INSTRUCCIÓN de 20 de enero de 2020, del Síndic de Greuges de la Comunitat Valenciana, por la que se regula el Registro de Actividades de Tratamiento de datos de carácter personal. [2020/1156]
(DOGV núm. 8737 de 11.02.2020) Ref. Base Datos 001432/2020
-
Análisis jurídico
Fecha de entrada en vigor: 11.02.2020 Esta disposición afecta a: Deroga a : -
Análisis documental
Origen disposición: Síndic de Greuges Grupo Temático: Información jurídico-administrativa
La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental protegido por el artículo 18.4 de la Constitución española. De esta manera, nuestra Constitución fue pionera en el reconocimiento del derecho fundamental a la protección de datos personales cuando dispuso que «la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos». Se hacía así eco de los trabajos desarrollados desde finales de la década de 1960 en el Consejo de Europa y de las pocas disposiciones legales adoptadas en países de nuestro entorno.
El Tribunal Constitucional señaló en su Sentencia 94/1998, de 4 de mayo, que nos encontramos ante un derecho fundamental a la protección de datos por el que se garantiza a la persona el control sobre sus datos, cualesquiera datos personales, y sobre su uso y destino, para evitar el tráfico ilícito de los mismos o lesivo para la dignidad y los derechos de los afectados; de esta forma, el derecho a la protección de datos se configura como una facultad del ciudadano para oponerse a que determinados datos personales sean usados para fines distintos a aquel que justificó su obtención.
La Sentencia 292/2000, de 30 de noviembre, lo considera como un derecho autónomo e independiente que consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso.
Por otra parte, también se recoge en el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea y en el artículo 16.1 del Tratado de Funcionamiento de la Unión Europea.
El Parlamento Europeo y el Consejo, en ejercicio de las facultades atribuidas por el artículo 16, apartado 2, del TFUE, aprobaron el Reglamento 2016/679/UE, de 27 de abril, de protección de las personas físicas, en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, RGPD, que entró en vigor el 25.05.2018), al considerar que, para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión, el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser coherente y homogéneo en todos los Estados miembros.
El RGPD supone la revisión de las bases legales del modelo europeo de protección de datos más allá de una mera actualización de la vigente normativa. La mayor novedad que presenta el Reglamento es la evolución de un modelo basado, fundamentalmente, en el control del cumplimiento a otro que descansa en el principio de responsabilidad activa, lo que exige una previa valoración por el responsable o por el encargado del tratamiento del riesgo que pudiera generar el tratamiento de los datos de carácter personal para, a partir de dicha valoración, adoptar las medidas que procedan.
Otras novedades son la introducción del principio de responsabilidad activa, el principio de minimización de datos personales, la figura del delegado de protección de datos, la privacidad desde el diseño, la privacidad por defecto, las notificaciones de quiebras de seguridad que puedan afectar a los datos personales; las evaluaciones de impacto en la protección de datos; la supresión de la inscripción de ficheros, si bien responsables y encargados deberán configurar el denominado Registro de Actividades de Tratamiento, así como el contenido del derecho de información en la recogida de datos que debe facilitarse a los afectados, puesto que se amplía notablemente.
El principio de seguridad jurídica, en su vertiente positiva, obliga a los Estados miembros a integrar el ordenamiento europeo en el interno de una manera lo suficientemente clara y pública como para permitir su pleno conocimiento tanto por los operadores jurídicos como por los propios ciudadanos, en tanto que, en su vertiente negativa, implica la obligación para tales Estados de eliminar situaciones de incertidumbre derivadas de la existencia de normas en el derecho nacional incompatibles con el europeo.
Por ello, aunque el RGPD es una norma directamente aplicable y no requiere transposición interna, las Cortes Generales han aprobado la Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales, en cuyo artículo 31.1 se dispone que los responsables y encargados del tratamiento o, en su caso, sus representantes deberán mantener el registro de actividades de tratamiento y hacer público un inventario de dichas actividades de forma accesible y por medios electrónicos.
En cumplimiento con dicha obligación legal, resulta necesario adecuar a las nuevas exigencias legales la Instrucción de 3 de marzo de 2009 (DOGV 12.03.2009), del Síndic de Greuges de la Comunitat Valenciana, por la que se aprueba la creación y anulación de ficheros de datos de carácter personal.
Por cuanto antecede, y en el uso de las facultades que le otorga la Ley11/1988, de 26 de diciembre, así como el artículo 7 r) del Reglamento de Organización y Funcionamiento de la institución, la Junta de Coordinación y Régimen Interior del Síndic de Greuges ha aprobado, en sesión del día 20 de enero de 2020, las siguientes normas:
Primera. Objeto
La presente instrucción tiene por objeto la regulación del Registro de Actividades de Tratamiento de datos de carácter personal existentes en el Síndic de Greuges de la Comunitat Valenciana y que están incluidas en el ámbito de aplicación del RGPD.
Segunda. Actividades de tratamiento
Se regulan las siguientes actividades de tratamiento de datos de carácter personal titularidad del Síndic de Greuges de la Comunitat Valenciana:
Gestión de quejas
Consultas
Personal
Relaciones institucionales
Registro general
Gestión económica
Vídeo vigilancia
. Control de acceso a la sede
Sugerencias y reclamaciones
Todas estas actividades de tratamiento quedan detalladas en anexo a la presente instrucción, de conformidad con lo dispuesto en el artículo 30 del RGPD.
Tercera. Responsable de las actividades de tratamiento
El Síndic de Greuges de la Comunitat Valenciana, como responsable de las actividades de tratamiento, adoptará las medidas de índole técnica y organizativa que sean necesarias, asegurando, en todo caso, la confidencialidad, seguridad e integridad de los datos, así como las conducentes a hacer efectivas las garantías, obligaciones y derechos reconocidos en el RGPD.
Cuarta. Acceso a datos por terceros
Cuando se encargue el tratamiento de datos a un tercero ajeno al Síndic de Greuges de la Comunitat Valenciana se hará constar expresamente en el correspondiente contrato que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del Síndic de Greuges de la Comunitat Valenciana, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. Asimismo, en el contrato se estipularán las medidas de seguridad que el encargado del tratamiento está obligado a implementar.
Quinta. Derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad de los datos y oposición
Las personas afectadas por las actividades mencionadas podrán ejercer sus derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad de los datos y oposición, cuando proceda, ante la Junta de Coordinación y Régimen Interior del Síndic de Greuges (calle Pascual Blasco, núm. 1, 03001. Alicante) o ante el delegado de protección de datos (dpd_sindic@gva.es).
DISPOSICIÓN DEROGATORIA ÚNICA
Queda derogada la Instrucción de 3 de marzo de 2009, por la que se aprueba la creación y anulación de ficheros de datos de carácter personal.
DISPOSICIÓN FINAL ÚNICA
La presente instrucción entrará en vigor el mismo día de su publicación en el Diari Oficial de la Generalitat Valenciana.
Alicante, 20 de enero de 2020. El Síndic de Greuges de la Comunitat Valenciana: Ángel Luna González.
ANEXO
Actividades de tratamiento
1. Actividad: Gestión de quejas
1.1. Responsable
Junta de Coordinación y Régimen Interior del Síndic de Greuges.
1.2. Fines
Gestión, tramitación y seguimiento de los escritos de queja y demás documentación que pueda acompañarse, dirigidos al Síndic de Greuges, así como de los expedientes a que den lugar. Tipificación correspondiente a la finalidad y usos previstos: atención al ciudadano. Procedimiento de queja. Fines históricos, estadísticos o científicos.
1.3. Delegado de protección de datos
dpd_sindic@gva.es
1.4. Categorías de personas interesadas
Ciudadanos. Representantes legales. Cargos públicos.
1.5. Categorías de datos personales
Datos especialmente protegidos: salud, violencia de género,
ideología, creencias, religión, origen racial o étnico, afiliación sindical y/o política, vida sexual.
Datos relativos a la comisión de infracciones: datos relativos a infracciones administrativas o penales.
Datos de carácter identificativo: NIF/DNI. Nombre y apellidos. Dirección. Teléfono. Firma/huella, número de la Seguridad Social, imagen/voz. Tarjeta sanitaria. Correo electrónico.
Otros tipos de datos: académicos y profesionales. Características personales. Circunstancias sociales. Detalles de empleo, económicos, financieros y de seguros, información comercial. Transacciones de bienes y servicios.
1.6. Personas destinatarias de cesiones
Interesados legítimos. Órganos judiciales. Órganos de la administración europea, estatal, autonómica y local. Diputación Provincial. Colegios profesionales. Defensores del Pueblo.
1.7. Transferencias internacionales de datos
No se producen transferencias internacionales de datos.
1.8. Medidas técnicas y organizativas de seguridad
Nivel de seguridad alto. Funciones y obligaciones del personal. Control de accesos. Gestión de contraseñas. Copias de respaldo. Dispositivos de almacenamiento. Registro de incidencias.
1.9. Legitimación para el tratamiento de los datos
Ley 11/1988, de 26 de diciembre, del Síndic de Greuges. Consentimiento del afectado.
1.10. Plazos de conservación de los datos
Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Será de aplicación lo dispuesto en la normativa de archivos y documentación.
2. Actividad: Consultas
2.1. Responsable
Junta de Coordinación y Régimen Interior del Síndic de Greuges.
2.2. Fines
Gestión, control y atención de las consultas, reclamaciones y sugerencias emitidas por ciudadanos, entidades públicas o privadas para la posible apertura del expediente a gestionar y tramitar por el Síndic de Greuges o, en su caso, orientación o respuesta. Atención al ciudadano y fines históricos, estadísticos o científicos.
2.3. Delegado de protección de datos
dpd_sindic@gva.es
2.4. Categorías de personas interesadas
Ciudadanos. Representantes legales. Cargos públicos.
2.5. Categorías de datos personales
Datos especialmente protegidos: salud, violencia de género,
ideología, creencias, religión, origen racial o étnico, afiliación sindical y/o política, vida sexual.
Datos relativos a la comisión de infracciones: datos relativos a infracciones administrativas o penales.
Datos de carácter identificativo: NIF/DNI. Nombre y apellidos. Dirección. Teléfono. Firma/huella, número de la Seguridad Social, imagen/voz. Tarjeta sanitaria. Correo electrónico.
Otros tipos de datos: académicos y profesionales. Características personales. Circunstancias sociales. Detalles de empleo, económicos, financieros y de seguros, información comercial. Transacciones de bienes y servicios.
2.6. Personas destinatarias de cesiones
No se producen cesiones o comunicaciones de datos.
2.7. Transferencias internacionales de datos
No se producen transferencias internacionales de datos.
2.8. Medidas técnicas y organizativas de seguridad
Nivel de seguridad alto. Funciones y obligaciones del personal. Control de accesos. Gestión de contraseñas. Copias de respaldo. Dispositivos de almacenamiento. Registro de incidencias.
2.9. Legitimación para el tratamiento de los datos
Ley 11/1988, de 26 de diciembre, del Síndic de Greuges. Consentimiento del afectado.
2.10. Plazos de conservación de los datos
Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Será de aplicación lo dispuesto en la normativa de archivos y documentación.
3. Actividad: Personal
3.1. Responsable
Junta de Coordinación y Régimen Interior del Síndic de Greuges.
3.2. Fines
Gestión de recursos humanos. Control de presencia. Biblioteca. Elaboración, confección, control y gestión de las nóminas. Dietas. Ayudas sociales. Plan de Pensiones. Prevención de riesgos laborales del personal de la institución.
3.3. Delegado de protección de datos
dpd_sindic@gva.es
3.4. Categorías de personas interesadas
Empleados. Representantes legales.
3.5. Categorías de datos personales
Datos de carácter identificativo: NIF/DNI. Nombre y apellidos. Dirección. Teléfono. Firma/huella, número de la Seguridad Social, imagen/voz. Correo electrónico.
Otros tipos de datos: académicos y profesionales. Características personales. Detalles de empleo, económicos, financieros y de seguros. Información comercial.
3.6. Personas destinatarias de cesiones
Organismos de la Seguridad Social. Hacienda pública y administración tributaria. Bancos, Cajas de ahorro y cajas rurales. Otras entidades financieras. Entidades aseguradoras. Sindicatos y Junta de Personal. Entidad gestora y depositaria del plan de pensiones. Publicaciones en tablones, diarios o boletines oficiales. Órganos judiciales. Diputación Provincial. Mutualidades.
3.7. Transferencias internacionales de datos
No se producen transferencias internacionales de datos.
3.8. Medidas técnicas y organizativas de seguridad
Nivel de seguridad alto. Funciones y obligaciones del personal. Control de accesos. Gestión de contraseñas. Copias de respaldo. Dispositivos de almacenamiento. Registro de incidencias.
3.9. Legitimación para el tratamiento de los datos
Ley 11/1988, de 26 de diciembre, del Síndic de Greuges. Consentimiento del afectado.
3.10. Plazos de conservación de los datos
Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Será de aplicación lo dispuesto en la normativa de archivos y documentación.
4. Actividad: Relaciones institucionales
4.1. Responsable
Junta de Coordinación y Régimen Interior del Síndic de Greuges.
4.2. Fines
Mantenimiento de agenda con datos de representantes de los medios de comunicación, instituciones públicas o privadas, nacionales o internacionales con las que el Síndic de Greuges se relaciona a fin de realizar el envío de publicaciones y comunicaciones. Convocar actos y gestionar las relaciones institucionales y de protocolo. Concursos escolares de dibujo y redacción. Observatorios del Síndic. Visitas institucionales.
4.3. Delegado de protección de datos
dpd_sindic@gva.es
4.4. Categorías de personas interesadas
Ciudadanos. Representantes legales. Personas de contacto. Cargos públicos. Destinatarios de las publicaciones y actos institucionales.
4.5. Categorías de datos personales
Datos de carácter identificativo: NIF/DNI. Nombre y apellidos. Dirección. Teléfono. Firma/huella. Imagen/Voz. Correo electrónico.
4.6. Personas destinatarias de cesiones
No se producen cesiones o comunicaciones de datos.
4.7. Transferencias internacionales de datos
No se producen transferencias internacionales de datos.
4.8. Medidas técnicas y organizativas de seguridad
Nivel de seguridad básico. Funciones y obligaciones del personal. Gestión de soportes. Criterios de archivo.
4.9. Legitimación para el tratamiento de los datos
Ley 11/1988, de 26 de diciembre, del Síndic de Greuges. Consentimiento del afectado.
4.10. Plazos de conservación de los datos
Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Será de aplicación lo dispuesto en la normativa de archivos y documentación.
5. Actividad: Registro general
5.1. Responsable
Junta de Coordinación y Régimen Interior del Síndic de Greuges.
5.2. Fines
Gestión de entrada de escritos o comunicaciones que sean presentados o que se reciban en el Síndic de Greuges, así como la salida de los escritos y comunicaciones oficiales dirigidas a otros órganos o particulares.
5.3. Delegado de protección de datos
dpd_sindic@gva.es
5.4. Categorías de personas interesadas
Ciudadanos. Representantes legales. Cargos públicos.
5.5. Categorías de datos personales
Datos especialmente protegidos: salud, violencia de género, ideología, creencias, religión, origen racial o étnico, afiliación sindical y/o política, vida sexual.
Datos relativos a la comisión de infracciones: datos relativos a infracciones administrativas o penales.
Datos de carácter identificativo: NIF/DNI. Nombre y apellidos. Dirección. Teléfono. Firma/huella, número de la Seguridad Social, imagen/voz. Tarjeta sanitaria. Correo electrónico.
Otros tipos de datos: académicos y profesionales. Características personales. Circunstancias sociales. Detalles de empleo, económicos, financieros y de seguros. Información comercial. Transacciones de bienes y servicios.
5.6. Personas destinatarias de cesiones
No se producen cesiones o comunicaciones de datos.
5.7. Transferencias internacionales de datos
No se producen transferencias internacionales de datos.
5.8. Medidas técnicas y organizativas de seguridad
Nivel de seguridad alto. Funciones y obligaciones del personal. Control de accesos. Gestión de contraseñas. Copias de respaldo. Dispositivos de almacenamiento. Registro de incidencias.
5.9. Legitimación para el tratamiento de los datos
Ley 11/1988, de 26 de diciembre, del Síndic de Greuges. Consentimiento del afectado.
5.10. Plazos de conservación de los datos
Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Será de aplicación lo dispuesto en la normativa de archivos y documentación.
6. Actividad: Gestión económica
6.1. Responsable
Junta de Coordinación y Régimen Interior del Síndic de Greuges.
6.2. Fines
Gestión y tramitación de los expedientes de contratación y gasto. Documentos contables, fiscales o tributarios. La gestión de las adquisiciones necesarias para el funcionamiento de la institución y el pago a los respectivos proveedores, así como la concesión de ayudas o subvenciones económicas. Gestión contable, fiscal y administrativa.
6.3. Delegado de protección de datos:
dpd_sindic@gva.es
6.4. Categorías de personas interesadas
Empleados. Proveedores. Representantes legales. Beneficiarios. Cargos públicos.
6.5. Categorías de datos personales
Datos de carácter identificativo: NIF/DNI. Nombre y apellidos. Dirección. Teléfono. Firma/huella. Correo electrónico.
Otros tipos de datos: económicos, financieros y de seguros. Información comercial. Transacciones de bienes y servicios. Detalles de empleo.
6.6. Personas destinatarias de cesiones
Hacienda pública y administración tributaria. Bancos, cajas de ahorro y cajas rurales. Otras entidades financieras. Sindicatura de Comptes de la Comunitat Valenciana. Corts Valencianes. Otros órganos de la administración del Estado. Otros órganos de la administración de la Comunitat Autónoma. Órganos de la Seguridad Social. Órganos judiciales.
6.7. Transferencias internacionales de datos
No se producen transferencias internacionales de datos.
6.8. Medidas técnicas y organizativas de seguridad
Nivel de seguridad alto. Funciones y obligaciones del personal. Control de accesos. Gestión de contraseñas. Copias de respaldo. Dispositivos de almacenamiento. Registro de incidencias.
6.9. Legitimación para el tratamiento de los datos
Ley 11/1988, de 26 de diciembre, del Síndic de Greuges. Consentimiento del afectado.
6.10. Plazos de conservación de los datos
Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Será de aplicación lo dispuesto en la normativa de archivos y documentación.
7. Actividad: Video vigilancia y control de acceso a la sede.
7.1. Responsable
Junta de Coordinación y Régimen Interior del Síndic de Greuges.
7.2. Fines
Preservar la seguridad del edificio de la institución y de las personas que acceden o prestan allí sus servicios. Video vigilancia. Seguridad y control de acceso a la sede de la institución.
7.3. Delegado de protección de datos:
dpd_sindic@gva.es
7.4. Categorías de personas interesadas
Empleados. Proveedores. Representantes legales. Beneficiarios. Cargos públicos.
7.5. Categorías de datos personales
Imágenes obtenidas por el sistema de video vigilancia.
7.6. Personas destinatarias de cesiones
Fuerzas y cuerpos de seguridad. Órganos judiciales.
7.7. Transferencias internacionales de datos
No se producen transferencias internacionales de datos.
7.8. Medidas técnicas y organizativas de seguridad
Nivel de seguridad: básico. Gestión de soportes.
7.9. Legitimación para el tratamiento de los datos
Ley 11/1988, de 26 de diciembre, del Síndic de Greuges. Artículo 11 Ley orgánica 2/1986, de 13 de marzo, de Fuerzas y Cuerpos de Seguridad
7.10. Plazos de conservación de los datos
Los datos de carácter personal serán eliminados en un plazo máximo de un mes desde la captación.
8. Actividad: Control de acceso a la sede
8.1. Responsable
Junta de Coordinación y Régimen Interior del Síndic de Greuges.
8.2. Fines
Seguridad y control de acceso de personas de visita a la sede de la institución.
8.3. Delegado de protección de datos:
dpd_sindic@gva.es
8.4. Categorías de personas interesadas
Ciudadanos visitantes. Cargos públicos.
8.5. Categorías de datos personales
Los datos que permiten identificar a las personas que acceden al interior de la sede, nombre y apellidos, DNI/NIF/documento identificativo, las horas de entrada y salida, y motivos de la visita.
8.6. Personas destinatarias de cesiones
Fuerzas y cuerpos de seguridad. Órganos judiciales.
8.7. Transferencias internacionales de datos
No se producen transferencias internacionales de datos.
8.8. Medidas técnicas y organizativas de seguridad
Nivel de seguridad: básico. Gestión de soportes.
8.9. Legitimación para el tratamiento de los datos
Ley 11/1988, de 26 de diciembre, del Síndic de Greuges. Artículo 11 Ley orgánica 2/1986, de 13 de marzo, de Fuerzas y Cuerpos de Seguridad
8.10. Plazos de conservación de los datos
Los datos de carácter personal serán eliminados en un plazo máximo de un mes desde la captación.
9. Actividad: Sugerencias y reclamaciones
1.1. Responsable
Junta de Coordinación y Régimen Interior del Síndic de Greuges.
1.2. Fines
1.3. Delegado de protección de datos:
dpd_sindic@gva.es
1.4. Categorías de personas interesadas
Ciudadanos. Cargos públicos.
1.5. Categorías de datos personales
Datos de carácter identificativo: NIF/DNI. Nombre y apellidos. Dirección. Teléfono. Firma/huella. Correo electrónico.
1.6. Personas destinatarias de cesiones
No se producen cesiones o comunicaciones de datos.
1.7. Transferencias internacionales de datos
No se producen transferencias internacionales de datos.
1.8. Medidas técnicas y organizativas de seguridad
Nivel de seguridad: básico. Gestión de soportes.
1.9. Legitimación para el tratamiento de los datos
Ley 11/1988, de 26 de diciembre, del Síndic de Greuges. Carta de Servicios del Síndic de Greuges.
1.10. Plazos de conservación de los datos
Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Será de aplicación lo dispuesto en la normativa de archivos y documentación.
Aprobada Junta de Coordinación y Régimen Interior de 20 de enero de 2020.