Descripcion
La responsabilidad proactiva es un principio
transversal que permea y posibilita la articulación de
los demás principios recogidos en el Reglamento
Europeo de Protección de Datos Personales. Se
traduce en un verdadero deber, que pesa sobre el
responsable del tratamiento, consistente en la
adopción de las medidas técnicas y organizativas
necesarias para garantizar la salvaguardia del
derecho a la protección de datos personales y que
resulten congruentes con el nivel de riesgo que se
cierne sobre la actividad de tratamiento. Cuando el
responsable del tratamiento es una administración
pública, la observancia del principio de responsabilidad
proactiva adquiere una relevancia y contenido
singulares, atendiendo, entre otros factores que
condicionan o caracterizan a los tratamientos
desarrollados por administraciones, la finalidad (la
salvaguardia de la protección de datos personales es
un objetivo público que debe realizarse en toda
actuación administrativa), alcance material (el
volumen de datos personales y no personales que
tratan las administraciones públicas es muy significativo),
naturaleza del responsable (la Administración,
que sirve con objetividad al interés general, no
persigue la indemnidad jurídica en sus relaciones con
los ciudadanos, sino la realización de los objetivos
públicos en consuno con sus intereses) y contexto
(relaciones jurídico públicas, más o menos formalizadas).
El estudio de los rasgos singulares que caracterizan
al principio de responsabilidad proactiva en el
ámbito de la actividad administrativa constituye el
objeto de este libro, que comienza con el análisis
general del principio, desde la doble perspectiva
comunitaria y nacional, para revisar a continuación la
evaluación de impacto a la privacidad, como técnica
asociada al principio y algunos tipos de tratamiento:
los vinculados a la realización del principio de solo
una vez "once- only principle" y a la ejecución de una
aplicación específica en el dominio de los sistemas
inteligentes de transporte: plataforma DGT 3.0. El
estudio y sus conclusiones pueden resultar de
interés, tanto a los operadores jurídicos que desarrollen
su actividad en el ámbito de la protección de
datos personales, como a los estudiosos de la
administración pública electrónica, marco dentro del
cual tienen lugar los tratamientos de datos personales
y no personales por las administraciones públicas.
SUMARIO:
Índice
Abreviaturas 13
Capítulo I
Alcance y efectos de la consagración del principio de responsabilidad proactiva como rector de la gestión de información por las administraciones públicas
I. Origen y desarrollo del principio de responsabilidad proactiva y sus elementos vertebradores 21
II. El principio de responsabilidad proactiva en el Reglamento Europeo de Protección de Datos Personales (RGPD) 27
III. El principio de responsabilidad activa en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales 29
IV. Un apunte sobre el alcance y función del principio desde la perspectiva de la Escuela del Derecho Proactivo 32
V. Responsabilidad proactiva y administración pública 36
A. El gobierno del dato y la política de protección de datos personales 37
B. Registro de actividades 44
C. La calidad del dato 47
VI. Estandarización y administración pública 56
Capitulo II
Las evaluaciones de impacto a la privacidad- Privacy Impact Assesment (PIA)
I. Evaluaciones de impacto sobre la privacidad (Privacy Impact Assessment –PIA): origen y concepto 60
II. Las PIA en el Reglamento Europeo de Protección de Datos 66
A. Objeto 66
B. Carácter jurídico 66
C. Contenido 75
1. Factores de riesgo 76
a. Naturaleza del tratamiento 77
b. Alcance del tratamiento 85
c. Contexto 88
d. Finalidad 90
2. Calificación de los riesgos 91
3. Procedimiento para la elaboración de la PIA 99
III. Sujetos que participan y derecho de participación 106
IV. Publicidad de las PIAs 110
V. Consulta ante la autoridad de control 111
Capítulo III
El principio “solo una vez” (Once Only Principle -OOP)
I. Antecedentes en la normativa comunitaria del derecho a aportar información solo una vez [once-only principle (OOP)] 114
II. La regulación del principio OOP en la normativa española antes de la LPAC 121
III. La regulación del principio OOP tras la entrada en vigor de la LPAC. 134
A. Presupuestos jurídicos para la efectividad del principio OOP 134
1. Existencia de un deber de colaboración entre AAPP y disponibilidad de medios técnicos para cumplirlo 135
2. Derecho/deber de relacionarse electrónicamente con la AP 141
3. Desmaterialización de los medios para relacionarse con la Administración 145
a. Portal de Internet y punto de acceso electrónico general (PAGe) 147
b. Sede electrónica 148
c. Digitalización de la documentación 149
d. Identificación electrónica y representación 149
e. Notificaciones electrónicas 150
f. Derecho de acceso al expediente electrónico 152
4. Dos normas técnicas claves: el Reglamento de Interoperabilidad y el Reglamento de Seguridad 153
5. La legitimación del tratamiento 156
a. Cumplimiento de obligación legal, misión de interés público o ejercicio de poder público 159
b. Interés legítimo 169
B. El principio OOP en la LPAC 171
IV. Derecho de información sobre la ubicación del dato y el responsable del tratamiento ulterior 192
V. Sobre el ejercicio del resto de los derechos del titular cuando se comunican los datos entre AAPP 195
VI. Directrices AEPD sobre intercambio de datos entre AAPP 197
VII. El impacto del SDGR (Single Digital Gateway Regulation) en el intercambio de datos entre AAPP 201
A. Régimen de garantías para los ciudadanos en el SDGR 213
VIII. Regímenes especiales sobre comunicación de datos entre AAPP 216
Capítulo IV
Administración pública e Intelligent Transportation System (ITS): la plataforma DGT 3.0
I. Intelligent Transportation System 220
II. Marco jurídico europeo de los ITS 224
III. La plataforma D.G.T 3.0 228
IV. Identificación de los riesgos que se ciernen sobre la privacidad de los datos personales en el campo de las C-ITS en general. 230
A. Naturaleza 231
B. Alcance 231
C. Contexto 232
D. Finalidad 233
E. Amenazas que se ciernen sobre este tipo de tratamientos 234
V. Los problemas de legitimación y transparencia en la plataforma DGT 3.0 235
VI. Medidas animadas por la responsabilidad proactiva 238
A. Anonimización y seudonimización 239
B. Controles por parte del usuario 241
C. Privacy Impact Assesment 241
D. Privacy by design 244
Bibliografía 245