Obligacions Clau de Protecció de Dades per als Ajuntaments
L'objectiu principal d'aquest capítol és dotar els ajuntaments dels coneixements i eines necessàries per a una gestió de la informació pública amb la protecció de les dades personals. Això és especialment rellevant en l'era digital, on la publicació de documents municipals requereix una atenció especial a la privacitat dels ciutadans.
Aquest marc es complementa amb diverses obligacions fonamentals en matèria de protecció de dades que els ajuntaments han d'adoptar de manera transversal en totes les seves activitats.
7. Obligacions Clau de Protecció de Dades per als Ajuntaments
7. 1. Notificació de les Violacions de Seguretat de les Dades Personals
Una violació de seguretat de les dades és qualsevol incident que condueix a la destrucció, pèrdua, alteració, accés o revelació no autoritzada de dades personals.
Termini de Notificació a l’Autoritat de Control: Si un ajuntament, com a entitat responsable del tractament, pateix una violació de seguretat, ha de notificar-la a l’Autoritat Catalana de Protecció de Dades (APDCAT) sense dilació indeguda i, en tot cas, en un termini màxim de 72 hores des que en tingui constància. Aquesta obligació només s'eximeix si és improbable que la violació constitueixi un risc per als drets i les llibertats de les persones afectades.
Contingut de la Notificació: La notificació ha d'incloure, com a mínim, la naturalesa de la violació, les categories de dades i de persones afectades, i les mesures adoptades per solucionar la violació i pal·liar els possibles efectes negatius.
Comunicació a les Persones Afectades: A més de la notificació a l’APDCAT, si és probable que la violació comporti un alt risc (danys importants o greus) per als drets de les persones interessades, l’ajuntament l'ha de comunicar a les persones afectades sense dilació indeguda, utilitzant un llenguatge clar i senzill. L'objectiu és permetre que les persones afectades puguin prendre mesures per protegir-se'n.
7. 2. Registre d’Activitats de Tractament (RAT)
Els ajuntaments han d’elaborar un registre dels tractaments de dades que duguin a terme (com a responsables i encarregats) i l'han de fer públic per mitjans electrònics.
Contingut del Registre: El RAT ha d’indicar elements essencials com:
Nom i dades de contacte del responsable i, si escau, del Delegat de Protecció de Dades (DPD).
Finalitats i base jurídica del tractament.
Categories de persones interessades i categories de dades personals tractades.
Categories de destinataris i transferències internacionals de dades.
Terminis previstos per suprimir les dades i una descripció general de les mesures de seguretat (quan sigui possible).
7. 3. Avaluació d’Impacte en la Protecció de Dades (AIPD)
L’AIPD és obligatòria per a tractaments que puguin comportar un alt risc per als drets i llibertats de les persones, especialment amb l'ús de noves tecnologies, tractament de dades a gran escala o vigilància sistemàtica. Podeu accedir a la informació detallada sobre la metodologia de una avaluació d’impacte en el següent enllaç: Avaluació d’Impacte relativa a la Protecció de dades
Quan és Obligatòria: És obligatori realitzar una AIPD quan el tractament compleix dos o més criteris de risc, com per exemple:
Elaboració de perfils i prediccions.
Enllaç o combinació de conjunts de dades.
Tractament de dades sensibles o de persones vulnerables.
Observació sistemàtica d’una àrea d’accés públic (p. ex., videovigilància).
Des de Govern Obert, volem ajudar-vos a garantir el compliment del Reglament General de Protecció de Dades (RGPD) i de la Llei Orgànica de Protecció de Dades i Garantia dels Drets Digitals (LOPDGDD). Per aquest motiu, hem preparat un breu llistat que recull les obligacions bàsiques que ha de complir qualsevol ajuntament que tracti dades personals.
Eina d'Autoavaluació: Llista de Verificació de Compliment en Protecció de Dades
Utilitzeu aquesta llista per fer una revisió sistemàtica i comprovar si el vostre ajuntament està complint amb les obligacions essencials en el tractament de dades personals.
https://suportddgi.atlassian.net/wiki/spaces/BGTPC/pages/2255224884
https://suportddgi.atlassian.net/wiki/spaces/BGTPC/pages/2255093794
https://suportddgi.atlassian.net/wiki/spaces/BGTPC/pages/2261286913
https://suportddgi.atlassian.net/wiki/spaces/BGTPC/pages/2255224867
https://suportddgi.atlassian.net/wiki/spaces/BGTPC/pages/2255323155
https://suportddgi.atlassian.net/wiki/spaces/BGTPC/pages/2255847467
Aquestes són les mesures essencials per garantir el compliment de la normativa en matèria de protecció de dades. Us animem a revisar-les i a aplicar les millores necessàries per assegurar una gestió adequada de la informació personal que tracteu.
8. Principis i Tècniques de Protecció de Dades
L’aplicació de la normativa de protecció de dades en l’àmbit local es fonamenta en una sèrie de principis essencials que han de guiar totes les actuacions dels ajuntaments i ens del sector públic. Aquests principis asseguren un equilibri entre la transparència, l’eficiència administrativa i la garantia dels drets fonamentals de les persones.
8. 1. Protecció de dades des del disseny i per defecte
(Privacy by Design & Privacy by Default)
Aquest principi, recollit a l’article 25 del Reglament (UE) 2016/679, General de Protecció de Dades (RGPD), estableix que la privacitat ha d’incorporar-se des de la fase inicial del disseny de qualsevol procés, aplicació, sistema o document, i mantenir-se durant tot el seu cicle de vida.
Això implica:
Que les mesures tècniques i organitzatives (seguretat, minimització, control d’accessos, xifratge, etc.) s’integrin des del moment de concepció del projecte.
Que, per defecte, només es tractin les dades estrictament necessàries per a la finalitat prevista, evitant la recollida o conservació de dades innecessàries o excessives.
Aquesta prevenció proactiva és especialment rellevant en els procediments administratius que comporten publicació de dades (com decrets, anuncis o subvencions).
8. 2. Principi de minimització de dades
D’acord amb l’article 5.1.c) del RGPD i l’article 4 de la Llei orgànica 3/2018, de 5 de desembre, només es poden recollir i tractar les dades adequades, pertinents i limitades al necessari per assolir la finalitat del tractament.
Aplicació pràctica:
No demanar ni conservar informació que no sigui imprescindible.
Utilitzar dades agregades o anonimitzades sempre que sigui possible.
Reduir la “superfície d’exposició” davant possibles reidentificacions o accessos indeguts.
8. 3. Anonimització i pseudonimització
La anonimització i la pseudonimització són tècniques clau per protegir la identitat de les persones en documents i publicacions administratives.
Tècnica | Descripció | Reversibilitat | Àmbit d’aplicació del RGPD |
|---|---|---|---|
Anonimització | Transformació irreversible de les dades que impedeix la identificació de la persona física. | Irreversible | Fora de l’àmbit d’aplicació del RGPD. |
Pseudonimització | Substitució d’identificadors directes (nom, DNI...) per codis o claus. Permet la reidentificació amb informació addicional. | Reversible | Dins de l’àmbit d’aplicació del RGPD. |
Recomanació clau: Davant del dubte sobre si una dada personal ha d’aparèixer en un document públic, la millor pràctica és anonimitzar per defecte.
8. 4. Guia per a l’anonimització dels decrets municipals
Els ajuntaments han d’anonimitzar els decrets i altra informació pública respectant el principi de proporcionalitat i equilibrant la obligació de transparència (Llei 19/2014, de 29 de desembre) amb la protecció de dades personals (RGPD i LOPDGDD).
📘 Podeu consultar la Guia per anonimitzar els decrets d'un ajuntament, que proporciona criteris pràctics per a:
Suprimir o substituir dades personals innecessàries.
Diferenciar entre dades identificatives i merament funcionals.
Aplicar tècniques d’ocultació o substitució abans de la publicació.
8.5. Publicitat d’actes administratius amb dades personals
Els ens locals han de publicar determinats actes administratius amb dades personals —per exemple, beneficiaris de subvencions, llistats d’admesos/exclosos o resolucions de procediments— amb la finalitat de garantir la transparència i el dret d’accés a la informació pública.
Segons la Disposició Addicional Setena de la Llei orgànica 3/2018, la identificació de les persones afectades s’ha de fer de la següent manera:
“Quan sigui necessària la publicació d’un acte administratiu que contingui dades personals, s’hi identificarà la persona afectada mitjançant el seu nom i cognoms, afegint quatre xifres numèriques aleatòries del document d’identitat corresponent.”
Així, s’ha d’evitar publicar simultàniament el nom complet i el número sencer del document identificatiu, especialment en processos selectius o de concurrència pública.
Formats recomanats:
NIF (12345678X): publicar les xifres 4a a 7a →
***4567**NIE (L1234567X): publicar les xifres 4a a 7a →
****4567*Passaport (ABC123456): publicar les xifres 3a a 6a →
***3456Altres identificacions: publicar les xifres 4a a 7a, substituint la resta per asteriscs.
Casos especials:
Si l’acte afecta col·lectius vulnerables (menors, víctimes de violència de gènere, risc d’exclusió social, etc.), la publicació ha de ser anonimitzada i agregada, evitant qualsevol possibilitat d’identificació
8.6. Com evitar la visualització del DNI en signatures electròniques
Els ajuntaments poden protegir la signatura dels treballadors públics en documents signats electrònicament mitjançant dues opcions tècniques:
Ocultació del “CommonName” en la imatge de la signatura del PDF.
Generació d’una còpia autèntica del document sense signatures criptogràfiques visibles.
Aquestes mesures mantenen la validesa jurídica del document i garanteixen la privadesa del personal.
Per a més informació, consulteu la guia específica: Com evitar la visualització del DNI en les signatures electròniques dels treballadors públics
I finalment, recordeu:
Incorporar la protecció de dades des de la planificació de qualsevol procés administratiu.
Aplicar la minimització de dades i l’anonimització de forma sistemàtica.
Revisar tots els documents abans de la seva publicació per verificar que no continguin dades personals innecessàries.
Formar el personal municipal en bones pràctiques de protecció de dades i transparència.