Actualización urgente: protección de datos y el estado de alarma

Autor: TIC Salut Social / 7 de abril de 2020

7 de abril de 2020

Incorpora los criterios interpretativos de:

La Agencia Española de Protección de Datos, en la comunicación publicada en su página web «Notificación de brechasde seguridad de los datos personales durante lo estado de alarma» de 2 de abril de 2020.
El director del Gabinete Jurídico de la Generalitat, en la nota sobre la aplicación de las disposiciones adicionales tercera y cuarta del Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma para «la gestión de la situación de crisis sanitaria ocasionada por el COVID-19» de 30 de marzo de 2020.

La crisis sanitaria ocasionada por la COVID-19 y la rápida evolución de la pandemia a nivel nacional e internacional ha dado lugar en la declaración del estado de alarma mediante el Real Decreto 463/2020, de 14 de marzo, por el cual se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19.
El estado de alarma es uno de los tres estados de emergencia previstos en el artículo 116 de la Constitución, junto con el estado de excepción y el estado de asedio. Su regulación se encuentra en la Ley Orgánica 4/1981, de 1 de junio.
De acuerdo con el artículo 4.b) de la Ley Orgánica 4/1981, de 1 de junio, el Gobierno puede declarar el estado de alarma, en todo o parte del territorio nacional, cuando se produzca una alteración grave de la normalidad debido a crisis sanitarias, tales como epidemias.
El Real Decreto 463/2020, de 14 de marzo, establece la adopción de varias medidas en diferentes ámbitos con una duración inicial de 15 días naturales, que ha sido prorrogada por el Gobierno hasta las 00:00 horas del día 12 de abril por el Real Decreto 476/2020, de 27 de marzo.
Uno de los ámbitos en el cual se adoptan medidas específicas es la tramitación administrativa. En este aspecto, la disposición adicional tercera del Real Decreto prevé la suspensión e interrupción de los plazos para la tramitación de los procedimientos de las entidades del sector público.
El cómputo se retomará en el momento en que pierda vigencia lo Real Decreto 463/2020, de 14 de marzo o, en su caso, sus prórrogas.

El Real Decreto considera entidades del sector público:

a) Cualquier organismo público y entidades de derecho público vinculados o dependientes de las administraciones públicas.

b) Las entidades de derecho privado vinculadas o dependientes de las administraciones públicas, que están sujetas a lo que disponen las normas de esta Ley que se refieran específicamente, y en todo caso, cuando ejerzan potestades administrativas.

c) Las universidades públicas, que se rigen por su normativa específica y, supletoriamente, por las previsiones de esta Ley.

La afectación de estas previsiones en el ámbito de la tramitación de procedimientos en materia de protección de datos es la siguiente:

Notificación de violaciones de seguridad a la autoridad de control

El artículo 33 RGPD prevé un plazo de 72 horas para la notificación a la autoridad de control de las violaciones de seguridad de los datos personales que constituyan un riesgo para los derechos y las libertades de las personas físicas. Si la notificación no se produce en el plazo de 72 horas, se tiene que acompañar con la indicación de los motivos de la dilación.
En este aspecto y a falta de un criterio específico de la Autoridad Catalana de Protección de Datos al respecto, la Agencia Española de Protección de Datos ha emitido un comunicado en fecha 2 de abril de 2020, en que considera que la suspensión de plazos prevista a la disposición adicional tercera del Real Decreto 463/2020 no afecta a la obligación de notificar las violaciones de seguridad que afecten a datos personales. De acuerdo con esto, los responsables y encargados de tratamiento, en cumplimiento del artículo 33 RGPD, están obligados a notificar a la autoridad de control en el plazo de 72 horas, las violaciones de seguridad de los datos personales que constituyan un riesgo para los derechos y las libertades de las personas físicas, sin perjuicio que en caso de no disponer en este plazo de toda la información necesaria, puedan posteriormente ampliarla mediante una notificación adicional.
Al mismo tiempo, los responsables tienen que tomar las medidas necesarias que hagan falta para evitar prejuicios graves en los derechos y libertades de las personas afectadas por la vulneración, incluyendo, si procede, la comunicación de una violación de la seguridad de los datos personales a los interesados prevista en el artículo 34 RGPD, cuando la violación suponga un alto riesgo por los derechos y libertades de los interesados.

Tramitación de ejercicio de derechos de los interesados

La suspensión no afecta al derecho de los ciudadanos a comunicarse con la Administración, los cuales podrán efectuar las peticiones, comunicaciones o tramitaciones que estén disponibles, incluida la solicitud de ejercicio de los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.
Aun así, de acuerdo con las previsiones de la disposición adicional 3ª del Real Decreto 463/2020, de 14 de marzo, a todos los efectos se pueden considerar suspensos los plazos para resolver estas solicitudes, sin perjuicio que, de acuerdo con la interpretación dada en el apartado tercero de la disposición adicional 3ª del Real Decreto 463/2020 por el Gabinete Jurídico de la Generalitat en fecha 30 de marzo de 2020, sería posible que se rehabilitara la suspensión de los plazos previstos en estos supuestos mediante resolución motivada del órgano competente, de la cual cosa, desde la Oficina del DPD informaríamos en caso de que se produjera.
En cualquier caso, habrá que tener presente que las entidades tendrán que tomar las medidas necesarias para garantizar que no se produzca un prejuicio grave de los derechos o intereses de los afectados.

Tramitación de procedimientos en relación con la APDCAT

Finalmente, hay que indicar que los plazos previstos para la tramitación de los diferentes procedimientos que efectúa la APDCAT en ejercicio de las funciones que tiene atribuidas, ya sean procedimientos sancionadores, de tutela de derechos, de información previa, de solicitud de un pronunciamiento, o de control, también se pueden considerar suspendidos en virtud de la aplicación de la disposición adicional 3ª del Real Decreto 463/2020, de 14 de marzo, sin prejuicio de la posibilidad de rehabilitación mencionada en el apartado anterior.

Para cualquier duda o aclaración adicional podéis dirigiros al DPD de salud al correo dpd@ticsalutsocial.cat o consultar https://ticsalutsocial.cat/oficina-dpd/ at/oficina-dpd/

Referencias

AEPD. (2020). [Online]: Notificación de brechas de seguridad de los datos personales durante el estado de alarma. Extraído el 7 de abril de 2020 de https://www.aepd.es/es/prensa-y-comunicacion/blog/notificacion-de-brechas-deseguridad-de-los-datos-personales-durante-el
Departament de la Presidència. (2020). [Online]: Instruccions i informes jurídics en relació a la situació generada pel COVID-19. Extraído el 7 de abril de 2020 de https://presidencia.gencat.cat/ca/ambits_d_actuacio/organsconsultius/gabinet_juridic/instruccions-i-informes-juridics-covid-19/

Plazos para la notificación de violaciones de seguridad y tramitación de otros procedimientos

Suscríbete y recibe noticias y actualizaciones

Boletín TICSS

Sobre la Fundación

Patronato

Ofertas de empleo

Transparencia

Activos digitales para la ciudadania

Ámbito social

Atención digital personalizada

Competencias digitales

eHealth

Imagen médica digital

Integración social y sanitaria

Inteligencia artificial

Interoperabilidad

Activos

Finalizados

Nosotros

Herramienta AIPD

Aula Virtual

Contacto

Noticias

Agenda

Boletín