPD, o bien para la ejecución de un contrato entre las partes, artículo 6.1 b) del RGPD.

En ocasiones para la realización de concretas actividades de tratamiento el Ayuntamiento puede requerir de las personas interesadas su consentimiento que deberá ser recogido teniendo en cuenta todos los principios que permitan evidenciar que ha sido otorgado de forma libre, voluntaria e informada.

Artículo 12. Información a las personas afectadas

El Ayuntamiento respeta el principio de transparencia en la información a las personas afectadas por el tratamiento de datos personales, estableciendo diversos canales para la transmisión de la información de carácter gratuito y cumpliendo con las prescripciones de artículo 12 del RGPD.

La información que deberá facilitarse será la relacionada en el artículo 13 del RGPD y el artículo 11 de la LOPDGDD. En el supuesto de que los datos no provengan de la propia persona interesada se debe informar además del contenido recogido en el artículo 14 del RGPD, dentro del plazo establecido, debiendo ser transparentes en las categorías de datos tratados y las fuentes de procedencia de estos, conforme con el artículo 11 de la LOPDGDD.

Artículo 13. Registro de actividades de tratamiento

El Ayuntamiento, como medida de carácter organizativo, crea un Registro de actividades del tratamiento, según la definición establecida en el artículo 30 del RGPD, y conforme a los criterios recogidos en el artículo 31 de la LOPDGDD.

El Registro de Actividades del tratamiento es aprobado por el Alcalde previa consulta con el Delegado/a de Protección de Datos.

El Registro de Actividades del Tratamiento es publicado en el Portal de Transparencia del Entidad local, según lo establecido en la LOPDGDD y en la Ley 19/2013, de 9 de diciembre, de Transparencia, acceso a la información y buen gobierno.  El Registro ofrecerá la información relativa a todas las actividades de tratamiento de datos personales, de manera accesible, con un lenguaje sencillo y fácil de entender.

La Entidad local cuando actúe como Encargado del Tratamiento, de acuerdo con el artículo 30.3 del RGPD, mantiene a disposición del Responsable del tratamiento un Registro de actividad que comprenda los requisitos establecidos en el RGPD y el resto de la normativa vigente.

Artículo 14. Privacidad desde el diseño y por defecto

1. En virtud del principio de privacidad desde el diseño y por defecto, el Ayuntamiento establece las medidas necesarias para la protección por defecto y desde el inicio de los procesos de diseño de nuevas tecnologías o modelos de gobernanza, entre otros, respetando los principios relacionados con la privacidad desde el diseño, aplicando las diferentes medidas que se precisen.

2. Los principios de privacidad desde el diseño y por defecto serán tenidos en cuenta en la contratación de servicios, cuando se derive de la naturaleza del contrato, debiendo constar así reflejado en los pliegos de prescripciones técnicas, según lo dispuesto en el artículo 126 de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público.

Artículo 15. Análisis de riesgos, evaluación de impacto en la protección de datos y gestión de los riesgos de seguridad de la información

1. Cuando la información contiene datos personales se realiza un análisis de riesgos que permita identificar y gestionar los riesgos minimizándolos hasta los niveles que puedan considerarse aceptables, según lo establecido en el RGPD.

El análisis, tendrá en cuenta entre otros, los riesgos para los derechos y libertades de las personas físicas respecto de las actividades de tratamiento con datos personales que lleve a cabo el Ayuntamiento, los sistemas de información que sirven de soporte a las actividades de tratamiento, la tipología de los datos tratados y las categorías de personas afectadas

Asimismo, el Ayuntamiento lleva a cabo una evaluación de impacto de las actividades de tratamiento en la protección de datos personales cuando del análisis realizado resulte probable que el tratamiento suponga un riesgo significativo para los derechos y libertades de las personas, conforme a lo previsto en el artículo 35 del RGPD, teniendo en cuenta también los listados de actividades sujetas a evaluación de impacto publicados por las autoridades de control competentes. También se lleva a cabo una evaluación de impacto antes del inicio de un tratamiento de datos, siempre que así sea preciso en función de lo establecido en el RGPD, la LOPDGDD o las directrices de la AEPD.

2. La gestión de riesgos donde se traten datos personales debe realizarse de manera continua, conforme a los principios de gestión de la seguridad basada en el riesgo.

3. Para el análisis, evaluación y gestión de riesgos se utilizan, en su caso, los procedimientos propios del Ayuntamiento, así como, siempre que supongan una mejora, las guías, recomendaciones y herramientas elaboradas por la AEPD y el Comité Europeo de Protección de Datos.

4. En la realización de los análisis de riesgo y, en su caso, evaluaciones de impacto, se debe contar con el Delegado/a de Protección de Datos según las funciones atribuidas por el artículo 37 del RGPD.

Artículo 16. Transferencias Internacionales de Datos

Con carácter general, el Ayuntamiento no realiza transferencias de datos personales fuera del espacio de la Unión Europea, ámbito de aplicación del RGPD.

En el supuesto de que, excepcionalmente, fuese preciso un tratamiento de datos fuera de la Unión Europea, este deberá realizarse en países que cuenten con un nivel adecuado de protección bien por pertenecer al Espacio Económico Europeo o por haber sido así calificados por la Autoridad de control o bien respetando las salvaguardas establecidas en el Capítulo V del RGPD sobre transferencias internacionales y en la LOPDGDD

Artículo 17. Notificación de brechas de seguridad de los datos personales

El Ayuntamiento adoptará las medidas necesarias para garantizar la notificación de las brechas de seguridad de los datos personales que pudieran producirse a través del procedimiento establecido al efecto, de conformidad con lo dispuesto en el artículo 33 del RGPD.

Igualmente adoptará las medidas procedentes para la comunicación a las personas que pudieran haberse visto afectadas conforme a lo dispuesto en el artículo 34 del RGPD.

En todo caso, se respetarán los plazos establecidos en el RGPD para su notificación, teniendo en cuenta también las directrices que en la materia han sido dictadas por la AEPD o las del Comité Europeo de Protección de Datos.

En la relación con los Encargados del Tratamiento del Ayuntamiento que puedan tratar datos personales se dictarán directrices para la rápida actuación y comunicación de los incidentes de seguridad que puedan producirse.

Artículo 18. Ejercicio de derechos por las personas interesadas

Las personas interesadas podrán ejercitar los derechos reconocidos en el RGPD directamente, previa acreditación de su identidad o por medio de un representante, según lo establecido en el artículo 12 del RGPD y el artículo 12 de la LOPDGDD.

El Ayuntamiento para el ejercicio de derechos habilita diversos canales de comunicación accesibles y gratuitos, facilitando modelos de formularios para una mejor comprensión a las personas afectadas de cómo pueden ejercitar sus derechos.

Para la tramitación de las solicitudes de las personas afectadas el Ayuntamiento dictará los procedimientos internos precisos para dar respuesta en tiempo y en la forma elegida, siguiendo lo establecido en el RGPD y en la LOPDGDD.

Artículo 19. Sensibilización y formación

Se desarrollarán actividades formativas específicas orientadas a la concienciación y formación del personal que presta sus servicios en el Ayuntamiento, así como a la difusión entre los mismos de esta Política y de las instrucciones y políticas internas que deban desarrollarse.

El Ayuntamiento dispone los medios necesarios para que todas las personas con acceso a la información sean informadas acerca de sus deberes en el respeto a la intimidad, la confidencialidad y la protección de los datos de las personas que se relacionen con la Entidad local, así como de los riesgos existentes en el tratamiento de la información.

El Delegado/a de Protección de Datos supervisa las acciones de concienciación y formación del personal que participa en las operaciones de tratamiento con datos personales, a fin de garantizar el cumplimiento de esta Política.

Artículo 20. Medidas de seguridad de la información

Las medidas de seguridad de la información, según los riesgos evaluados, deberán ser adecuadas al contenido del Esquema Nacional de Seguridad, según lo establecido en la LOPDGDD.

Artículo 21. Plazo de conservación y bloqueo

1. La conservación de los datos personales tratados por el Ayuntamiento tiene en cuenta:

  • La terminación de la finalidad por la que fueron recogidos y tratados;
  • Los plazos de la gestión de la política documental y archivo del organismo;
  • La prescripción de las infracciones o de la posible presentación de reclamaciones con independencia del orden al que pertenezcan;
  • Cualquier obligación legal existente en relación con la conservación de los documentos.

2. Si la Entidad local dispusiese de datos personales en archivos permanentes, el tratamiento de datos personales se fundamentará en el interés público de conservación, según lo previsto en la vigente legislación en materia de archivo documental y conservación del patrimonio.

3. Los datos personales que, una vez finalizado el tratamiento sean conservados para la prescripción de infracciones o presentación de reclamaciones, permanecen bloqueados según lo previsto en el artículo 32 de la LOPDGDD.

TÍTULO IV. DE LAS RELACIONES CON TERCEROS EN EL TRATAMIENTO DE DATOS PERSONALES

Artículo 22. Principios generales

1. En su posición de Responsable del Tratamiento, la Entidad local, dictará instrucciones en los pliegos de contratación que formarán parte del contrato administrativo con los Encargados del Tratamiento, pudiendo, eventualmente, dictar instrucciones no previstas inicialmente por escrito, respetando los principios de la normativa de protección de datos personales, la presente Política y aquellas otras emanadas por la AEPD o el Comité Europeo de Protección de Datos. Se requerirá, especialmente, que el personal que trabaje para los Encargados del Tratamiento haya sido informados y formados sobre la normativa de protección de datos personales y las instrucciones del Ayuntamiento incluyendo lo relacionado con las medidas de seguridad de la información, además de los deberes de deber de secreto y confidencialidad requerido.

2. Los terceros que presten un servicio al Ayuntamiento, y tal y como ha de estar contemplado en los pliegos de contratación, tienen la obligación de mantener la confidencialidad y el deber de secreto respecto a todos aquellos datos personales e información a la que puedan acceder de forma directa o indirecta. El contratista deberá informar en todo caso a sus trabajadores sobre la normativa de protección de datos personales asegurando que se implementen estrictas medidas de diligencia debida. En todas sus actuaciones han de respetar y cumplir rigurosamente los deberes de secreto y confidencialidad. Esto tendrá lugar durante el transcurso de la relación contractual, así como una vez finalizada la misma y por tiempo indefinido.

Artículo 23. Encargados del Tratamiento del Ayuntamiento

El Ayuntamiento, en la redacción de los contratos para la prestación de servicio o aquellos otros en los que puedan tratarse datos personales responsabilidad de la Entidad local, tiene en cuenta los principios en materia de protección de datos del artículo 28 del RGPD en todo el ciclo del tratamiento de los datos personales desde la elección de los contratistas, que deben ofrecer garantías suficientes para aplicar medidas técnicas y organizativas apropiadas respetando la libre concurrencia y competencia en las licitaciones públicas, hasta la finalización de la relación contractual con la devolución o, en su caso,  destrucción de los mismos.

Los pliegos de contratación establecerán las medidas que el Ayuntamiento propone para el control, evaluación y, en su caso, auditoría sobre las medidas técnicas y organizativas adoptadas por el Encargado del tratamiento, verificando el grado de cumplimiento de la normativa vigente y de las instrucciones dadas en los contratos al efecto.

En el supuesto de que el Ayuntamiento admita la subcontratación en un encargo del tratamiento, será preciso comunicarla con carácter previo al Ayuntamiento, identificando al subcontratista, y trasladando los datos personales afectados, el tratamiento a realizar, así como las condiciones del mismo, para que el Responsable de Tratamiento pueda oponerse a dicha subcontratación en caso de que esta pueda afectar a la seguridad de los datos personales. Es requisito imprescindible que el Encargado de tratamiento y la empresa subcontratista formalicen un contrato de Encargado de tratamiento en términos no menos restrictivos que los del existente entre el Ayuntamiento y el Encargado de tratamiento. El contrato se pondrá a disposición del Ayuntamiento para las verificaciones que correspondan. 

TÍTULO V. DE LAS MEDIDAS DE CONTROL Y EVALUACIÓN

Artículo 24. Revisión y auditoría 

El Ayuntamiento lleva a cabo de forma periódica, cumpliendo con los plazos establecidos en la normativa vigente o a iniciativa propia, una auditoría, supervisada por el Delegado/a de Protección de datos y encaminada a la verificación, evaluación y valoración de la eficacia de las medidas técnicas y organizativas para garantizar el adecuado tratamiento de los datos personales. 

En todo caso realizará una auditoría específica y extraordinaria cuando se lleven a cabo modificaciones sustanciales en el sistema de información propio de la Entidad local que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas para el tratamiento de los datos personales o cuando se hayan detectado incidentes de seguridad reiterados o ante los cambios de la normativa vigente.

Se deberá tener en cuenta en las modificaciones de la organización interna de la Entidad local su efecto sobre las medidas organizativas en materia de protección de datos para, en su caso, proceder a realizar una revisión de estas. 

Artículo 25. Revisión de la Política de protección de datos

La presente Política se someterá a un proceso de revisión a fin de adaptarse a las circunstancias técnicas u organizativas que puedan surgir o en respuesta a las nuevas necesidades en el tratamiento de datos personales por parte del Ayuntamiento. La revisión se realizará con carácter obligatorio cuando entren en vigor modificaciones de las normas que afectan directa o indirectamente a la protección de datos personales o a la estructura o fines del Ayuntamiento.

Disposición adicional primera. Desarrollo de procedimientos

El Delegado/a de Protección de Datos asiste al personal del Ayuntamiento en la adopción de los procedimientos, guías e instrucciones técnicas necesarios para el desarrollo de la presente Política.

Disposición adicional segunda. Publicidad

La presente Política, en aplicación del principio de transparencia establecido en el RGPD será de conocimiento público mediante la publicación en el Portal de Transparencia de la Entidad Local.