Resoluciones - Protección de datos

RESOLUCIÓN 27/18, de 28 de mayo, por la que se aprueba la evaluación de impacto relativa a la protección de datos personales en la institución del Defensor del Pueblo de Navarra.

RESOLUCIÓN 27/18, de 28 de mayo, por la que se aprueba la evaluación de impacto relativa a la protección de datos personales en la institución del Defensor del Pueblo de Navarra.

El 25 de mayo de 2018 ha entrado en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (en adelante, Reglamento Europeo de Protección de Datos).

El Reglamento Europeo es de aplicación a las autoridades públicas y conlleva para estas, en los términos dispuestos en él, determinadas obligaciones.

El artículo 35 del Reglamento Europeo dispone que, cuando sea probable que un tipo de tratamiento, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales.

El Comité para la aplicación del Reglamento Europeo de Protección de Datos al tratamiento de datos personales en la institución del Defensor del Pueblo de Navarra ha informado favorablemente el proyecto de esta Resolución. En dicho comité participa plenamente el delegado de protección de datos de la institución, junto con el responsable y el encargado.

En su virtud, de conformidad con lo dispuesto en el artículo 7 del Reglamento de Organización y Funcionamiento del Defensor del Pueblo de Navarra, aprobado el 21 de noviembre de 2005 por la Mesa del Parlamento de Navarra,

RESUELVO:

1. Descripción sistemática de las operaciones de tratamiento:
   Se relacionan a continuación las operaciones de tratamiento que se realizan en la institución del Defensor del Pueblo de Navarra:
   1. * En general:
      • Recepción, archivo, control de entrada y control de salida de los escritos y documentos que se presentan en la institución.
   2. * En relación con las quejas (incluidas las propuestas de los ciudadanos y, en su caso, las actuaciones de oficio):
      • Recepción, control de entrada y archivo de los escritos y documentos que se dirigen al Defensor del Pueblo de Navarra.
      • Remisión y control de salida de los escritos y documentos a las instituciones, administraciones y personas interesadas.
      • Recepción, control de entrada y archivo de los escritos y documentos que se reciban de las instituciones, administraciones y personas interesadas.
      • Elaboración de un resumen de las quejas y publicación en el espacio digital de la institución (con eliminación de datos personales).
      • Publicación en el espacio digital de la institución de las resoluciones dictadas por el Defensor del Pueblo de Navarra (con seudonimización de los datos personales).
   3. * En relación con las consultas, llamadas telefónicas, peticiones de citas y visitas:
      • Recepción, control de entrada y archivo de los escritos a través de los cuales se formulan consultas y peticiones de citas al Defensor del Pueblo de Navarra.
      • Recepción de las llamadas telefónicas.
      • Recepción de visitas.
   4. * En relación con el personal de la institución:
      • La gestión de la plantilla orgánica del Defensor del Pueblo de Navarra, la elaboración y control de las nóminas, lo que incluye la selección, las altas, bajas y modificaciones que sea preciso realizar, así como la gestión de otros pagos y percepciones que corresponda abonar al personal al servicio de la institución. Todo ello con comunicación, cuando resulta debido, a las administraciones públicas competentes, Hacienda Pública, Seguridad Social, Montepíos, entidades bancarias y órganos judiciales, de los datos que sea preciso sobre nóminas, impuestos, derechos pasivos, altas y bajas, bases de cotización, accidentes y enfermedades, etcétera, conforme a la normativa tributaria, de la seguridad social, de derechos pasivos del personal al servicio de las administraciones y procesal.
   5. * En relación con la actividad administrativa, de contabilidad y la gestión económico-financiera de la institución:
      • Tramitación, control y seguimiento de los documentos, estados contables y expedientes de contratación derivados de la actividad administrativa, contable y económico-financiera de la institución. Todo ello con comunicación, cuando resulte debido, a las administraciones públicas y Hacienda, y a las entidades bancarias para ejecutar las transferencias y órdenes de pago, así como en su caso a los órganos judiciales conforme a la normativa procesal.
      • Publicación en el espacio digital de la institución de las resoluciones dictadas por el Defensor del Pueblo de Navarra relacionadas con la actividad interna de la institución (con seudonimización de los datos personales).
   6. * En relación con la videovigilancia de la institución:
      • Visionado de las imágenes grabadas por la cámara de videovigilancia en el acceso al interior de la sede de la institución.

2. Evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento con respecto a su finalidad. Base jurídica del tratamiento.

   El tratamiento de los datos de carácter personal por la institución del Defensor del Pueblo de Navarra en el ejercicio de las funciones de esta autoridad pública es necesario para el cumplimiento de la misión de interés público que tiene encomendada y para el ejercicio de los poderes públicos conferidos al responsable del tratamiento por las leyes mencionadas en los puntos anteriores.

   La finalidad que persigue la institución con los datos personales que recaba son:

   • El ejercicio por la institución del Defensor del Pueblo de Navarra, en su calidad de órgano dependiente del Parlamento de Navarra y de alto comisionado de este último, de la misión de defensa y mejora del nivel de protección de los derechos y libertades de los ciudadanos, establecidos por la Constitución y la Ley Orgánica de Reintegración y Amejoramiento del Régimen Foral de Navarra, conforme a lo dispuesto en el artículo 18 ter de esta Ley Orgánica, la Ley Foral 4/2000, de 3 de julio, del Defensor del Pueblo de la Comunidad Foral de Navarra (modificada por la Ley Foral 6/2018, de 17 de mayo), y otras leyes forales.
   • La salvaguarda a los ciudadanos y ciudadanas frente a los posibles abusos y negligencias de la Administración.
   • La supervisión de la actividad de las Administraciones públicas de Navarra y de los servicios públicos de las entidades navarras, dando cuenta de sus actuaciones al Parlamento de Navarra.
   • La mejora de los servicios públicos que prestan a los ciudadanos la Administración de la Comunidad Foral de Navarra, las entidades locales y cualquier organismo público de la Comunidad Foral de Navarra.
   • La mediación y la conciliación de los intereses legítimos de los ciudadanos con el interés general al que sirven las Administraciones públicas de Navarra.
   • La información y la asistencia a los ciudadanos para un mejor ejercicio de sus derechos ante las Administraciones públicas.
   • La coordinación de sus funciones con las del Defensor del Pueblo de España y otros altos comisionados parlamentarios con funciones análogas, en el marco de la legislación general.
   • La colaboración con la Administración de Justicia en las quejas relacionadas con esta.
   • La colaboración con el Ministerio Fiscal en lo que dispongan las leyes.
   • La gestión interna de la institución, de su personal, instalaciones, actividad administrativa y económica y transparencia, en lo que resulte necesario para el mejor cumplimiento de los fines que le establecen las leyes.

   • La seguridad de la institución (personal, instalación y contenidos) a través de la videocámara de vigilancia y, en su caso, de otras medidas.

     La base jurídica del tratamiento, a los efectos del artículo 6.1, letras c) y e), se encuentra, fundamentalmente, en el artículo 18 ter de la Ley Orgánica 13/1982, de 10 de agosto, de Reintegración y Amejoramiento del Régimen Foral de Navarra, en la redacción dada por la Ley Orgánica 7/2010, de 27 de octubre, en la Ley Foral 4/2000, de 3 de julio, del Defensor del Pueblo de Navarra [artículos 1.3, 11, 13, 16, 17, 19, 20, 21, 24, 26, 32 y 35], así como en otras leyes posteriores a esta, que han ido reforzando y ampliando las funciones de esta institución:

     Ley Foral 15/2005, de 5 de diciembre, de promoción, atención y protección a la infancia y a la adolescencia (artículo 14.3).

     Ley Foral 11/2007, de 4 de abril, de implantación de la Administración electrónica en la Administración de la Comunidad Foral de Navarra (disposición adicional primera).

     La Ley Foral 11/2012, de 11 de junio, de la transparencia y del gobierno abierto (artículo 68.1).

     Ley Foral 8/2016, de 9 de junio, sobre el Consejo de Navarra (artículo 14.2).

     Ley Foral 8/2017, de 19 de junio, de igualdad social de las personas LGTBI+ (artículo 6.1).

     También encuentra su base jurídica en la Ley Orgánica 3/1981, de 6 de abril, del Defensor del Pueblo, y en la Ley 36/1985, de 6 de noviembre, por la que se regulan las relaciones entre la institución del Defensor del Pueblo y las figuras similares en las distintas Comunidades Autónomas, así como en la legislación procesal del Estado.

     En definitiva, se considera que las operaciones de tratamiento efectuadas son necesarias para dar cumplimiento a la misión de la institución del Defensor del Pueblo de Navarra de protección de los derechos de los ciudadanos y de la mejora de los servicios públicos que le encomienda el artículo 18 ter de la Ley Orgánica 13/1982, de 10 de agosto, de Reintegración y Amejoramiento del Régimen Foral de Navarra, en la redacción dada por la Ley Orgánica 7/2010, de 27 de octubre, la Ley Foral 4/2000, de 3 de julio, del Defensor del Pueblo de la Comunidad Foral de Navarra, y otras leyes que contemplan a la citada institución.

     Por otro lado, la institución del Defensor del Pueblo de Navarra entiende que el tratamiento de los datos personales que realiza en el ejercicio de sus funciones atribuidas por el ordenamiento jurídico, no requiere el consentimiento de los interesados y que dichos datos personales objeto de tratamiento pueden ser comunicados, en su caso, a Administraciones e instituciones públicas en el cumplimiento de la ley (Administraciones públicas de Navarra cuando sean supervisadas, Defensor del Pueblo de España, otros altos comisionados autonómicos equivalentes al Defensor del Pueblo competentes para el conocimiento del asunto, Consejo de Navarra, órganos judiciales, Ministerio Fiscal…). En todo caso, las quejas se presentan a iniciativa de los propios ciudadanos interesados, como dispone el artículo 21.1 de la Ley Foral 4/2000, de 3 de julio, y, en su mayoría, los datos a que se refieren los ciudadanos ya obran en poder de las administraciones. También considera la institución que, para el cumplimiento de las leyes que regulan la misión institucional del Defensor del Pueblo de Navarra, de garantía de los derechos de los ciudadanos (artículo 18 ter de la Ley Orgánica 13/1982, de 10 de agosto), es deber de las Administraciones públicas la comunicación de los datos de carácter personal relacionados con las quejas, sin que sea necesario que el interesado dé su consentimiento para el tratamiento de sus datos personales.

3. Evaluación de los riesgos para los derechos y libertades de las personas físicas.

   Se considera que el tratamiento de los datos personales no entraña ningún alto riesgo para los derechos y libertades de las personas por las siguientes razones:

   1. La institución que trata estos datos es una autoridad pública que tiene por misión legal la garantía y protección de los derechos constitucionales de las personas.
   2. La propia experiencia de la institución desde su puesta en funcionamiento en el año 2001 acredita su cuidado por los datos personales y que no se han registrado incidencias en materia de protección de datos ni ningún perjuicio para el derecho a la intimidad personal o familiar de las personas.

   3. La propia Agencia de Protección de Datos admitió los ficheros de la institución del Defensor del Pueblo de Navarra, a la hora de su inscripción, como de riesgo bajo. Así, con arreglo a la anterior normativa sobre datos de carácter personal, la institución del Defensor del Pueblo de Navarra reguló los ficheros de datos de carácter personal existentes en la institución. Esta regulación se contiene en las Resoluciones 31/04, de 18 de junio, y en la Resolución 38/2007, de 17 de octubre, del Defensor del Pueblo de la Comunidad Foral de Navarra (publicadas en el Boletín Oficial de Navarra número 90, de 28 de julio de 2004, y número 137, de 2 de noviembre de 2007).

      Según esta última Resolución 38/2007, de 17 de octubre, los ficheros existentes que contienen datos en de carácter personal eran:

      • Registro General.
      • Registro de quejas.
      • Registro de consultas.
      • Registro de gestión de personal.

      • Registro de Contabilidad y Gestión Económico-Financiera.

        Las medidas de seguridad de estos cinco ficheros se calificaron como nivel básico.

        Con posterioridad, la Resolución 62/07, de 11 de diciembre, del Defensor del Pueblo de la Comunidad Foral de Navarra, creó el fichero de videovigilancia de la institución (publicada la resolución en el Boletín Oficial de Navarra de 7 de enero de 2008), cuyas medidas de seguridad se calificaron como nivel básico.

   4. Los datos personales que no requieren su comunicación por transmisión a terceros permanecen en la institución del Defensor del Pueblo de Navarra con las medidas apropiadas para su seguridad.
   5. Cuando se comunican datos personales es a las Administraciones e instituciones públicas competentes y para recabar de estas su informe o gestión en la defensa de los derechos y libertades de los ciudadanos.
   6. La mayor parte de las actuaciones son a instancia de los propios ciudadanos.
   7. Los datos personales que se reciben de las Administraciones públicas competentes solo se comunican a las personas concernidas y no a particulares distintos.
   8. Los documentos o datos que puedan llegar a ser conocidos por medios de comunicación o que se recogen en el informe anual o en informes especiales, se seudonimizan.
   9. No se facilita a los medios o instituciones distintas de las personas intervinientes datos de personas físicas sin su consentimiento, salvo que lo obligue la ley (órganos judiciales…).
   10. El público en general y terceros ajenos no conocen, a través de la institución del Defensor del Pueblo de Navarra, los datos personales de personas físicas. La institución ajusta su actividad a la estricta relación promotor de la queja o interesado en un expediente/administración competente/Defensor del Pueblo de Navarra de acuerdo con los casos y condiciones que establecen las leyes, sin revelación de datos a terceros.
   11. La institución del Defensor del Pueblo de Navarra no utiliza los datos personales para la elaboración de perfiles de personas. En pocas ocasiones, se extraen datos estadísticos y generales sobre quienes presentan quejas o consultas sin revelar nunca datos personales.
   12. El tratamiento de los datos personales que realiza la institución del Defensor del Pueblo de Navarra no es en relación con la protección social y la salud pública en términos o en una situación similares a los que caracterizan a una administración o a una empresa en esta materia. La función pública del Defensor del Pueblo de Navarra es la protección de los derechos constitucionales de los ciudadanos frente a concretos abusos y negligencias de la Administración o ante normas injustas y, aunque conozca datos sobre la situación social y la salud de determinadas personas, su ámbito de actuación no es gestionar competencias en las materias de protección social y salud pública en sentido estricto, sino defender los derechos del ciudadanos mediante la supervisión de la actividad de la Administración competente.

   13. Los datos relacionados con la gestión interna de la institución surgen en el seno de una relación contractual o similar, siempre vinculada al funcionamiento de la institución.

       Por ello, se considera que el riesgo que presenta el tratamiento de datos por la institución del Defensor del Pueblo de Navarra puede calificarse de bajo.

4. Conveniencia de la evaluación de impacto.

   El artículo 35.10 del Reglamento Europeo de Protección de Datos dispone que, cuando el tratamiento de conformidad con el artículo 6.1, letras c) o e), tenga su base jurídica en el Derecho de la Unión o en el Derecho del Estado miembro que se aplique al responsable del tratamiento, tal Derecho regule la operación específica de tratamiento o conjunto de operaciones en cuestión, y ya se haya realizado una evaluación de impacto relativa a la protección de datos como parte de una evaluación de impacto general en el contexto de la adopción de dicha base jurídica, los apartados 1 a 7 no serán de aplicación, excepto si los Estados miembros consideran necesario proceder a dicha evaluación previa a las actividades de tratamiento.

   Conforme a lo dispuesto en el artículo 35.10 citado, pudiera ser que no fuera preceptiva una evaluación previa de las actividades de tratamiento, toda vez que la base jurídica de la actividad de la institución del Defensor del Pueblo de Navarra está en las letras c) y e) del artículo 6.1 del Reglamento Europeo de Protección de Datos, y la Ley Foral 4/2000, de 3 de julio, contempla la recogida y comunicación de datos personales para el cumplimiento de la misión de la institución, a instancia de los propios ciudadanos o de oficio, así como el hecho de que gran parte de los datos personales ya obran en poder de la administración supervisada.

   No obstante, con el fin de garantizar una mejor protección de los datos personales que conoce y guarda la institución, se ve conveniente aprobar una evaluación de impacto de las operaciones de tratamiento en la protección de datos personales.

5. Aprobación.

   En consecuencia con lo señalado, se aprueba la evaluación de impacto relativa a la protección de datos personales en la institución del Defensor del Pueblo de Navarra, con el contenido señalado en el artículo 35.7 del Reglamento Europeo de Protección de Datos.

   Esta evaluación es única para todas las operaciones de tratamiento que realiza la institución y contiene:

   1. La descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, así como del interés legítimo perseguido por el responsable, se contiene en los números 1 y 2 precedentes.
   2. La evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad, se ha realizado también en el número 2 precedente.
   3. Una evaluación de los riesgos para los derechos y libertades de los interesados, que se contiene en el número 3 precedente.
   4. Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales y a demostrar la conformidad con el Reglamento Europeo, figuran en el número 6 siguiente.

6. Medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales.

   El Comité para la aplicación del Reglamento General de Protección de Datos al tratamiento de datos personales en la institución del Defensor del Pueblo de Navarra tiene como funciones el análisis, informe y propuesta de las medidas más adecuadas que puedan establecerse para la aplicación del Reglamento General de Protección de Datos.

   El Comité está formado por el responsable del tratamiento, el delegado de protección de datos y el encargado del tratamiento; cada uno de ellos goza de autonomía y criterio propio para exponer lo que considere más idóneo para la mejor protección de los datos personales.

   Este Comité se reunirá de modo inmediato cuando lo solicite alguno de sus miembros, por haber detectado un posible riesgo o una modificación del nivel de riesgo en los tratamientos. El Comité adoptará las medidas pertinentes para la reducción o minimización del riesgo y para la mejor protección de los derechos y libertades de los interesados.

   El Comité podrá requerir la presencia de asesores y expertos en la materia y proponer la celebración de contratos dirigidos a implementar las medidas acordadas.

   Lo establecido en este punto no significará ninguna alteración de las funciones y posición del delegado de protección de datos personales.

   A continuación se describen de modo general las medidas de seguridad aplicables a la protección de los datos personales:

   1. Antecedentes:

      Con arreglo a la anterior normativa sobre datos de carácter personal, la institución del Defensor del Pueblo de Navarra reguló los ficheros de datos de carácter personal existentes. Esta regulación se contiene en las Resoluciones 31/04, de 18 de junio, y 38/07, de 17 de octubre, del Defensor del Pueblo de la Comunidad Foral de Navarra (publicadas en el Boletín Oficial de Navarra número 90, de 28 de julio de 2004, y número 137, de 2 de noviembre de 2007).

      Según esta última Resolución 38/07, de 17 de octubre, los ficheros existentes que contienen datos de carácter personal son:

      • Registro General.
      • Registro de quejas.
      • Registro de consultas.
      • Registro de gestión de personal.

      • Registro de Contabilidad y Gestión Económico-Financiera.

        Las medidas de seguridad de estos cinco ficheros se calificaron como Nivel Básico.

        Con posterioridad, la Resolución 62/07, de 11 de diciembre, del Defensor del Pueblo de la Comunidad Foral de Navarra, creó el fichero de videovigilancia de la institución (publicada la resolución en el Boletín Oficial de Navarra de 7 de enero de 2008), cuyas medidas de seguridad se calificaron como nivel básico.

        Existe también un documento de seguridad para ficheros automatizados de datos de carácter personal, elaborado en 2007, para el registro general, cuyas previsiones pueden servir para complementar u orientar en lo no dispuesto en esta Resolución o no se opongan al Reglamento Europeo de Protección de Datos.

   2. Administrativas:

      Los datos personales son recibidos, registrados y archivados únicamente por las personas que trabajan en la institución.

      Todas las personas de la institución actúan bajo la responsabilidad directa del Defensor del Pueblo de Navarra (el responsable), por lo que este está en condiciones de afirmar que cualquier persona que actúa bajo su autoridad y tiene acceso a datos personales solo puede tratar dichos datos siguiendo sus instrucciones.

      El encargado del tratamiento gestiona la lista de puestos de trabajo que pueden acceder a los datos personales.

      Todas las personas con capacidad de acceder a los archivos y sistemas informáticos están identificadas, siendo únicamente personal que presta servicios en la institución o, en su caso, personas de empresas contratadas.

      Las personas que registran y archivan los datos actúan conforme a las directrices del encargado del tratamiento (Técnico de Gestión Administrativa).

      Las personas que prestan servicios en la institución tienen el deber de confidencialidad, como lo establece el artículo 27 del Reglamento de Organización y Funcionamiento de la institución del Defensor del Pueblo de Navarra, aprobado el 21 de noviembre de 2005 por la Mesa del Parlamento de Navarra, que dispone: Toda persona al servicio del Defensor del Pueblo de la Comunidad Foral de Navarra está sujeta a la obligación de guardar estricta reserva en relación a los asuntos que ante el mismo se tramiten. El incumplimiento de esta obligación será sancionado de acuerdo con lo dispuesto en el presente Reglamento. El artículo 28 establece el régimen aplicable a las sanciones disciplinarias. El artículo 26.1 declara que estas personas prestan su trabajo con plena dedicación a la institución.

      Todas las personas de la oficina actúan bajo responsabilidad directa del Defensor del Pueblo de Navarra.

      Los datos objeto de tratamiento relacionados con la misión institucional solo pueden ser comunicados a Administraciones públicas, instituciones públicas, órganos judiciales, autoridades públicas y, en su caso, funcionarios públicos, para los fines de interés público que marca la Ley Foral 4/2000, de 3 de julio, del Defensor del Pueblo de Navarra, en cumplimiento de las leyes y siempre conforme a las leyes. La institución está sujeta al principio de legalidad en su actividad.

   3. Físicas:

      Los documentos con datos personales se guardan en expedientes que, a su vez, se archivan, clasificados por años, en:

      1. Armarios, que se sitúan en dependencias con una puerta única de acceso con cerradura. En estos armarios se guardan los expedientes concluidos, que son la mayoría.

      2. Armarios cerrados con llave, cuando se trata de expedientes en tramitación.

         Todos los expedientes generados desde la creación y constitución de la institución en 2001 se conservan en papel, se guardan encarpetados y en cajas, en la sede de la institución (calle Emilio Arrieta 12 bajo).

         El acceso al edificio está controlado por una cámara de videovigilancia que permite observar y registrar quién o quiénes acceden o han accedido a las dependencias de la institución.

         Asimismo, existe un sistema de alarma, que se activa cuando la oficina está cerrada y sin personal en su interior por la noche y en días inhábiles.

         Las personas encargadas del mantenimiento y limpieza de la oficina (que son personas ajenas a la plantilla de la institución de empresas contratadas conforme a la legislación de contratos públicos) acceden al local para realizar única y exclusivamente las prestaciones relativas a sus cometidos.

         La salida de documentos que contengan datos personales fuera de los locales de la institución solo puede realizarse con autorización del responsable o del encargado (dando cuenta este al responsable y al delegado de protección).

         Se consideran suficientes las medidas actuales existentes frente a incendios, inundaciones, destrucción parcial o total, sustracción o alteración, sin perjuicio de su mejora. En los años precedentes no se ha detectado la pérdida, sustracción o alteración de datos personales por estas causas.

   4. Informáticas:
      1. Existe una aplicación informática propia de la institución, en donde están recogidas todas las quejas, actuaciones de oficio, informes…, con los datos y documentos de las personas interesadas. Esta aplicación se utiliza por las personas de la institución, puesto que constituye una herramienta de trabajo para la gestión de las quejas. Para la puesta en marcha de la aplicación informática y su actualización, se utilizó la aplicación informática cedida por la institución del Defensor del Pueblo Andaluz, con las adaptaciones técnicas necesarias para la actividad propia y específica del Defensor del Pueblo de Navarra. Para ello, se contrató con una empresa de servicios de sistemas informáticos. Esta empresa se encarga, con arreglo a la legislación de contratos públicos, de prestar apoyo técnico a la conservación de la aplicación, su adecuación y su seguridad informática. No se han detectado incidentes reseñables en el funcionamiento y uso de la aplicación.

      2. Además, se emplea el sistema operativo Windows para el archivo de las quejas y documentos y para la generación de escritos (acuse de recibo, escritos a las administraciones públicas, escritos a los interesados…). Esta red es local, sin conexión con otras redes locales, ni posibilidad de acceso desde fuera de la propia red de la institución.

         Con varias administraciones e instituciones públicas, se utilizan sistemas informáticos de recepción y envío de los documentos y escritos (Gobierno de Navarra, Ayuntamiento de Pamplona-Iruña, Ayuntamiento de Tudela, etcétera).

         Una empresa presta servicios informáticos al Defensor del Pueblo de Navarra, con arreglo a la legislación sobre contratos públicos, para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes del sistema informático y de los servicios de tratamiento de los datos personales obrantes en la institución.

      3. Otra empresa permite asegurar la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.

      4. También se realiza diariamente (de lunes a viernes) una copia de seguridad de la información contenida en la aplicación informática y en el sistema operativo Windows.

         La copia se guarda en un dispositivo especial de la institución, alejado de los servidores y en un lugar seguro, durante quince días hábiles. La utilización de la copia solo puede acordarse por personal autorizado por el responsable o por el encargado (dando cuenta al delegado de protección).

      5. Para el acceso a la aplicación informática y el sistema operativo citado, se emplean claves de acceso con usuario y contraseña por cada persona y protector de pantallas y bloqueos temporales. Tanto las pantallas como las impresoras y el resto de dispositivos conectados al puesto de trabajo están físicamente ubicados en lugares que garantizan la confidencialidad.

         Está prohibida la conexión al fichero desde redes o sistemas exteriores, salvo autorización expresa que se dé por el encargado.

         La salida de soportes informáticos que contengan datos personales fuera de los locales de la institución solo puede realizarse con autorización del responsable o del encargado (dando cuenta este al responsable y al delegado de protección).

      6. Existe una aplicación informática para la gestión de personal (nóminas) y otra aplicación para la gestión económica y presupuestaria de la institución, con datos personales. Estas aplicaciones se utilizan por el Técnico de Gestión Administrativa. Sendas empresas se encargan, con arreglo a la legislación de contratos públicos, de prestar apoyo técnico a la conservación de estas aplicaciones, su adecuación y su seguridad informática. No se han detectado incidentes en el funcionamiento y uso de estas aplicaciones.
      7. En cuanto a las imágenes, se archivan en un grabador y se borran automáticamente a los treinta días naturales.

   5. Garantías de seudonimización:

      Los datos personales de las resoluciones y documentos que se publican en el espacio digital de la institución (www.defensornavarra.es) se suprimen, para evitar que puedan ser conocidos. La institución comprueba que en dicha publicación no se produce la mención a ninguna persona física relacionada con las quejas.

      En los casos en que terceras personas solicitan información con datos de carácter personal, se procede bien a solicitar el consentimiento del afectado, bien a suprimir los datos personales para evitar la identificación de las personas físicas afectadas.

7. Consulta a la autoridad de control.

   No se considera necesaria la consulta previa a la autoridad de control (Agencia Española de Protección de Datos) antes de proceder al tratamiento, puesto que la evaluación del riesgo conforme al artículo 35 del Reglamento Europeo de Protección de Datos muestra que el tratamiento no entraña alto riesgo.

   Tampoco se aprecia que, en la actualidad, exista una normativa del Estado español o de la Comunidad Foral de Navarra que obligue a la institución del Defensor del Pueblo de Navarra, en su calidad de responsable del tratamiento, a consultar a la autoridad de control y a recabar su autorización previa en relación con el tratamiento por un responsable en ejercicio de una misión realizada en interés público, en particular el tratamiento en relación con la protección social y la salud pública (artículo 36 del Reglamento Europeo de Protección de Datos).

8. Notificación.

   Notificar esta Resolución al responsable del tratamiento, al encargado del tratamiento y al delegado de protección de datos en la institución.

9. Publicación.

   Publicar esta Resolución en el espacio digital de la institución (www.defensornavarra.es), a los efectos de su mayor conocimiento.

Pamplona, 28 de mayo de 2018.

El Defensor del Pueblo de Navarra

Nafarroako Arartekoa

Francisco Javier Enériz Olaechea