Aviso legal

POLÍTICAS DE PROTECCIÓN DE DATOS Y DE SEGURIDAD DE LOS DATOS

La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental y en todos los procedimientos administrativos municipales, en especial, en los tramitados de forma electrónica, se debe respetar la normativa vigente en esta materia:

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD), vigente desde el 25 de mayo de 2018.

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGD) vigente desde el 7 de diciembre de 2018.

La responsabilidad administrativa es proactiva, lo cual significa que el Ayuntamiento no sólo es responsable por la infracción, sino por la no adopción del conjunto de medidas requeridas para el perfecto cumplimiento normativo. Por ello, se considera necesario informar a las personas que se pongan en relación con el Ayuntamiento de Idiazabal de las siguientes cuestiones:

  1. El responsable del tratamiento de datos

El Ayuntamiento de Idiazabal es el responsable del tratamiento de los datos de carácter personal de todas las personas que se relacionan con la entidad,  bien a través de la prestación de servicios (servicios sociales, biblioteca, cementerio, cursos, actividades…), a través del ejercicio de potestades (tributaria, de fomento a través de subvenciones, de intervención a través de licencias, sancionadora…) u otras (procesos selectivos, bolsas…) y está obligada a aplicar medidas organizativas y técnicas apropiadas para garantizar y demostrar que el tratamiento de datos es conforme con el Reglamento Europeo de Datos de Carácter Personal (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. 

  • Dirección postal: Plaza Nagusia 3

  • Teléfono: 943.187.100

  • Identidad del Delegado de Protección de Datos: Empresa contratada

  • Contacto DPD: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

  • Formas de obtención de datos

El Ayuntamiento de Idiazabal puede obtener datos personales de las siguientes formas:

  1. De la propia persona interesada quien, al solicitar los servicios, rellena cualquier formulario o envía un mensaje de correo electrónicos
  2. De forma automática, cuando se visita el sitio web www.idiazabal.eus

Esos datos pueden ser recogidos y almacenados automáticamente por el Ayuntamiento de Idiazabal, o por terceros en nuestro nombre, incluso mediante el uso de "cookies" y otras tecnologías de seguimiento como "flash cookies" y analíticas web.

En estos casos, estos datos pueden incluir:

  • La dirección IP de la persona usuaria

  • La fecha y la hora de la visita

  • La URL del sitio del que proviene la persona usuaria

  • Las páginas visitadas en nuestro sitio web

  • Información sobre el navegador utilizado (tipo y versión del navegador, sistema operativo, etc.).

El Ayuntamiento  puede tratar y registrar dichos usos, sesiones e información relacionada, ya sea en forma independiente o con la ayuda de servicios de terceros.

     3. De otras Administraciones Públicas: conforme a la Disposición Adicional 8ª de la LOPDGD, que regula la potestad de verificación de la Administración («cuando se formulen solicitudes por cualquier medio en las que el interesado declare datos personales que obren en poder de las Administraciones Públicas, el órgano destinatario de la solicitud podrá efectuar en el ejercicio de sus competencias las verificaciones necesarias para comprobar la exactitud de los datos»); conforme al artículo 28.2 de la Ley 39/2015 («Los interesados tienen derecho a no aportar documentos que ya se encuentren en poder de la Administración actuante o hayan sido elaborados por cualquier otra Administración. La administración actuante podrá consultar o recabar dichos documentos salvo que el interesado se opusiera a ello. No cabrá la oposición cuando la aportación del documento se exigiera en el marco del ejercicio de potestades sancionadoras o de inspección. Las Administraciones Públicas deberán recabar los documentos electrónicamente a través de sus redes corporativas o mediante consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto» y conforme al artículo 28.3 («Asimismo, las Administraciones Públicas no requerirán a los interesados datos o documentos no exigidos por la normativa reguladora aplicable o que hayan sido aportados anteriormente por el interesado a cualquier Administración. A estos efectos, el interesado deberá indicar en qué momento y ante qué órgano administrativo presentó los citados documentos, debiendo las Administraciones Públicas recabarlos electrónicamente a través de sus redes corporativas o de una consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto, salvo que conste en el procedimiento la oposición expresa del interesado o la ley especial aplicable requiera su consentimiento expreso. Excepcionalmente, si las Administraciones Públicas no pudieran recabar los citados documentos, podrán solicitar nuevamente al interesado su aportación»).

     4. De sujetos de Derecho privado (ej. cuando se formalizan convenios de colaboración, subvenciones en las que intervengan varias personas)

El tercero que facilite los datos a la Administración deberá informar al cedente de los datos que éstos van a ser tratados.

La omisión del deber de informar a la persona afectada acerca del tratamiento de sus datos personales y la utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con una base legal o legitimación para ello, constituyen infracciones muy graves con arreglo al artículo 72 h) y d) LOPDGD.

 

     3. El tratamiento de categorías especiales de datos

El Ayuntamiento de Idiazabal sólo podrá tratar datos relativos a:

  • afiliación sindical
  • orientación sexual
  • origen racial o étnico

cuando exista consentimiento explícito por parte del interesado y con las finalidades especificadas y se den las circunstancias  siguientes:

cumplimiento de obligaciones y ejercicios de derechos en el ámbito del Derecho Laboral y de la seguridad y protección social

protección de Intereses vitales del interesado

tratamiento efectuado en el ámbito de fundaciones o asociaciones cuya finalidad sea política, filosófica, religiosa o sindical

tratamiento de datos que el interesado haya hecho manifiestamente públicos

tratamientos necesarios para la formulación, ejercicio o defensa de reclamaciones, o tratamientos efectuados por tribunales en el ejercicio de su función judicial.

por razón de interés público esencial, siempre que esté amparado en una norma con rango de Ley.

para fines de medicina preventiva o laboral o asistencia o tratamiento de tipo sanitario o social siempre que esté amparado en una norma con rango de Ley.

Por razones de interés público en el ámbito de la salud pública siempre que esté amparado en una norma con rango de Ley.

sea necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos

El tratamiento de datos por el Ayuntamiento de Idiazabal requiere:

 1) La llevanza de un REGISTRO DE ACTIVIDADES DE TRATAMIENTO: es preciso realizar y mantener actualizado un registro de todos los tratamientos, documentándolos y aportando una serie de información específica.

 

Los responsables y encargados de tratamientos de la Administración deben mantener este Registro de Actividades de Tratamiento por escrito, incluso en formato electrónico, que estará a disposición de la Autoridad de Control, en el que se incluya una descripción de los tratamientos de datos que realicen con la siguiente Información.

 

 2)La llevanza del INVENTARIO DE ACTIVIDADES DE TRATAMIENTO y su publicación en el Portal de Transparencia.

 

 3)  La elaboración de una EVALUACIÓN DE IMPACTO, esto es, debe efectuarse un análisis del riesgo que puede entrañar el tratamiento de dichos datos personales para los derechos y libertades de los afectados. En el análisis deben tenerse presentes:

  • Los tipos de tratamiento.
  • La naturaleza de los datos.
  • El número de afectados.
  •  La cantidad y variedad de tratamientos que realice una misma organización

 4) La adopción de MEDIDAS DE SEGURIDAD: Se deben aplicar una serie de medidas de seguridad en el tratamiento de estos datos:

  • de los datos en su comunicación y almacenamiento

    registro de accesos, con fecha y personal que accedió

  • elaboración de una lista de personas autorizadas

  • establecer un procedimiento seguro para su tratamiento

  • 4)Política de Seguridad (ENS) e Interoperabilidad (ENI)

 

Al tratamiento de datos se aplicará lo dispuesto en el Esquema Nacional de Seguridad aprobado por el Real Decreto 3/2010 de 8 de enero, que persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar a conocimiento de personas no autorizadas.

prestados.

EL Responsable de Seguridad de los Datos puede ser una entidad pública o privada especializada. El procedimiento de contratación del servicio externo en las Administraciones locales de Gipuzkoa está en marcha a través de la Central de Compras de la Diputación Foral de Gipuzkoa (acuerdo marco).

Las Administraciones Públicas Vascas se hallan en período de convergencia de sus plataformas de interoperabilidad

5)Tiempo de conservación de tus datos

En general, los datos personales deberán conservarse el tiempo estrictamente necesario para gestionar los servicios de forma eficiente, y la persona interesada no solicite su supresión o revoque su consentimiento. Incluso solicitada la supresión o manifestada la revocación, se mantendrán bloqueados durante el tiempo necesario, y limitando su tratamiento, únicamente para alguno de estos supuestos: cumplir con las obligaciones legales/contractuales de cualquier tipo a que estemos sometidos y/o durante los plazos legales previstos para la prescripción de cualesquiera responsabilidades y/o el ejercicio o la defensa de reclamaciones derivadas de la relación mantenida con la persona ciudadana/interesada.

En otros casos el plazo de conservación de los datos dependerá de lo especificado para cada tratamiento de datos personales en el registro de actividades del tratamiento.

6) Legitimación para el tratamiento de tus datos

La base jurídica que legitima para el tratamiento de los datos puede ser diversa: en unos casos puede ser el consentimiento de las personas interesadas, en otros el cumplimiento de una obligación legal (ej. ámbito tributario), en otros el cumplimiento por la Administración de una misión realizada en interés público o en ejercicio de Poderes Públicos (la mayoría de los casos), en otros la protección de intereses vitales y en otros la ejecución de un contrato.

Cuando el tratamiento se base en el consentimiento, la persona interesada debe otorgarlo de forma inequívoca al aportar sus datos, considerándose dicha aportación un acto afirmativo claro por tu parte que manifiesta dicho consentimiento. Ese consentimiento se puede revocar en cualquier momento.

7) Comunicación y transferencia de datos

Los datos que nos proporcionas podrán ser comunicados a terceras entidades para el cumplimiento de fines directamente relacionados con funciones legítimas de persona cedente y persona cesionaria, como a las entidades u organismos a los que exista obligación legal de realizar comunicaciones de datos, entidades u organizaciones públicas o privadas con las que se formalicen convenios para desarrollar proyectos, sociales, culturales o deportivos,

Cuando los datos personales se envían fuera del ámbito del Espacio Económico Europeo, que comprende todos los Estados miembros de la Unión Europea, más Noruega, Islandia y Liechtenstein, se produce una transferencia internacional de datos.

Aunque podría parecer que las transferencias internacionales son poco habituales en el ámbito de las entidades locales, el uso cada vez más frecuente de tecnologías de la información y la comunicación o la generalización de servicios “en nube” (“cloud computing”), supone que aumenten las posibilidades de que se transfieran estos datos fuera del Espacio Económico Europeo.

 

      8.El/la Delegado/a de Protección de Datos

El Delegado de Protección de Datos puede ser una entidad u órgano públicos o una entidad privada especializada. El procedimiento de contratación del servicio externo en las Administraciones locales de Gipuzkoa está actualmente en marcha a través de la Central de Compras de la Diputación Foral de Gipuzkoa (acuerdo marco)

 El/la delegado/a de protección de datos actuará como interlocutor del responsable o encargado del tratamiento ante la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos. El delegado podrá inspeccionar los procedimientos relacionados con el objeto de la presente ley orgánica y emitir recomendaciones en el ámbito de sus competencias.

En el ejercicio de sus funciones el delegado de protección de datos tendrá acceso a los datos personales y procesos de tratamiento, no pudiendo oponer a este acceso el responsable o el encargado del tratamiento la existencia de cualquier deber de confidencialidad o secreto, incluyendo el previsto en el artículo 5 de esta ley orgánica.

Cuando el delegado de protección de datos aprecie la existencia de una vulneración relevante en materia de protección de datos lo documentará y lo comunicará inmediatamente a los órganos de administración y dirección del responsable o el encargado del tratamiento.

9) Los derechos de los ciudadanos/as en el ámbito de la protección de los datos personales son los siguientes:

  • Derecho de acceso: para conocer los datos personales objeto de tratamiento y solicitar una copia de los mismos.
  • Derecho de rectificación: para solicitar la rectificación de datos personales inexactos o para completar los que sean incompletos, incluso mediante una declaración adicional.
  • Derecho de supresión (derecho al olvido): para solicitar la supresión de los datos personales cuando no sean necesarios para los fines para los que fueron recogidos; revocar el consentimiento; cuando se haya dado un tratamiento ilícito de los mismos o por cumplimiento de una obligación legal.
  • Derecho a la limitación del tratamiento: para solicitar la limitación del tratamiento de los datos, en cuyo caso únicamente se conservarán para el ejercicio o la defensa de reclamaciones.
  • Derecho a la portabilidad de los datos: para solicitar los datos personales en un formato estructurado, de uso común y lectura mecánica.
  • Derecho de oposición: para oponerse al tratamiento que se haga de los datos si dicho tratamiento se basa en el interés legítimo del responsable del fichero o es para fines publicitarios.

 

Los procedimientos para el ejercicio de estos derechos son:

Para ejercer estos derechos es preciso acudir a la Administración autora del acto o efectuar reclamación a la Agencia Vasca de Protección de Datos.

La Administración autora del acto deberá responder en el plazo máximo de un mes. Este plazo puede prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes, si bien se deberá informar al ciudadano de la citada prórroga en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación. Si el ciudadano presentase la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el ciudadano solicite que se facilite de otro modo.

Cuando el responsable o el encargado del tratamiento haya designado al delegado de protección de datos el afectado podrá, con carácter previo a la presentación de una reclamación contra aquéllos ante la Agencia Vasca de Protección de Datos, dirigirse al delegado de protección de datos de la entidad contra la que se reclame. En este caso, el delegado de protección de datos comunicará al afectado la decisión que se hubiera adoptado en el plazo máximo de dos meses a contar desde la recepción de la reclamación.

Cuando el afectado presente una reclamación ante la Agencia Vasca de Protección de Datos ésta podrá remitir la reclamación al delegado de protección de datos a fin de que este responda en el plazo de un mes.

Si transcurrido dicho plazo el delegado de protección de datos no hubiera comunicado a la autoridad de protección de datos competente la respuesta dada a la reclamación, dicha autoridad continuará el procedimiento con arreglo a lo establecido en el Título VIII de esta ley orgánica y en sus normas de desarrollo.