PROTECCIÓN DE DATOS

El derecho a la protección de datos es un derecho fundamental de todas las personas físicas.

Este derecho consiste en que cualquier persona puede controlar el uso que se hace de sus datos personales.

Este control evita que a través del tratamiento de nuestros datos se pueda disponer de información que afecte a nuestra intimidad, derechos y libertades fundamentales.

El derecho a la protección de datos está recogido en el artículo 18 de la Constitución española: La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

Normativa y DPD

Reglamento (UE) 2016/679

El Reglamento General de Protección de Datos (RGPD) es una norma de directa aplicación en toda la Unión Europea. Se refiere a la protección de las personas físicas en cuanto al tratamiento y libre circulación de sus datos personales. BOE: https://www.boe.es/doue/2016/119/L00001-00088.pdf

Ley Orgánica 3/2018, de 5 de Diciembre

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), es una ley de ámbito estatal que adapta el ordenamiento jurídico nacional al reglamento europeo y que garantiza los derechos digitales de la ciudadanía. BOE: https://www.boe.es/buscar/pdf/2018/BOE-A-2018-16673-consolidado.pdf

Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos

La Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos, es una Ley del Parlamento Vasco, que tiene por objeto adaptar la organización y funcionamiento de la normativa aplicable en la Comunidad Autónoma del País Vasco a las previsiones del Reglamento (UE) 2016/679; de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales; así como de la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales: https://www.euskadi.eus/web01-bopv/es/bopv2/datos/2024/01/s24_0003.pdf

Las funciones, responsabilidades, estatuto y equipo de la persona Delegada de Protección de Datos son ejercidas por la Jefatura de la unidad orgánica competente en el ámbito de protección de datos y seguridad de la información de la Diputación Foral de Bizkaia, de acuerdo al Decreto Foral 81/2023, de 4 de julio, por el que se aprueba la Política de seguridad de la información y protección de datos personales del sector público foral de Bizkaia, publicado en el Boletín Oficial de Bizkaia Núm 130 de 6 de julio de 2023.

DERECHOS EN PROTECCIÓN DE DATOS EN DIPUTACIÓN FORAL DE BIZKAIA (DFB)

Las personas físicas pueden ejercer sus derechos sobre protección de datos presentando:

  • Una solicitud ante la persona responsable del tratamiento de datos de la DFB.
  • Una reclamación ante la Autoridad Vasca de protección de datos

Estos derechos pueden ejercerse directamente y de forma gratuita por la propia persona o mediante una representante o voluntaria.

REGISTRO DE ACTIVIDADES DE TRATAMIENTO DE DATOS PERSONALES

¿Qué es este registro?

La Diputación Foral de Bizkaia publica su Registro de Actividades de Tratamiento de datos personales RAT. El RAT es un inventario con información completa sobre el uso que se hace en cada Departamento de la DFB de los datos personales de las personas que contactan con la institución o hacen uso de sus servicios, prestaciones o actividades.

El RAT foral es una obligación legal de la DFB como Administración pública responsable del tratamiento de datos personales. Este registro se crea, actualiza y revisa según:

  • Reglamento de la Unión Europea 2016/679 (art. 30 RGPD)
  • Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (arts. 31 y 77 LOPD-GDD)

La ciudadanía puede acceder al RAT por medios electrónicos, a través de esta web y se pone a disposición de la Autoridad Vasca de Protección de Datos (AVPD), autoridad de control competente en esta materia.

Acuerdo

Anuncio en el BOB (Boletín Oficial de Bizkaia) del Acuerdo de Consejo de Gobierno de DFB de 18 de febrero de 2020, por el que se procede a la creación, regulación, mantenimiento y publicación del Registro de Tratamiento de Datos Personales.

Descargar Anuncio en el Boletín Oficial de Bizkaia del Acuerdo de Consejo de Gobierno. PDF (123 KB)

Video Explicativo RAT

Preguntas frecuentes

Cerrar

¿Cuál es la base legal del tratamiento de datos que realizamos?

El RAT se divide en departamentos, y dentro de cada departamento, en actividades de tratamiento. En cada actividad de tratamiento se indica la base jurídica que da legalidad al tratamiento de datos que hace la DFB. La norma principal que legitima el tratamiento de datos de la Diputación Foral de Bizkaia es el Reglamento General de Protección de Datos (RGPD art. 6.1, letras e) y c)), es decir, trata los datos para cumplir con una labor de interés público o en el ejercicio de poderes públicos, o para cumplir con una obligación legal. Las normas con rango de ley que otorgan competencia a la DFB en esta materia son, entre otras:

  • Ley Orgánica 3/1979, de 18 de diciembre, de Estatuto de Autonomía para el País Vasco.
  • Ley 27/1983, de 25 de noviembre, de Relaciones entre las Instituciones comunes de la Comunidad Autónoma y los órganos forales de sus Territorios Históricos.
  • Ley 12/2002, de 23 de mayo, Concierto Económico.
  • Ley 7/1985, de 2 de abril, reguladora de las Bases del Régimen Local.
  • Carta Europea de Autonomía Local de 15 de octubre de 1985.
  • Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas.
  • Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
Cerrar

¿Qué medidas de seguridad aplicamos al tratamiento de datos?

Las que aparecen en el Anexo II (Medidas de seguridad) del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

Cerrar

¿Durante cuánto tiempo se conservan los datos en la Administración Pública?

  • Regla general: se conservan el tiempo necesario para tramitar el procedimiento correspondiente a la actividad o servicio.
  • Además, se conservan el tiempo necesario para cumplir con el plazo de prescripción o caducidad hasta el fin de las responsabilidades que pudiera conllevar el propio tratamiento.
  • Plazos específicos: los recogidos en el título IV de la LOPDGDD para tratamientos de datos personales concretos.
Cerrar

¿Se utilizan los datos para hacer perfiles en la Diputación Foral de Bizkaia?

No. Para tomar decisiones que puedan tener efectos jurídicos sobre las personas o que les afecten significativamente, la Diputación Foral de Bizkaia no elabora perfiles mediante la evaluación sistemática y exhaustiva de aspectos personales.

Cerrar

¿Cómo se relaciona la DFB con las personas encargadas del tratamiento de datos?

La persona encargada del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento, según lo define el Reglamento General de Protección de datos (RGPD art. 4).

La Diputación Foral de Bizkaia, cuando actúa como responsable del tratamiento, sólo establece relaciones con personas encargadas de tratamiento que ofrezcan garantías suficientes para aplicar medidas de seguridad técnicas y organizativas, de acuerdo con el art. 28 del RGPD.

De este modo el tratamiento de datos personales cumple con las instrucciones que se definen, establecen y actualizan desde Diputación Foral de Bizkaia para con sus encargados. Asimismo, su ejecución cumple con la normativa vigente en materia de protección de datos.

  • ¿Cómo establecemos y regulamos la relación con las personas encargadas del tratamiento?
  • ¿Qué sujetos intervienen en los encargos de tratamiento en la Diputación Foral de Bizkaia?
  • ¿Cómo se formalizan los encargos de tratamiento entre responsable de tratamiento y encargado de tratamiento en la Diputación Foral de Bizkaia?

Esta información se puede consultar en la página de Personas encargadas de tratamiento.

Cerrar

¿Realiza la Diputación Foral de Bizkaia transferencias internacionales de datos?

¿Qué son las transferencias internacionales de datos?

Flujo de datos personales desde el territorio de un Estado miembro de la Unión Europea (1) a personas destinatarias establecidas en países fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega).

Por regla general, la Diputación Foral de Bizkaia no realiza transferencias internacionales de datos. No obstante, en caso de que la Diputación Foral de Bizkaia realice transferencias internacionales en el cumplimiento de una obligación legal o en la realización de una misión en interés público o ejercicio de sus poderes públicos, informará debidamente de ello antes de su realización.

¿Cuándo se pueden realizar transferencias internacionales de datos?

Las personas responsables y encargadas del tratamiento solo podrán realizar transferencias internacionales de datos en los siguientes supuestos:

  1. Existe una decisión de adecuación.
  2. A falta de decisión de adecuación, si se ofrecen garantías adecuadas.
  3. A falta de decisión de adecuación y de garantías adecuadas, únicamente se podrán realizar si se cumple algunas excepciones.

A continuación, se detalla en qué consisten de cada uno de los citados supuestos.

  1. Transferencias basadas en la existencia de una decisión de adecuación.

    El artículo 45.1 del RGPD indica que:

    «1. Podrá realizarse una transferencia de datos personales a un tercer país u organización internacional cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica.»

    Por tanto, la Diputación Foral de Bizkaia podrá realizar las transferencias internacionales de datos cuando las entidades receptoras de los datos se encuentren en un país, un territorio o uno o varios sectores específicos de ese país u organización internacional que hayan sido declarados de nivel de protección adecuado por la Comisión Europea. Los países y territorios declarados como adecuados por la Comisión Europea actualmente pueden ser consultados en el siguiente enlace.

  2. Transferencias con aportación de garantías adecuadas.

    El artículo 46 del RGPD establece que, en los casos en los que no exista una decisión de adecuación, sólo se podrán transmitir datos personales a terceros países u organizaciones internacionales cuando se ofrezcan las garantías adecuadas. La Diputación Foral de Bizkaia podrán adoptar dichas garantías a través de uno de los siguientes mecanismos:

    • Instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos.
    • Cláusulas tipo de protección de datos adoptadas por la Comisión Europea. La última versión de estas cláusulas fue aprobada el pasado 4 de junio de 2021 por la Comisión Europea (2). Estas nuevas cláusulas, además de sustituir las anteriores, se adaptan al RGPD incorporando los principios de responsabilidad proactiva y adoptando los principios señalados por el TJUE en la sentencia del caso Schrems II (3).

    La aplicación de estas cláusulas no exime a que la persona que vaya a exportar los datos analice el impacto que la legislación y/o la práctica vigente en el país de la importadora pueda tener en el nivel de protección proporcionado, de forma que sea equivalente al europeo. Además, deberán tenerse en cuenta las directrices del Comité Europeo de Protección de Datos sobre las medidas suplementarias que se considere adecuado adoptar para garantizar ese nivel de protección equivalente (4).

    • Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión. Según el Art 17.1 de la LEY 16/2023, de 21 de diciembre de la Autoridad Vasca de Protección de Datos.: La Autoridad Vasca de Protección de Datos podrá adoptar, conforme a lo dispuesto en el artículo 46.2.c del Reglamento (UE) 2016/679, cláusulas contractuales tipo para la realización de transferencias internacionales de datos por los responsables y encargados del tratamiento sometidos a su competencia.
    • Códigos de conducta. (5) Son mecanismos de cumplimiento voluntario en los que se establecen reglas específicas para categorías de personas responsables o encargadas del tratamiento con la finalidad de contribuir a la correcta aplicación de la normativa de protección de datos.

    Han de ser aprobados por las autoridades de control (6) y deben contener compromisos vinculantes y exigibles de las personas responsables o encargadas del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de las personas interesadas.

    En este sentido y atendiendo al Art 18 de la LEY 16/2023, de 21 de diciembre de la Autoridad Vasca de Protección de Datos: La Autoridad Vasca de Protección de Datos, promoverá y aprobará los códigos de conducta que regulen las actividades de tratamiento de los sujetos sometidos al ámbito de aplicación de la presente ley.

    • Mecanismos de certificación. Sellos y marcas que certifican el cumplimiento de la normativa de protección de datos por parte de una persona responsable o encargada del tratamiento. Han de contener compromisos vinculantes y exigibles de las personas responsables o encargadas del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de las personas interesadas.

    Según el artículo 19 de la Ley 16/2023 de diciembre de la Autoridad Vasca de Protección de Datos: La Autoridad Vasca de Protección de Datos podrá expedir certificaciones, aprobar criterios de certificación y acreditar a organismos o entidades de certificación en materia de protección de datos respecto de las actividades de tratamiento llevadas a cabo por los responsables y encargados a los que se refiere el artículo 2 de la presente ley, con arreglo a lo dispuesto en los artículos 42 y 43 del Reglamento General de Protección de Datos

    Finalmente, cabe mencionar que será necesario obtener la autorización de la Autoridad Vasca de Protección de Datos cuando las garantías adecuadas se ofrezcan a través de uno de los siguientes mecanismos:

    • Cláusulas contractuales tipo que no hayan sido adoptadas por la Comisión Europea o por la AEPD con aprobación de la Comisión Europea, (Art 17.3a de la LEY 16/2023, de 21 de diciembre de la Autoridad Vasca de Protección de Datos).
    • Disposiciones que se incorporen en acuerdos internacionales no normativos con otras autoridades u organismos públicos de terceros estados que incorporen derechos efectivos y exigibles para las personas interesadas (7), ( Art 17b de la LEY 16/2023, de 21 de diciembre de la Autoridad Vasca de Protección de Datos).
  3. Existencia de excepciones.

    A falta de decisión de adecuación y de garantías adecuadas, el artículo 49 del RGPD establece una serie de condiciones que se deben cumplir para realizar una transferencia internacional de datos; la Diputación Foral de Bizkaia únicamente realizará la transferencia si se cumple alguna de las siguientes condiciones:

    • Consentimiento explícito de la persona interesada. La persona interesada dio su consentimiento, después de haber sido informada de los posibles riesgos.
    • Ejecución de un contrato. El tratamiento resulta necesario para le ejecución de un contrato o de medidas precontractuales entre la persona interesada y la Diputación Foral de Bizkaia,
    • Interés público. La transferencia resulte necesaria por razones importantes de interés público.
    • Formulación, ejercicio o defensa de reclamaciones.
    • Intereses vitales. El tratamiento es necesario para proteger intereses vitales de la persona interesada o de otras personas.
    • La transferencia sea realizada desde registro público que, conforme con la normativa europea o de los Estados miembros, deba facilitar información al público y esté abierto a consulta del público o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.

    Por último, el mismo artículo 49 RGPD establece que en los casos en los que no exista una decisión de adecuación, no se ofrezcan garantías adecuadas y no concurra alguna de las excepciones enumeradas anteriormente, la Diputación Foral de Bizkaia sólo podrá realizar la transferencia si cumple los siguientes requisitos:

    • No es repetitiva.
    • Afecta a un número limitado de personas interesadas.
    • Resulta necesaria a los fines de intereses legítimos imperiosos perseguidos por la Diputación Foral de Bizkaia sobre los que no prevalezcan los intereses o derechos y libertades de la persona interesada.
    • La persona responsable del tratamiento evalúe todas las circunstancias concurrentes en la transferencia de datos y ofrezca garantías apropiadas.
    • La persona responsable del tratamiento informe a la autoridad de control y a las personas interesadas de la transferencia.

    En caso de que la transferencia se realice en el marco de alguno de estas excepciones, se deberá informar a las personas interesadas de la transferencia y de los intereses legítimos imperiosos perseguidos, además de aportar la información a que hacen referencia los artículos 13 y 14 del RGPD. Asimismo, la persona responsable del tratamiento informará a la Autoridad Vasca de Protección de datos de latransferencia atendiendo al Art 17.8 de la LEY 16/2023, de 21 de diciembre de la Autoridad Vasca de Protección de Datos.

  1. Alemania, Austria, Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovenia, España, Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Italia, Letonia, Lituania, Luxemburgo, Malta, Países Bajos, Polonia, Portugal, República Checa, República Eslovaca, Rumanía, Suecia. Volver a la nota 1

  2. Cláusulas disponibles aquí:

    https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32021D0914&qid=1623249029503&from=ES Volver a la nota 2

  3. Sentencia del 23 de julio de 2020 del Tribunal de Justicia de la Unión Europea en el asunto C-311/18 — Comisaria de Protección de Datos vs Facebook Irlanda y Maximillian Schrems.Volver a la nota 3

  4. CEPD, 18 de junio de 2021. Recomendaciones 01/2020 sobre medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de los datos personales de la UE. Versión 2.0. Disponible aquí:  https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf Volver a la nota 4

  5. En el ámbito nacional, actualmente solo existe un Código de Conducta aprobado por la AEPD: el elaborado por Autocontrol para el tratamiento de datos en la actividad publicitaria. Disponible aquí:

    https://www.aepd.es/es/documento/codigo-conducta-autocontrol.pdf Volver a la nota 5

  6. Para la aprobación de los códigos de conducta las autoridades de control tendrán en cuenta las «Directrices 1/2019 sobre códigos de conducta y organismos de supervisión con arreglo al Reglamento (UE) 2016/679» elaboradas por el CEPD con fecha de 4 de junio de 2019. Disponibles aquí: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201901_v2.0_codesofconduct_es.pdf Volver a la nota 6

  7. En relación a las transferencias internacionales entre autoridades y organismos públicos, se recomienda ver las Directrices 2/2020 relativas a la aplicación del artículo 46, apartado 2, letra a), y del artículo 46, apartado 3, letra b), del Reglamento 2016/679 con respecto a las transferencias de datos personales entre autoridades y organismos públicos del EEE y de fuera de este»elaboradas por el CEPD y disponibles aquí: https://edpb.europa.eu/system/files/2021-06/edpb_guidelines_202002_art46guidelines_internationaltransferspublicbodies_v2_es.pdf Volver a la nota 7

Registro de actividades de tratamiento