Agencia Vasca de Protección de Datos

euskadi.eus

Inicio

Estás en:
  1. Inicio
  2.  
  3. Administraciones
 

Decálogo para la protección de datos personales para personal de la administración

 

1. Recuerda que los datos son de las personas

Los datos personales son toda información sobre una persona física identificada o identificable; es decir, toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social. Estos datos pertenecen a las personas a las que se refieren y sólo ellas pueden decidir sobre los mismos. Por tanto, ni tú ni tu institución sois dueños de ellos.

 

2. Para empezar, comprueba el registro de actividades de tratamiento

Es necesario que compruebes que el tratamiento de datos personales a realizar está en el registro de actividades de tratamiento.

 

3. Busca la base legitimadora del tratamiento

El tratamiento de datos personales sólo será licito si se cumple alguna de las condiciones establecidas en el artículo 6 del Reglamento General de Protección de Datos (RGPD)[i] o del artículo 9 del RGPD cuando hagan referencia a datos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, así como a datos genéticos, biométricos dirigidos a identificar de manera unívoca a una persona física, y a los datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física.

 

4. Informa

Cuando solicites datos personales, debes informar de las siguientes cuestiones: quién es el responsable del tratamiento, quién es el delegado de protección de datos y su contacto, cuáles son las finalidades del tratamiento, cuál es la base jurídica para el tratamiento, quienes los destinatarios de los datos personales, cuál es el plazo de conservación de los datos y qué derechos tienen las personas respecto al tratamiento de sus datos.

Guía para el cumplimiento del deber de informar (abre en nueva ventana)”, elaborado por la AVPD, AEPD y APDCAT.

 

5. Solicita y trata sólo datos adecuados, pertinentes y limitados a lo necesario

Los datos personales han de ser adecuados, pertinentes y limitados a lo necesario con relación a la finalidad para la que se recogen. No puedes recoger los datos que nos sean adecuados ni utilizar los datos personales para finalidades que sean incompatibles con aquellas para las que se recogieron.

 

6. Cumple las medidas de seguridad

Es tu obligación cumplir la normativa de seguridad en materia de datos personales recogida en el Real Decreto 3/2010 de 8 de enero (abre en nueva ventana) por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

 

7. Facilita a las personas el ejercicio de sus derechos respecto a los datos personales

Tienes que facilitar a la persona titular de los datos el derecho de acceso, rectificación, supresión, limitación y oposición al tratamiento de datos o a que esos datos sean objeto de un tratamiento automatizado. Tendrás que saber informarle sobre cómo ejercerlos y facilitarle los medios para que pueda hacerlo.

 

8. Cumple con tu deber de confidencialidad

Mantén, indefinidamente, absoluta reserva y sigilo sobre cualquier información personal a la que accedas en el ejercicio de tus funciones. Te obligan a ello la normativa de protección de datos, el estatuto del funcionario público y una ética de conducta básica. En ocasiones, el incumplimiento de ese deber puede ser perseguido penalmente.

 

9. Comprueba que existe un contrato de encargado de tratamiento

Para poder facilitar datos personales a particulares o empresas o entidades que, en virtud de contratos, realizan trabajos para tu organización (por ejemplo, desarrollos informáticos, tareas de seguridad, limpieza o distribución de correspondencia) debe existir un contrato que vincule a esos encargados de tratamiento con el responsable, que es tu institución. Ese contrato debe constar de los siguientes elementos: objeto, duración, naturaleza y finalidad del tratamiento, tipo de datos personales y categorías de interesados, y obligaciones y derechos del responsable. Además, también debe contener previsiones respecto al deber de confidencialidad y medidas de seguridad.

Directrices para la elaboración de contratos entre responsables y encargados del tratamiento (abre en nueva ventana)”, elaborado por la AVPD, AEPD y la APDCAT.

 

10. Cuando no sean necesarios, suprime los datos de forma adecuada

Suprime los datos cuando dejen de ser necesarios o pertinentes para la finalidad para la cual fueron recogidos. Algunas veces, antes de destruirlos habrá que limitarlos, es decir, imposibilitar que sean tratados y permitir el acceso a ellos sólo cuando se den algunas situaciones concretas. Para destruir documentos con datos personales en soporte papel utiliza las destructoras o el sistema seguro que haya establecido tu organización.

 

**Ante cualquier duda acude al Delegado de Protección de Datos de tu entidad, quien te informará y asesorará a la hora de realizar un tratamiento de datos personales acorde al RGPD.

[i] RGPD: Reglamento General de Protección de Datos

Decálogo para la protección de datos personales para personal de la Administración (PDF) (abre en nueva ventana)