Búsqueda avanzada

Resoluciones - Protección de datos

RESOLUCIÓN 25/18, de 25 de mayo, por la que se aprueba el registro de las categorías de actividades de tratamiento de datos personales correspondiente al encargado del tratamiento de datos de la institución del Defensor del Pueblo de Navarra.

25 mayo 2018

RESOLUCIÓN 25/18, de 25 de mayo, por la que se aprueba el registro de las categorías de actividades de tratamiento de datos personales correspondiente al encargado del tratamiento de datos de la institución del Defensor del Pueblo de Navarra.

El 25 de mayo de 2018 entra en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (en adelante, Reglamento Europeo de Protección de Datos).

El Reglamento Europeo es de aplicación a las autoridades públicas y conlleva para estas, en los términos dispuestos en él, determinadas obligaciones.

El artículo 30.2 del Reglamento Europeo dispone que cada encargado del tratamiento de datos personales llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable, y que dicho registro deberá contener la información que en ese precepto se indica.

Con el fin de proceder a la aplicación del artículo 30.2 del Reglamento Europeo de Protección de Datos, se ve necesario aprobar el Registro de las categorías de actividades de tratamiento de los datos personales correspondiente al encargado del tratamiento.

El Comité para la aplicación del Reglamento Europeo de Protección de Datos al tratamiento de datos personales en la institución del Defensor del Pueblo de Navarra ha informado favorablemente el proyecto de esta Resolución. En dicho comité participa plenamente el delegado de protección de datos de la institución, junto con el responsable y el encargado.

En su virtud, de conformidad con lo dispuesto en el artículo 7 del Reglamento de Organización y Funcionamiento del Defensor del Pueblo de Navarra, aprobado el 21 de noviembre de 2005 por la Mesa del Parlamento de Navarra,

RESUELVO:

Primero.- Aprobar el registro de las categorías de las actividades de tratamiento de datos personales correspondiente al encargado del tratamiento en la institución del Defensor del Pueblo de Navarra, a los efectos de lo dispuesto en el artículo 30.2 del Reglamento Europeo de Protección de Datos Personales.

Segundo.- Establecer como información contenida en el registro la siguiente:

  1. Nombre y datos de contacto del encargado:
    • Encargado: El Técnico de Gestión Administrativa del Defensor del Pueblo de Navarra.
    • Calle Emilio Arrieta 12 bajo.
    • 31002 Pamplona-Iruña.
    • Teléfono 948-203571.
    • Correo electrónico: info@defensornavarra.es
  2. Nombre y datos de contacto del responsable por cuenta del cual actúa el encargado:
    • Responsable: El Defensor del Pueblo de Navarra.
    • Calle Emilio Arrieta 12 bajo.
    • 31002 Pamplona-Iruña.
    • Teléfono 948-203571.
    • Correo electrónico: info@defensornavarra.es
  3. Nombre y datos de contacto del delegado:
    • Delegado: Carlos Sarasíbar Marco.
    • Calle Emilio Arrieta 12 bajo.
    • 31002 Pamplona-Iruña.
    • Teléfono 948-203571.
    • Correo electrónico: csarasibar@defensornavarra.es
  4. Categorías de los tratamientos efectuados por cuenta del responsable:
    • * En general:
      • Recepción, archivo, control de entrada y control de salida de los escritos y documentos que se presentan en la institución.
    • * En relación con las quejas (incluidas las propuestas de los ciudadanos y, en su caso, las actuaciones de oficio):
      • Recepción, control de entrada y archivo de los escritos y documentos que se dirigen al Defensor del Pueblo de Navarra.
      • Remisión y control de salida de los escritos y documentos a las instituciones, administraciones y personas interesadas.
      • Recepción, control de entrada y archivo de los escritos y documentos que se reciban de las instituciones, administraciones y personas interesadas.
      • Elaboración de un resumen de las quejas y publicación en el espacio digital de la institución (con eliminación de datos personales).
      • Publicación en el espacio digital de la institución de las resoluciones dictadas por el Defensor del Pueblo de Navarra (con seudonimización de los datos personales).
    • * En relación con las consultas, llamadas telefónicas, peticiones de citas y visitas:
      • Recepción, control de entrada y archivo de los escritos a través de los cuales se formulan consultas y peticiones de citas al Defensor del Pueblo de Navarra.
      • Recepción de las llamadas telefónicas.
      • Recepción de visitas.
    • * En relación con el personal de la institución:
      • La gestión de la plantilla orgánica del Defensor del Pueblo de Navarra, la elaboración y control de las nóminas, lo que incluye la selección, las altas, bajas y modificaciones que sea preciso realizar, así como la gestión de otros pagos y percepciones que corresponda abonar al personal al servicio de la institución. Todo ello con comunicación, cuando resulta debido, a las administraciones públicas competentes, Hacienda Pública, Seguridad Social, Montepíos, entidades bancarias y órganos judiciales, de los datos que sea preciso sobre nóminas, impuestos, derechos pasivos, altas y bajas, bases de cotización, accidentes y enfermedades, etcétera, conforme a la normativa tributaria, de la seguridad social, de derechos pasivos del personal al servicio de las administraciones y procesal.
    • * En relación con la actividad administrativa, de contabilidad y la gestión económico-financiera de la institución:
      • Tramitación, control y seguimiento de los documentos, estados contables y expedientes de contratación derivados de la actividad administrativa, contable y económico-financiera de la institución. Todo ello con comunicación, cuando resulte debido, a las administraciones públicas y Hacienda, y a las entidades bancarias para ejecutar las transferencias y órdenes de pago, así como en su caso a los órganos judiciales conforme a la normativa procesal.
      • Publicación en el espacio digital de la institución de las resoluciones dictadas por el Defensor del Pueblo de Navarra relacionadas con la actividad interna de la institución (con seudonimización de los datos personales).
    • * En relación con la videovigilancia de la institución:
      • Visionado de las imágenes grabadas por la cámara de videovigilancia en el acceso al interior de la sede de la institución.
  5. Descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32.2 del Reglamento Europeo de Protección de Datos:
    A continuación se describen de modo general las medidas de seguridad aplicables a la protección de los datos personales:

    • Antecedentes:

      Con arreglo a la anterior normativa sobre datos de carácter personal, la institución del Defensor del Pueblo de Navarra reguló los ficheros de datos de carácter personal existentes. Esta regulación se contiene en las Resoluciones 31/04, de 18 de junio, y 38/07, de 17 de octubre, del Defensor del Pueblo de la Comunidad Foral de Navarra (publicadas en el Boletín Oficial de Navarra número 90, de 28 de julio de 2004, y número 137, de 2 de noviembre de 2007).

      Según esta última Resolución 38/07, de 17 de octubre, los ficheros existentes que contienen datos de carácter personal son:

      • Registro General.
      • Registro de quejas.
      • Registro de consultas.
      • Registro de gestión de personal.

      • Registro de Contabilidad y Gestión Económico-Financiera.

        Las medidas de seguridad de estos cinco ficheros se calificaron como Nivel Básico.

        Con posterioridad, la Resolución 62/07, de 11 de diciembre, del Defensor del Pueblo de la Comunidad Foral de Navarra, creó el fichero de videovigilancia de la institución (publicada la resolución en el Boletín Oficial de Navarra de 7 de enero de 2008), cuyas medidas de seguridad se calificaron como nivel básico.

        Existe también un documento de seguridad para ficheros automatizados de datos de carácter personal, elaborado en 2007, para el registro general, cuyas previsiones pueden servir para complementar u orientar en lo no dispuesto en esta Resolución o no se opongan al Reglamento Europeo de Protección de Datos.

    • Administrativas:

      Los datos personales son recibidos, registrados y archivados únicamente por las personas que trabajan en la institución.

      Todas las personas de la institución actúan bajo la responsabilidad directa del Defensor del Pueblo de Navarra (el responsable), por lo que este está en condiciones de afirmar que cualquier persona que actúa bajo su autoridad y tiene acceso a datos personales solo puede tratar dichos datos siguiendo sus instrucciones.

      El encargado del tratamiento gestiona la lista de puestos de trabajo que pueden acceder a los datos personales.

      Todas las personas con capacidad de acceder a los archivos y sistemas informáticos están identificadas, siendo únicamente personal que presta servicios en la institución o, en su caso, personas de empresas contratadas.

      Las personas que registran y archivan los datos actúan conforme a las directrices del encargado del tratamiento (Técnico de Gestión Administrativa).

      Las personas que prestan servicios en la institución tienen el deber de confidencialidad, como lo establece el artículo 27 del Reglamento de Organización y Funcionamiento de la institución del Defensor del Pueblo de Navarra, aprobado el 21 de noviembre de 2005 por la Mesa del Parlamento de Navarra, que dispone: Toda persona al servicio del Defensor del Pueblo de la Comunidad Foral de Navarra está sujeta a la obligación de guardar estricta reserva en relación a los asuntos que ante el mismo se tramiten. El incumplimiento de esta obligación será sancionado de acuerdo con lo dispuesto en el presente Reglamento. El artículo 28 establece el régimen aplicable a las sanciones disciplinarias. El artículo 26.1 declara que estas personas prestan su trabajo con plena dedicación a la institución.

      Todas las personas de la oficina actúan bajo responsabilidad directa del Defensor del Pueblo de Navarra.

      Los datos objeto de tratamiento relacionados con la misión institucional solo pueden ser comunicados a Administraciones públicas, instituciones públicas, órganos judiciales, autoridades públicas y, en su caso, funcionarios públicos, para los fines de interés público que marca la Ley Foral 4/2000, de 3 de julio, del Defensor del Pueblo de Navarra, en cumplimiento de las leyes y siempre conforme a las leyes. La institución está sujeta al principio de legalidad en su actividad.

    • Físicas:

      Los documentos con datos personales se guardan en expedientes que, a su vez, se archivan, clasificados por años, en:

      1. Armarios, que se sitúan en dependencias con una puerta única de acceso con cerradura. En estos armarios se guardan los expedientes concluidos, que son la mayoría.

      2. Armarios cerrados con llave, cuando se trata de expedientes en tramitación.

        Todos los expedientes generados desde la creación y constitución de la institución en 2001 se conservan en papel, se guardan encarpetados y en cajas, en la sede de la institución (calle Emilio Arrieta 12 bajo).

        El acceso al edificio está controlado por una cámara de videovigilancia que permite observar y registrar quién o quiénes acceden o han accedido a las dependencias de la institución.

        Asimismo, existe un sistema de alarma, que se activa cuando la oficina está cerrada y sin personal en su interior por la noche y en días inhábiles.

        Las personas encargadas del mantenimiento y limpieza de la oficina (que son personas ajenas a la plantilla de la institución de empresas contratadas conforme a la legislación de contratos públicos) acceden al local para realizar única y exclusivamente las prestaciones relativas a sus cometidos.

        La salida de documentos que contengan datos personales fuera de los locales de la institución solo puede realizarse con autorización del responsable o del encargado (dando cuenta este al responsable y al delegado de protección).

        Se consideran suficientes las medidas actuales existentes frente a incendios, inundaciones, destrucción parcial o total, sustracción o alteración, sin perjuicio de su mejora. En los años precedentes no se ha detectado la pérdida, sustracción o alteración de datos personales por estas causas.

    • Informáticas:
      1. Existe una aplicación informática propia de la institución, en donde están recogidas todas las quejas, actuaciones de oficio, informes…, con los datos y documentos de las personas interesadas. Esta aplicación se utiliza por las personas de la institución, puesto que constituye una herramienta de trabajo para la gestión de las quejas. Para la puesta en marcha de la aplicación informática y su actualización, se utilizó la aplicación informática cedida por la institución del Defensor del Pueblo Andaluz, con las adaptaciones técnicas necesarias para la actividad propia y específica del Defensor del Pueblo de Navarra. Para ello, se contrató con una empresa de servicios de sistemas informáticos. Esta empresa se encarga, con arreglo a la legislación de contratos públicos, de prestar apoyo técnico a la conservación de la aplicación, su adecuación y su seguridad informática. No se han detectado incidentes reseñables en el funcionamiento y uso de la aplicación.

      2. Además, se emplea el sistema operativo Windows para el archivo de las quejas y documentos y para la generación de escritos (acuse de recibo, escritos a las administraciones públicas, escritos a los interesados…). Esta red es local, sin conexión con otras redes locales, ni posibilidad de acceso desde fuera de la propia red de la institución.

        Con varias administraciones e instituciones públicas, se utilizan sistemas informáticos de recepción y envío de los documentos y escritos (Gobierno de Navarra, Ayuntamiento de Pamplona-Iruña, Ayuntamiento de Tudela, etcétera).

        Una empresa presta servicios informáticos al Defensor del Pueblo de Navarra, con arreglo a la legislación sobre contratos públicos, para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes del sistema informático y de los servicios de tratamiento de los datos personales obrantes en la institución.

      3. Otra empresa permite asegurar la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.

      4. También se realiza diariamente (de lunes a viernes) una copia de seguridad de la información contenida en la aplicación informática y en el sistema operativo Windows.

        La copia se guarda en un dispositivo especial de la institución, alejado de los servidores y en un lugar seguro, durante quince días hábiles. La utilización de la copia solo puede acordarse por personal autorizado por el responsable o por el encargado (dando cuenta al delegado de protección).

      5. Para el acceso a la aplicación informática y el sistema operativo citado, se emplean claves de acceso con usuario y contraseña por cada persona y protector de pantallas y bloqueos temporales. Tanto las pantallas como las impresoras y el resto de dispositivos conectados al puesto de trabajo están físicamente ubicados en lugares que garantizan la confidencialidad.

        Está prohibida la conexión al fichero desde redes o sistemas exteriores, salvo autorización expresa que se dé por el encargado.

        La salida de soportes informáticos que contengan datos personales fuera de los locales de la institución solo puede realizarse con autorización del responsable o del encargado (dando cuenta este al responsable y al delegado de protección).

      6. Existe una aplicación informática para la gestión de personal (nóminas) y otra aplicación para la gestión económica y presupuestaria de la institución, con datos personales. Estas aplicaciones se utilizan por el Técnico de Gestión Administrativa. Sendas empresas se encargan, con arreglo a la legislación de contratos públicos, de prestar apoyo técnico a la conservación de estas aplicaciones, su adecuación y su seguridad informática. No se han detectado incidentes en el funcionamiento y uso de estas aplicaciones.
      7. En cuanto a las imágenes, se archivan en un grabador y se borran automáticamente a los treinta días naturales.

    • Garantías de seudonimización:

      Los datos personales de las resoluciones y documentos que se publican en el espacio digital de la institución (www.defensornavarra.es) se suprimen, para evitar que puedan ser conocidos. La institución comprueba que en dicha publicación no se produce la mención a ninguna persona física relacionada con las quejas.

      En los casos en que terceras personas solicitan información con datos de carácter personal, se procede bien a solicitar el consentimiento del afectado, bien a suprimir los datos personales para evitar la identificación de las personas físicas afectadas.

Tercero.- Señalar que,a los efectos de lo dispuesto en el artículo 32.3 del Reglamento Europeo de Protección de Datos, en una fase inicial no se considera necesaria la adhesión a códigos de conducta, ni tampoco la utilización de mecanismos de certificación.

Cuarto.- Ordenar que este Registro conste en formato electrónico y que el mismo se ponga a disposición de la autoridad de control cuando esta lo solicite.

Quinto.- Notificar esta Resolución al responsable del tratamiento, al encargado del tratamiento y al delegado de protección de datos en la institución.

Sexto.- Publicar esta Resolución en el espacio digital de la institución (www.defensornavarra.es), a los efectos de su mayor conocimiento.

Pamplona, 25 de mayo de 2018.

El Defensor del Pueblo de Navarra

Nafarroako Arartekoa

Francisco Javier Enériz Olaechea

Ir al listado

Compartir contenido