La reciente sanción del Consejo de Transparencia y Protección de Datos de Andalucía a la Junta de Andalucía ha vuelto a poner sobre la mesa una realidad que el cumplimiento de la normativa de protección de datos no es un mero trámite administrativo, sino una obligación legal y una responsabilidad con las personas cuyos datos se gestionan.
El expediente concluye que la administración andaluza incumplió diversas obligaciones en el tratamiento de los datos personales de más de 525.000 alumnos, la mayoría menores de edad, y cerca de 74.000 docentes al utilizar servicios de Microsoft en el ámbito educativo. Entre las infracciones detectadas se encuentran la falta de información adecuada a los afectados, la ausencia de una Evaluación de Impacto en Protección de Datos (EIPD) previa y deficiencias en la gestión de las transferencias internacionales de datos.
La tecnología no exime del cumplimiento normativo
La transformación digital ha llevado a empresas y administraciones a depender cada vez más de plataformas en la nube y herramientas de terceros para desarrollar su actividad diaria. Sin embargo, utilizar soluciones tecnológicas de grandes proveedores no elimina las obligaciones en materia de protección de datos.
Toda organización que trate datos personales debe analizar previamente los riesgos, definir las medidas de seguridad necesarias y garantizar que los interesados conocen cómo, por qué y para qué se utilizan sus datos. Esto cobra todavía más relevancia cuando se trata de datos de menores de edad, considerados especialmente sensibles por la normativa.
La resolución del Consejo de Transparencia recuerda que la adopción de nuevas herramientas digitales debe ir acompañada de un análisis jurídico y técnico riguroso. La innovación y el cumplimiento normativo deben avanzar de la mano.
La importancia de la Evaluación de Impacto en Protección de Datos
Uno de los aspectos más destacados del caso es la ausencia de una Evaluación de Impacto en Protección de Datos antes de iniciar el tratamiento masivo de información de cientos de miles de personas. Este documento no es una formalidad, sino una herramienta esencial para identificar riesgos y establecer medidas preventivas cuando un tratamiento puede afectar significativamente a los derechos y libertades de los interesados.
Muchas organizaciones desconocen que determinadas actividades, especialmente aquellas relacionadas con datos de menores, tratamientos masivos o el uso de tecnologías en la nube, pueden requerir la realización de una EIPD de forma obligatoria.
Evitar perder el control sobre los datos
En este caso, la administración sostiene que no se produjo ninguna brecha de seguridad ni un uso indebido de la información por parte de Microsoft. Sin embargo, la normativa de protección de datos no se limita a evitar filtraciones. También exige demostrar que el tratamiento se realiza con las garantías adecuadas, que existe transparencia hacia los afectados y que se han implementado las medidas organizativas y técnicas necesarias.
La protección de datos se basa en el principio de responsabilidad proactiva donde las organizaciones también deben ser capaces de acreditar ese cumplimiento ante cualquier inspección o reclamación.
Cumplimiento normativo en empresas y organizaciones
La sanción a la Junta de Andalucía demuestra que ninguna entidad, pública o privada, está exenta de supervisión y que los incumplimientos pueden derivar en expedientes sancionadores, daños reputacionales y pérdida de confianza.
Contar con un adecuado asesoramiento en protección de datos permite identificar riesgos, implantar las medidas necesarias y garantizar que la digitalización de los procesos se realiza de manera segura y conforme al Reglamento General de Protección de Datos.
En FORLOPD ayudamos a empresas, centros educativos, administraciones y organizaciones de cualquier sector a cumplir con la normativa de protección de datos, realizar evaluaciones de impacto, revisar contratos con proveedores tecnológicos y establecer las medidas necesarias para proteger la información y minimizar riesgos.
Llámanos al (+34) 963 122 868 y empieza a proteger tu entidad evitando posibles sanciones.
Preguntas frecuentes sobre la cesión de datos personales
¿Se pueden ceder datos personales a otra empresa sin consentimiento?
No siempre es necesario el consentimiento para comunicar datos a un tercero, pero sí debe existir una base legal que lo permita. En algunos casos la cesión puede estar amparada por una obligación legal, la ejecución de un contrato o un interés legítimo debidamente justificado. Si no existe ninguna de estas circunstancias, será necesario obtener el consentimiento del interesado.
¿Es obligatorio informar al interesado de que sus datos serán compartidos?
Sí. El principio de transparencia exige que las personas conozcan quién va a tratar sus datos, con qué finalidad y, en su caso, qué terceros podrán acceder a la información. Esta información debe facilitarse de forma clara y comprensible desde el momento en que se recogen los datos.
¿Qué ocurre si el tercero está fuera de la Unión Europea?
La transferencia de datos a países fuera del Espacio Económico Europeo requiere garantías adicionales. Dependiendo del país de destino, puede ser necesario aplicar cláusulas contractuales tipo, verificar la existencia de una decisión de adecuación o implementar medidas de seguridad complementarias.
¿Es lo mismo una cesión de datos que un acceso por cuenta de terceros?
No. Cuando una empresa contrata a un proveedor para que trate datos siguiendo sus instrucciones, por ejemplo un servicio de alojamiento en la nube o una gestoría, normalmente se trata de un acceso por cuenta de terceros y debe formalizarse un contrato de encargado del tratamiento. En cambio, existe una cesión de datos cuando la entidad receptora utiliza la información para sus propias finalidades y actúa como responsable independiente.
¿Pueden las administraciones públicas compartir datos entre ellas?
Las administraciones públicas pueden intercambiar información en determinados supuestos previstos por la ley y para el ejercicio de sus competencias. No obstante, también deben respetar los principios de minimización, proporcionalidad y transparencia, limitando el acceso únicamente a los datos estrictamente necesarios.
En FORLOPD te asesoramos para evitar incurrir en posibles sanciones que perjudiquen tu negocio.
Puedes solicitar tu análisis de cumplimiento gratuito aquí.
Fuente: eldiario.es