Compartir

Informacin institucional y organizacional

En Euskadi el papel de la AVPD ha sido fundamental a lo largo de los años en la consolidación del derecho a la protección de datos. Tras su creación en la Ley 2/2004 de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos, es indiscutible que la AVPD ha desarrollado funciones importantes acompañando el proceso de digitalización del sector público, construyendo poco a poco una sólida interpretación, también cuando las normas no eran lo suficientemente precisas, sobre cómo deben tratarse los datos en el ámbito de lo público.

Tras la aprobación de nuevas normas generales de protección de datos, tanto en el ámbito europeo, como en el estatal, el papel de la AVPD ha sido relevante a la hora de orientar a los entes públicos en la aplicación de dichas normas y de controlar que se cumplen. La labor de la Agencia ha sido de reseñar, si se tiene en cuenta que el nuevo marco normativo venía a cambiar la forma de entender la protección de datos, creando nuevas obligaciones (Registros de Actividades de Tratamiento, Delegados/as de Protección de Datos…) y nuevos derechos que antes no existían o no se reconocían expresamente en las normas (caso del derecho al olvido).

 Partiendo de la labor realizada hasta ahora, la Autoridad se plantea como horizonte un escenario en el que las personas son conscientes de la importancia del derecho a la protección de datos, los entes públicos desarrollan buenas prácticas en el tratamiento de datos de carácter personal y generan confianza a la ciudadanía, se respetan los derechos de las personas y en el que la transformación digital de los entes públicos se lleva a cabo con todas las garantías posibles.

El registro interno de actividades de tratamiento forma parte de la aplicación del principio de “responsabilidad proactiva” que introduce el Reglamento (UE) 2016/679 (RGPD), y contribuye a la transparencia y publicidad de los tratamientos. El RGPD, en su artículo 30, establece que cada responsable de tratamiento y, en su caso, su representante, llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación:

  • el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
  • los fines del tratamiento;
  • una descripción de las categorías de interesados y de las categorías de datos personales;
  • las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
  • en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
  • cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
  • cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.

Además, para cumplir la previsión contenida en el artículo 31 de la Ley Orgánica 3/2018 (LOPDGDD), en el sentido de que las Autoridades y Organismos Públicos enumerados en el artículo 77.1 de dicha LOPDGDD, “harán público un inventario de sus actividades de tratamiento accesible por medios electrónicos en el que constará la información establecida en el artículo 30 del Reglamento (UE) 2016/679 y su base legal”, la AVPD publica su Registro de Actividades de Tratamiento:

Registro de Actividades de tratamiento de la AVPD (PDF) 

Registro de Actividades de tratamiento de la AVPD (HTLM)