Compartir contenido
RESOLUCIÓN 25/18, de 25 de mayo, por la que se aprueba el registro de las categorías de actividades de tratamiento de datos personales correspondiente al encargado del tratamiento de datos de la institución del Defensor del Pueblo de Navarra.
El 25 de mayo de 2018 entra en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (en adelante, Reglamento Europeo de Protección de Datos).
El Reglamento Europeo es de aplicación a las autoridades públicas y conlleva para estas, en los términos dispuestos en él, determinadas obligaciones.
El artículo 30.2 del Reglamento Europeo dispone que cada encargado del tratamiento de datos personales llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable, y que dicho registro deberá contener la información que en ese precepto se indica.
Con el fin de proceder a la aplicación del artículo 30.2 del Reglamento Europeo de Protección de Datos, se ve necesario aprobar el Registro de las categorías de actividades de tratamiento de los datos personales correspondiente al encargado del tratamiento.
El Comité para la aplicación del Reglamento Europeo de Protección de Datos al tratamiento de datos personales en la institución del Defensor del Pueblo de Navarra ha informado favorablemente el proyecto de esta Resolución. En dicho comité participa plenamente el delegado de protección de datos de la institución, junto con el responsable y el encargado.
En su virtud, de conformidad con lo dispuesto en el artículo 7 del Reglamento de Organización y Funcionamiento del Defensor del Pueblo de Navarra, aprobado el 21 de noviembre de 2005 por la Mesa del Parlamento de Navarra,
Primero.- Aprobar el registro de las categorías de las actividades de tratamiento de datos personales correspondiente al encargado del tratamiento en la institución del Defensor del Pueblo de Navarra, a los efectos de lo dispuesto en el artículo 30.2 del Reglamento Europeo de Protección de Datos Personales.
Segundo.- Establecer como información contenida en el registro la siguiente:
Antecedentes:
Con arreglo a la anterior normativa sobre datos de carácter personal, la institución del Defensor del Pueblo de Navarra reguló los ficheros de datos de carácter personal existentes. Esta regulación se contiene en las Resoluciones 31/04, de 18 de junio, y 38/07, de 17 de octubre, del Defensor del Pueblo de la Comunidad Foral de Navarra (publicadas en el Boletín Oficial de Navarra número 90, de 28 de julio de 2004, y número 137, de 2 de noviembre de 2007).
Según esta última Resolución 38/07, de 17 de octubre, los ficheros existentes que contienen datos de carácter personal son:
Registro de Contabilidad y Gestión Económico-Financiera.
Las medidas de seguridad de estos cinco ficheros se calificaron como Nivel Básico
.
Con posterioridad, la Resolución 62/07, de 11 de diciembre, del Defensor del Pueblo de la Comunidad Foral de Navarra, creó el fichero de videovigilancia de la institución (publicada la resolución en el Boletín Oficial de Navarra de 7 de enero de 2008), cuyas medidas de seguridad se calificaron como nivel básico
.
Existe también un documento de seguridad para ficheros automatizados de datos de carácter personal, elaborado en 2007, para el registro general, cuyas previsiones pueden servir para complementar u orientar en lo no dispuesto en esta Resolución o no se opongan al Reglamento Europeo de Protección de Datos.
Administrativas:
Los datos personales son recibidos, registrados y archivados únicamente por las personas que trabajan en la institución.
Todas las personas de la institución actúan bajo la responsabilidad directa del Defensor del Pueblo de Navarra (el responsable), por lo que este está en condiciones de afirmar que cualquier persona que actúa bajo su autoridad y tiene acceso a datos personales solo puede tratar dichos datos siguiendo sus instrucciones.
El encargado del tratamiento gestiona la lista de puestos de trabajo que pueden acceder a los datos personales.
Todas las personas con capacidad de acceder a los archivos y sistemas informáticos están identificadas, siendo únicamente personal que presta servicios en la institución o, en su caso, personas de empresas contratadas.
Las personas que registran y archivan los datos actúan conforme a las directrices del encargado del tratamiento (Técnico de Gestión Administrativa).
Las personas que prestan servicios en la institución tienen el deber de confidencialidad, como lo establece el artículo 27 del Reglamento de Organización y Funcionamiento de la institución del Defensor del Pueblo de Navarra, aprobado el 21 de noviembre de 2005 por la Mesa del Parlamento de Navarra, que dispone: Toda persona al servicio del Defensor del Pueblo de la Comunidad Foral de Navarra está sujeta a la obligación de guardar estricta reserva en relación a los asuntos que ante el mismo se tramiten. El incumplimiento de esta obligación será sancionado de acuerdo con lo dispuesto en el presente Reglamento
. El artículo 28 establece el régimen aplicable a las sanciones disciplinarias. El artículo 26.1 declara que estas personas prestan su trabajo con plena dedicación a la institución.
Todas las personas de la oficina actúan bajo responsabilidad directa del Defensor del Pueblo de Navarra.
Los datos objeto de tratamiento relacionados con la misión institucional solo pueden ser comunicados a Administraciones públicas, instituciones públicas, órganos judiciales, autoridades públicas y, en su caso, funcionarios públicos, para los fines de interés público que marca la Ley Foral 4/2000, de 3 de julio, del Defensor del Pueblo de Navarra, en cumplimiento de las leyes y siempre conforme a las leyes. La institución está sujeta al principio de legalidad en su actividad.
Físicas:
Los documentos con datos personales se guardan en expedientes que, a su vez, se archivan, clasificados por años, en:
Armarios cerrados con llave, cuando se trata de expedientes en tramitación.
Todos los expedientes generados desde la creación y constitución de la institución en 2001 se conservan en papel, se guardan encarpetados y en cajas, en la sede de la institución (calle Emilio Arrieta 12 bajo).
El acceso al edificio está controlado por una cámara de videovigilancia que permite observar y registrar quién o quiénes acceden o han accedido a las dependencias de la institución.
Asimismo, existe un sistema de alarma, que se activa cuando la oficina está cerrada y sin personal en su interior por la noche y en días inhábiles.
Las personas encargadas del mantenimiento y limpieza de la oficina (que son personas ajenas a la plantilla de la institución de empresas contratadas conforme a la legislación de contratos públicos) acceden al local para realizar única y exclusivamente las prestaciones relativas a sus cometidos.
La salida de documentos que contengan datos personales fuera de los locales de la institución solo puede realizarse con autorización del responsable o del encargado (dando cuenta este al responsable y al delegado de protección).
Se consideran suficientes las medidas actuales existentes frente a incendios, inundaciones, destrucción parcial o total, sustracción o alteración, sin perjuicio de su mejora. En los años precedentes no se ha detectado la pérdida, sustracción o alteración de datos personales por estas causas.
Además, se emplea el sistema operativo Windows para el archivo de las quejas y documentos y para la generación de escritos (acuse de recibo, escritos a las administraciones públicas, escritos a los interesados…). Esta red es local, sin conexión con otras redes locales, ni posibilidad de acceso desde fuera de la propia red de la institución.
Con varias administraciones e instituciones públicas, se utilizan sistemas informáticos de recepción y envío de los documentos y escritos (Gobierno de Navarra, Ayuntamiento de Pamplona-Iruña, Ayuntamiento de Tudela, etcétera).
Una empresa presta servicios informáticos al Defensor del Pueblo de Navarra, con arreglo a la legislación sobre contratos públicos, para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes del sistema informático y de los servicios de tratamiento de los datos personales obrantes en la institución.
También se realiza diariamente (de lunes a viernes) una copia de seguridad de la información contenida en la aplicación informática y en el sistema operativo Windows.
La copia se guarda en un dispositivo especial de la institución, alejado de los servidores y en un lugar seguro, durante quince días hábiles. La utilización de la copia solo puede acordarse por personal autorizado por el responsable o por el encargado (dando cuenta al delegado de protección).
Para el acceso a la aplicación informática y el sistema operativo citado, se emplean claves de acceso con usuario y contraseña por cada persona y protector de pantallas y bloqueos temporales. Tanto las pantallas como las impresoras y el resto de dispositivos conectados al puesto de trabajo están físicamente ubicados en lugares que garantizan la confidencialidad.
Está prohibida la conexión al fichero desde redes o sistemas exteriores, salvo autorización expresa que se dé por el encargado.
La salida de soportes informáticos que contengan datos personales fuera de los locales de la institución solo puede realizarse con autorización del responsable o del encargado (dando cuenta este al responsable y al delegado de protección).
Garantías de seudonimización:
Los datos personales de las resoluciones y documentos que se publican en el espacio digital de la institución (www.defensornavarra.es) se suprimen, para evitar que puedan ser conocidos. La institución comprueba que en dicha publicación no se produce la mención a ninguna persona física relacionada con las quejas.
En los casos en que terceras personas solicitan información con datos de carácter personal, se procede bien a solicitar el consentimiento del afectado, bien a suprimir los datos personales para evitar la identificación de las personas físicas afectadas.
Tercero.- Señalar que,a los efectos de lo dispuesto en el artículo 32.3 del Reglamento Europeo de Protección de Datos, en una fase inicial no se considera necesaria la adhesión a códigos de conducta, ni tampoco la utilización de mecanismos de certificación.
Cuarto.- Ordenar que este Registro conste en formato electrónico y que el mismo se ponga a disposición de la autoridad de control cuando esta lo solicite.
Quinto.- Notificar esta Resolución al responsable del tratamiento, al encargado del tratamiento y al delegado de protección de datos en la institución.
Sexto.- Publicar esta Resolución en el espacio digital de la institución (www.defensornavarra.es), a los efectos de su mayor conocimiento.
Pamplona, 25 de mayo de 2018.
El Defensor del Pueblo de Navarra
Nafarroako Arartekoa
Francisco Javier Enériz Olaechea
Compartir contenido