Compartir contenido
Nº: 27
RESOLUCIÓN 27/18, de 28 de mayo, por la que se aprueba la evaluación de impacto relativa a la protección de datos personales en la institución del Defensor del Pueblo de Navarra.
El 25 de mayo de 2018 ha entrado en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (en adelante, Reglamento Europeo de Protección de Datos).
El Reglamento Europeo es de aplicación a las autoridades públicas y conlleva para estas, en los términos dispuestos en él, determinadas obligaciones.
El artículo 35 del Reglamento Europeo dispone que, cuando sea probable que un tipo de tratamiento, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales.
El Comité para la aplicación del Reglamento Europeo de Protección de Datos al tratamiento de datos personales en la institución del Defensor del Pueblo de Navarra ha informado favorablemente el proyecto de esta Resolución. En dicho comité participa plenamente el delegado de protección de datos de la institución, junto con el responsable y el encargado.
En su virtud, de conformidad con lo dispuesto en el artículo 7 del Reglamento de Organización y Funcionamiento del Defensor del Pueblo de Navarra, aprobado el 21 de noviembre de 2005 por la Mesa del Parlamento de Navarra,
RESUELVO:
Evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento con respecto a su finalidad. Base jurídica del tratamiento.
El tratamiento de los datos de carácter personal por la institución del Defensor del Pueblo de Navarra en el ejercicio de las funciones de esta autoridad pública es necesario para el cumplimiento de la misión de interés público que tiene encomendada y para el ejercicio de los poderes públicos conferidos al responsable del tratamiento por las leyes mencionadas en los puntos anteriores.
La finalidad que persigue la institución con los datos personales que recaba son:
La seguridad de la institución (personal, instalación y contenidos) a través de la videocámara de vigilancia y, en su caso, de otras medidas.
La base jurídica del tratamiento, a los efectos del artículo 6.1, letras c) y e), se encuentra, fundamentalmente, en el artículo 18 ter de la Ley Orgánica 13/1982, de 10 de agosto, de Reintegración y Amejoramiento del Régimen Foral de Navarra, en la redacción dada por la Ley Orgánica 7/2010, de 27 de octubre, en la Ley Foral 4/2000, de 3 de julio, del Defensor del Pueblo de Navarra [artículos 1.3, 11, 13, 16, 17, 19, 20, 21, 24, 26, 32 y 35], así como en otras leyes posteriores a esta, que han ido reforzando y ampliando las funciones de esta institución:
Ley Foral 15/2005, de 5 de diciembre, de promoción, atención y protección a la infancia y a la adolescencia (artículo 14.3).
Ley Foral 11/2007, de 4 de abril, de implantación de la Administración electrónica en la Administración de la Comunidad Foral de Navarra (disposición adicional primera).
La Ley Foral 11/2012, de 11 de junio, de la transparencia y del gobierno abierto (artículo 68.1).
Ley Foral 8/2016, de 9 de junio, sobre el Consejo de Navarra (artículo 14.2).
Ley Foral 8/2017, de 19 de junio, de igualdad social de las personas LGTBI+ (artículo 6.1).
También encuentra su base jurídica en la Ley Orgánica 3/1981, de 6 de abril, del Defensor del Pueblo, y en la Ley 36/1985, de 6 de noviembre, por la que se regulan las relaciones entre la institución del Defensor del Pueblo y las figuras similares en las distintas Comunidades Autónomas, así como en la legislación procesal del Estado.
En definitiva, se considera que las operaciones de tratamiento efectuadas son necesarias para dar cumplimiento a la misión de la institución del Defensor del Pueblo de Navarra de protección de los derechos de los ciudadanos y de la mejora de los servicios públicos que le encomienda el artículo 18 ter de la Ley Orgánica 13/1982, de 10 de agosto, de Reintegración y Amejoramiento del Régimen Foral de Navarra, en la redacción dada por la Ley Orgánica 7/2010, de 27 de octubre, la Ley Foral 4/2000, de 3 de julio, del Defensor del Pueblo de la Comunidad Foral de Navarra, y otras leyes que contemplan a la citada institución.
Por otro lado, la institución del Defensor del Pueblo de Navarra entiende que el tratamiento de los datos personales que realiza en el ejercicio de sus funciones atribuidas por el ordenamiento jurídico, no requiere el consentimiento de los interesados y que dichos datos personales objeto de tratamiento pueden ser comunicados, en su caso, a Administraciones e instituciones públicas en el cumplimiento de la ley (Administraciones públicas de Navarra cuando sean supervisadas, Defensor del Pueblo de España, otros altos comisionados autonómicos equivalentes al Defensor del Pueblo competentes para el conocimiento del asunto, Consejo de Navarra, órganos judiciales, Ministerio Fiscal…). En todo caso, las quejas se presentan a iniciativa de los propios ciudadanos interesados, como dispone el artículo 21.1 de la Ley Foral 4/2000, de 3 de julio, y, en su mayoría, los datos a que se refieren los ciudadanos ya obran en poder de las administraciones. También considera la institución que, para el cumplimiento de las leyes que regulan la misión institucional del Defensor del Pueblo de Navarra, de garantía de los derechos de los ciudadanos (artículo 18 ter de la Ley Orgánica 13/1982, de 10 de agosto), es deber de las Administraciones públicas la comunicación de los datos de carácter personal relacionados con las quejas, sin que sea necesario que el interesado dé su consentimiento para el tratamiento de sus datos personales.
Evaluación de los riesgos para los derechos y libertades de las personas físicas.
Se considera que el tratamiento de los datos personales no entraña ningún alto riesgo para los derechos y libertades de las personas por las siguientes razones:
La propia Agencia de Protección de Datos admitió los ficheros de la institución del Defensor del Pueblo de Navarra, a la hora de su inscripción, como de riesgo bajo
. Así, con arreglo a la anterior normativa sobre datos de carácter personal, la institución del Defensor del Pueblo de Navarra reguló los ficheros de datos de carácter personal existentes en la institución. Esta regulación se contiene en las Resoluciones 31/04, de 18 de junio, y en la Resolución 38/2007, de 17 de octubre, del Defensor del Pueblo de la Comunidad Foral de Navarra (publicadas en el Boletín Oficial de Navarra número 90, de 28 de julio de 2004, y número 137, de 2 de noviembre de 2007).
Según esta última Resolución 38/2007, de 17 de octubre, los ficheros existentes que contienen datos en de carácter personal eran:
Registro de Contabilidad y Gestión Económico-Financiera.
Las medidas de seguridad de estos cinco ficheros se calificaron como nivel básico
.
Con posterioridad, la Resolución 62/07, de 11 de diciembre, del Defensor del Pueblo de la Comunidad Foral de Navarra, creó el fichero de videovigilancia de la institución (publicada la resolución en el Boletín Oficial de Navarra de 7 de enero de 2008), cuyas medidas de seguridad se calificaron como nivel básico
.
promotor de la queja o interesado en un expediente/administración competente/Defensor del Pueblo de Navarrade acuerdo con los casos y condiciones que establecen las leyes, sin revelación de datos a terceros.
Los datos relacionados con la gestión interna de la institución surgen en el seno de una relación contractual o similar, siempre vinculada al funcionamiento de la institución.
Por ello, se considera que el riesgo que presenta el tratamiento de datos por la institución del Defensor del Pueblo de Navarra puede calificarse de bajo
.
Conveniencia de la evaluación de impacto.
El artículo 35.10 del Reglamento Europeo de Protección de Datos dispone que, cuando el tratamiento de conformidad con el artículo 6.1, letras c) o e), tenga su base jurídica en el Derecho de la Unión o en el Derecho del Estado miembro que se aplique al responsable del tratamiento, tal Derecho regule la operación específica de tratamiento o conjunto de operaciones en cuestión, y ya se haya realizado una evaluación de impacto relativa a la protección de datos como parte de una evaluación de impacto general en el contexto de la adopción de dicha base jurídica, los apartados 1 a 7 no serán de aplicación, excepto si los Estados miembros consideran necesario proceder a dicha evaluación previa a las actividades de tratamiento.
Conforme a lo dispuesto en el artículo 35.10 citado, pudiera ser que no fuera preceptiva una evaluación previa de las actividades de tratamiento, toda vez que la base jurídica de la actividad de la institución del Defensor del Pueblo de Navarra está en las letras c) y e) del artículo 6.1 del Reglamento Europeo de Protección de Datos, y la Ley Foral 4/2000, de 3 de julio, contempla la recogida y comunicación de datos personales para el cumplimiento de la misión de la institución, a instancia de los propios ciudadanos o de oficio, así como el hecho de que gran parte de los datos personales ya obran en poder de la administración supervisada.
No obstante, con el fin de garantizar una mejor protección de los datos personales que conoce y guarda la institución, se ve conveniente aprobar una evaluación de impacto de las operaciones de tratamiento en la protección de datos personales.
Aprobación.
En consecuencia con lo señalado, se aprueba la evaluación de impacto relativa a la protección de datos personales en la institución del Defensor del Pueblo de Navarra, con el contenido señalado en el artículo 35.7 del Reglamento Europeo de Protección de Datos.
Esta evaluación es única para todas las operaciones de tratamiento que realiza la institución y contiene:
Medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales.
El Comité para la aplicación del Reglamento General de Protección de Datos al tratamiento de datos personales en la institución del Defensor del Pueblo de Navarra tiene como funciones el análisis, informe y propuesta de las medidas más adecuadas que puedan establecerse para la aplicación del Reglamento General de Protección de Datos.
El Comité está formado por el responsable del tratamiento, el delegado de protección de datos y el encargado del tratamiento; cada uno de ellos goza de autonomía y criterio propio para exponer lo que considere más idóneo para la mejor protección de los datos personales.
Este Comité se reunirá de modo inmediato cuando lo solicite alguno de sus miembros, por haber detectado un posible riesgo o una modificación del nivel de riesgo en los tratamientos. El Comité adoptará las medidas pertinentes para la reducción o minimización del riesgo y para la mejor protección de los derechos y libertades de los interesados.
El Comité podrá requerir la presencia de asesores y expertos en la materia y proponer la celebración de contratos dirigidos a implementar las medidas acordadas.
Lo establecido en este punto no significará ninguna alteración de las funciones y posición del delegado de protección de datos personales.
A continuación se describen de modo general las medidas de seguridad aplicables a la protección de los datos personales:
Antecedentes:
Con arreglo a la anterior normativa sobre datos de carácter personal, la institución del Defensor del Pueblo de Navarra reguló los ficheros de datos de carácter personal existentes. Esta regulación se contiene en las Resoluciones 31/04, de 18 de junio, y 38/07, de 17 de octubre, del Defensor del Pueblo de la Comunidad Foral de Navarra (publicadas en el Boletín Oficial de Navarra número 90, de 28 de julio de 2004, y número 137, de 2 de noviembre de 2007).
Según esta última Resolución 38/07, de 17 de octubre, los ficheros existentes que contienen datos de carácter personal son:
Registro de Contabilidad y Gestión Económico-Financiera.
Las medidas de seguridad de estos cinco ficheros se calificaron como Nivel Básico
.
Con posterioridad, la Resolución 62/07, de 11 de diciembre, del Defensor del Pueblo de la Comunidad Foral de Navarra, creó el fichero de videovigilancia de la institución (publicada la resolución en el Boletín Oficial de Navarra de 7 de enero de 2008), cuyas medidas de seguridad se calificaron como nivel básico
.
Existe también un documento de seguridad para ficheros automatizados de datos de carácter personal, elaborado en 2007, para el registro general, cuyas previsiones pueden servir para complementar u orientar en lo no dispuesto en esta Resolución o no se opongan al Reglamento Europeo de Protección de Datos.
Administrativas:
Los datos personales son recibidos, registrados y archivados únicamente por las personas que trabajan en la institución.
Todas las personas de la institución actúan bajo la responsabilidad directa del Defensor del Pueblo de Navarra (el responsable), por lo que este está en condiciones de afirmar que cualquier persona que actúa bajo su autoridad y tiene acceso a datos personales solo puede tratar dichos datos siguiendo sus instrucciones.
El encargado del tratamiento gestiona la lista de puestos de trabajo que pueden acceder a los datos personales.
Todas las personas con capacidad de acceder a los archivos y sistemas informáticos están identificadas, siendo únicamente personal que presta servicios en la institución o, en su caso, personas de empresas contratadas.
Las personas que registran y archivan los datos actúan conforme a las directrices del encargado del tratamiento (Técnico de Gestión Administrativa).
Las personas que prestan servicios en la institución tienen el deber de confidencialidad, como lo establece el artículo 27 del Reglamento de Organización y Funcionamiento de la institución del Defensor del Pueblo de Navarra, aprobado el 21 de noviembre de 2005 por la Mesa del Parlamento de Navarra, que dispone: Toda persona al servicio del Defensor del Pueblo de la Comunidad Foral de Navarra está sujeta a la obligación de guardar estricta reserva en relación a los asuntos que ante el mismo se tramiten. El incumplimiento de esta obligación será sancionado de acuerdo con lo dispuesto en el presente Reglamento
. El artículo 28 establece el régimen aplicable a las sanciones disciplinarias. El artículo 26.1 declara que estas personas prestan su trabajo con plena dedicación a la institución.
Todas las personas de la oficina actúan bajo responsabilidad directa del Defensor del Pueblo de Navarra.
Los datos objeto de tratamiento relacionados con la misión institucional solo pueden ser comunicados a Administraciones públicas, instituciones públicas, órganos judiciales, autoridades públicas y, en su caso, funcionarios públicos, para los fines de interés público que marca la Ley Foral 4/2000, de 3 de julio, del Defensor del Pueblo de Navarra, en cumplimiento de las leyes y siempre conforme a las leyes. La institución está sujeta al principio de legalidad en su actividad.
Físicas:
Los documentos con datos personales se guardan en expedientes que, a su vez, se archivan, clasificados por años, en:
Armarios cerrados con llave, cuando se trata de expedientes en tramitación.
Todos los expedientes generados desde la creación y constitución de la institución en 2001 se conservan en papel, se guardan encarpetados y en cajas, en la sede de la institución (calle Emilio Arrieta 12 bajo).
El acceso al edificio está controlado por una cámara de videovigilancia que permite observar y registrar quién o quiénes acceden o han accedido a las dependencias de la institución.
Asimismo, existe un sistema de alarma, que se activa cuando la oficina está cerrada y sin personal en su interior por la noche y en días inhábiles.
Las personas encargadas del mantenimiento y limpieza de la oficina (que son personas ajenas a la plantilla de la institución de empresas contratadas conforme a la legislación de contratos públicos) acceden al local para realizar única y exclusivamente las prestaciones relativas a sus cometidos.
La salida de documentos que contengan datos personales fuera de los locales de la institución solo puede realizarse con autorización del responsable o del encargado (dando cuenta este al responsable y al delegado de protección).
Se consideran suficientes las medidas actuales existentes frente a incendios, inundaciones, destrucción parcial o total, sustracción o alteración, sin perjuicio de su mejora. En los años precedentes no se ha detectado la pérdida, sustracción o alteración de datos personales por estas causas.
Además, se emplea el sistema operativo Windows para el archivo de las quejas y documentos y para la generación de escritos (acuse de recibo, escritos a las administraciones públicas, escritos a los interesados…). Esta red es local, sin conexión con otras redes locales, ni posibilidad de acceso desde fuera de la propia red de la institución.
Con varias administraciones e instituciones públicas, se utilizan sistemas informáticos de recepción y envío de los documentos y escritos (Gobierno de Navarra, Ayuntamiento de Pamplona-Iruña, Ayuntamiento de Tudela, etcétera).
Una empresa presta servicios informáticos al Defensor del Pueblo de Navarra, con arreglo a la legislación sobre contratos públicos, para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes del sistema informático y de los servicios de tratamiento de los datos personales obrantes en la institución.
También se realiza diariamente (de lunes a viernes) una copia de seguridad de la información contenida en la aplicación informática y en el sistema operativo Windows.
La copia se guarda en un dispositivo especial de la institución, alejado de los servidores y en un lugar seguro, durante quince días hábiles. La utilización de la copia solo puede acordarse por personal autorizado por el responsable o por el encargado (dando cuenta al delegado de protección).
Para el acceso a la aplicación informática y el sistema operativo citado, se emplean claves de acceso con usuario y contraseña por cada persona y protector de pantallas y bloqueos temporales. Tanto las pantallas como las impresoras y el resto de dispositivos conectados al puesto de trabajo están físicamente ubicados en lugares que garantizan la confidencialidad.
Está prohibida la conexión al fichero desde redes o sistemas exteriores, salvo autorización expresa que se dé por el encargado.
La salida de soportes informáticos que contengan datos personales fuera de los locales de la institución solo puede realizarse con autorización del responsable o del encargado (dando cuenta este al responsable y al delegado de protección).
Garantías de seudonimización:
Los datos personales de las resoluciones y documentos que se publican en el espacio digital de la institución ( www.defensornavarra.com) se suprimen, para evitar que puedan ser conocidos. La institución comprueba que en dicha publicación no se produce la mención a ninguna persona física relacionada con las quejas.
En los casos en que terceras personas solicitan información con datos de carácter personal, se procede bien a solicitar el consentimiento del afectado, bien a suprimir los datos personales para evitar la identificación de las personas físicas afectadas.
Consulta a la autoridad de control.
No se considera necesaria la consulta previa a la autoridad de control (Agencia Española de Protección de Datos) antes de proceder al tratamiento, puesto que la evaluación del riesgo conforme al artículo 35 del Reglamento Europeo de Protección de Datos muestra que el tratamiento no entraña alto riesgo.
Tampoco se aprecia que, en la actualidad, exista una normativa del Estado español o de la Comunidad Foral de Navarra que obligue a la institución del Defensor del Pueblo de Navarra, en su calidad de responsable del tratamiento, a consultar a la autoridad de control y a recabar su autorización previa en relación con el tratamiento por un responsable en ejercicio de una misión realizada en interés público, en particular el tratamiento en relación con la protección social y la salud pública (artículo 36 del Reglamento Europeo de Protección de Datos).
Notificación.
Notificar esta Resolución al responsable del tratamiento, al encargado del tratamiento y al delegado de protección de datos en la institución.
Publicación.
Publicar esta Resolución en el espacio digital de la institución ( www.defensornavarra.com), a los efectos de su mayor conocimiento.
Pamplona, 28 de mayo de 2018.
El Defensor del Pueblo de Navarra
Nafarroako Arartekoa
Francisco Javier Enériz Olaechea
Compartir contenido