Skip to content
SERVICIOS

Límites A La Comunicación Institucional A La Luz Del RGPD. A cargo de Pablo García-Girón Pérez 

Deja un comentario / Administrativo, Árbol del derecho, Protección de datos, Revista seriada / Por

AD 131/2022

Límites a la comunicación institucional a la luz del RGPD

Resumen

El presente artículo tiene como objeto plantear un caso de laboratorio en el que una Administración Pública tiene la intención de desarrollar acciones en el marco de la comunicación institucional. De esta forma, el objetivo es revisar cuáles son las principales implicaciones de cara al cumplimiento de la normativa en protección de datos para que esta iniciativa pueda llevarse a buen puerto sin incurrir en riesgos reputacionales. El alcance del artículo no cubre otro tipo de implicaciones legales que puedan derivar de esta acción.

En el apartado I. Introducción planteamos el supuesto de hecho que motiva la elaboración del presente artículo.

En el apartado II. El binomio libertad de expresión / libertad de información, presentamos la doctrina constitucional entorno a estos derechos para entender cuál es la ponderación que vamos a realizar a la hora de valorar hasta qué punto pueden llegar, y cuánto pueden permanecer en el tiempo, las acciones enmarcadas en la comunicación institucional.

En el apartado III. Límites a la comunicación institucional a la luz del RGPD, estudiaremos cuáles son los límites tangibles a dichas acciones, teniendo en cuenta lo establecido en el apartado anterior respecto del derecho constitucional a la libertad de información.

Finalmente, en los apartados IV., y V. se establecen las conclusiones que podemos extraer de lo analizado anteriormente, así como el conjunto de referencias que han sido utilizadas en la elaboración del presente artículo.

Abstract

The purpose of this article is to present a laboratory case in which a Public Administration intends to develop actions within the framework of the institutional communication. In this way, the objective is to review the main implications of compliance with data protection regulations so that this initiative can be carried out successfully without incurring reputational risks. In section I Introduction we set out the factual assumption that motivates the drafting of this article. The scope of the article does not cover other legal implications that may arise from this action.

In section II The freedom of expression / freedom of information binomial, we present the constitutional doctrine surrounding these rights in order to understand the weighting we are going to carry out when assessing the extent to which actions framed within the framework of institutional communication can reach, and how long they can remain in time.

In section III Limits to institutional communication in light of the GDPR, we will study the tangible limits to such actions, taking into account the provisions of the previous section regarding the constitutional right to freedom of information.

Finally, sections IV and V set out the conclusions that can be drawn from the analysis before, as well as the set of references that have been used in the preparation of this article.

 Palabras clave

Comunicación social, Administración Pública, datos personales, comunicación institucional, libertad de expresión, libertad de información, base de legitimación, consentimiento, información, reglamento general de protección de datos.

Key Words

Social communication, Public Administration personal data, institutional communication, freedom of expression, freedom of information, legitimacy basis, consent, information, general data protection regulation.

Índice

  1. Introducción. II. El binomio libertad de expresión / libertad de información. III. Límites a la comunicación institucional a la luz del RGPD. IV. Conclusiones. V. Recursos.

1.- Introducción

Las formas de comunicación institucional han evolucionado en todas las organizaciones, tanto públicas como privadas, a través de diversas herramientas y canales que permiten poner en contacto a las organizaciones con los consumidores y ciudadanos. De esta forma, el consumidor de servicios online, sus pautas de comportamiento, ha centrado el foco del debate desde hace ya unos años.

Uno de los elementos que han tenido un mayor efecto disruptivo sobre este cambio de paradigma ha sido el desarrollo de la Web 2.0 y la proliferación de las redes sociales en nuestras vidas, las cuales permiten tener una comunicación casi inmediata con los proveedores de bienes y servicios y desarrollar una relación mucho más fluida. Son, precisamente, los términos en los que se genera esa comunicación los que pueden llevar a una empresa al éxito o al fracaso.

Así, hoy en día tenemos una mayor capacidad de difusión sobre contenidos que, de otro modo, sólo alcanzaríamos en un ámbito más local, salvo que invirtiésemos grandes cantidades de tiempo, esfuerzo y dinero. Por lo tanto, además de la viralización del mensaje de la marca, otra de las grandes ventajas que residen en el uso de la web 2.0 consiste en la generación de economías de escala.

Sin embargo, el hecho de poder comunicar un mensaje a través de un medio que le aporta la cualidad de viralizarse de forma instantánea también implica una serie de riesgos normativos que las organizaciones deben tener en cuenta a la hora de gestionar su estrategia de comunicación institucional. De esta forma, no podemos obviar que uno de los valores más importantes de cara a este tipo de acciones reside en el tratamiento de los datos personales, como pueden ser el nombre y apellidos o, fundamentalmente, la imagen de las personas que aparecen en estas campañas o eventos institucionales. Una gestión que, tradicionalmente, se ha dejado descansar en las manos del consentimiento tácito de las personas que asistían a la grabación del evento, una actitud que aún hoy día pervive en gran multitud de foros. No sólo esto, es habitual escuchar a nuestros clientes quejarse porque los asistentes a un evento “ya saben a lo que van”.

Así, el planteamiento del caso gira alrededor de la ficticia área dedicada a la comunicación institucional de una importante Administración Pública española que quiere desarrollar acciones tendentes a transmitir con un mayor impacto su imagen en dos direcciones: hacia el ciudadano, pero también de cara a los propios funcionarios de la Administración. Estas acciones giran alrededor de varios puntos:

  • La celebración de eventos institucionales a los que sólo accede el personal funcionario de la propia Administración Pública. De estas personas se tratará el nombre y apellidos y código de identificación de funcionario con la finalidad de gestionar el control de accesos a los eventos. Asimismo, se realizarán fotografías y vídeos para promocionar internamente el éxito del evento en cuestión. Esto implica la grabación de la imagen del público a los eventos, pero también la de los ponentes. De estos últimos también se tratará su nombre y apellidos, ocupación corporativa, currículo académico e imagen. Los ponentes son también parte de la organización, no procediendo a contratar personal externo a este respecto.
  • La publicación de las grabaciones de estos eventos en los canales de comunicación institucional de la organización. Estos canales pueden desdoblarse en dos vertientes: por un lado, la intranet institucional a la que sólo tienen acceso los funcionarios de esta Administración Pública. Por otro lado, las redes sociales abiertas al público con la finalidad de transmitir a la ciudadanía las acciones e imágenes institucionales que se llevan a cabo en estos eventos.
  • Finalmente, el área de Comunicación institucional tiene la intención de elaborar una hemeroteca que funcione como archivo histórico de los eventos celebrados por la Institución, conservando la información por un tiempo indefinido.

Por último, es importante recordar que, para la correcta gestión de los derechos de imagen es necesario acudir a la Ley Orgánica 1/1982, de 5 de mayo, sobre protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, como norma básica que regula la cuestión. Es con base en ese foro que realizaremos la cesión del derecho de imagen de los titulares a quienes queremos grabar. Sin embargo, el ámbito de este artículo se circunscribe exclusivamente sobre las implicaciones en materia de protección de datos para poder hacer manejable la cuestión en la extensión propia de un artículo divulgativo, por lo que no tocaremos esta normativa salvo en lo estrictamente necesario.

El objetivo de los apartados siguientes consiste en definir cómo se debería plantear la estrategia de comunicación institucional de esta Administración Pública para evitar incurrir en riesgos legales derivados del incumplimiento de la normativa de protección de datos, fundamentalmente, riesgos reputacionales (como sabemos, a las Administraciones Públicas no se les puede multar en el ámbito de la protección de datos).

2.- El binomio libertad de expresión – libertad de información

Para defender la viabilidad de las acciones que han sido planteadas, el área de Comunicación Institucional alega, en primer lugar, que la Constitución Española (CE) contempla en su artículo 20.1.d) el derecho fundamental a la libertad de información, como una de las manifestaciones de la libertad de expresión (art. 20.1.a), entendida como el derecho a comunicar y recibir libremente información veraz por cualquier medio de difusión.

De esta forma, dicha área considera fundamental para poder ejercer su actividad la posibilidad de elaborar una hemeroteca que funcione como un archivo histórico de las acciones sociales e institucionales llevadas a cabo por su Administración Pública.

Una vez hayamos reunido a nuestro equipo de consultores, en primer lugar, tenemos que fijarnos en el apartado 4 del mismo artículo 20 CE. Es un punto de análisis importante porque el artículo explica que estas libertades no son absolutas, sino que encuentran su límite en el respeto a otros derechos fundamentales. Esto quiere decir que ese respeto debe graduarse en función del contenido esencial de cada uno de ellos, y el contenido esencial podemos entenderlo como aquellos aspectos sin los cuales el derecho queda desnaturalizado[1]. De esta forma conseguimos evitar que se produzcan vulneraciones sobre los derechos fundamentales bajo la premisa de defender un derecho, supuestamente, prevalente. Esto implica que deberemos estudiar cuál es el contenido esencial del derecho.

Antes de entrar en esta cuestión, es importante recordar, tal y como explicó el Tribunal Constitucional (TC) en sus sentencias 254/1993 de 20 de julio y STC 11/1983 de 13 de enero, que el derecho a la protección de datos personales debe entenderse como una derivada del artículo 18.4 de la CE, en el marco del derecho al honor, la intimidad personal y familiar y la propia imagen, sobre la incidencia del uso de la informática para la garantía del derecho contemplado en el apartado primero. Por tanto, concluye el TC, el derecho a la protección de datos personales es también un derecho fundamental y oponible a otros derechos análogos en la misma categoría de protección, dentro del marco de un juicio de proporcionalidad.

Por tanto, teniendo en cuenta lo explicado anteriormente, para resolver el caso será necesario realizar una ponderación de derechos entre la libertad de información y el derecho a la protección de datos.

En segundo lugar, siguiendo con este razonamiento, la doctrina del Tribunal Constitucional conoce la cuestión sobre cómo debe interpretarse el derecho a la libertad de información, para conocer su contenido esencial, en la sentencia STC 178/1993 de 31 de mayo (concretamente en el fundamento jurídico 2º). El TC explica que la libertad de información no afecta a cualquier tipo de información que el reclamante quiera emitir, sino sólo a aquélla «que sea veraz y que esté referida a asuntos de relevancia pública que son de interés general por las materias a que se refiere y por las personas que en ello intervienen; contribuyendo en consecuencia, a la información de la opinión pública«. Esta es una cuestión capital a la hora de valorar conflictos donde se encuentre inmersa la libertad de información.

De las palabras del TC podemos deducir que no toda información va a gozar del mismo nivel de protección de cara a blindar su manifestación al incluirla en el contenido esencial que conforma este derecho. No todas las manifestaciones que queramos emitir por cualquier medio van a poder protegerse bajo la bandera de la libertad de información. Es decir, ese valor de protección adicional del que pueden gozar, por ejemplo, los medios tradicionales de comunicación, no funcionaría en el caso de una empresa que se dedique a realizar acciones sobre la promoción de su imagen corporativa.

Por tanto, debemos entender que el contenido esencial del derecho se refiere a hechos que revistan de una especial relevancia pública para el conjunto de la ciudadanía.

Sin embargo, nos encontramos con que, en el caso concreto que hemos planteado en este artículo, hay una baza con la que juega el área de Comunicación Institucional en forma de “misión de interés público”. Así, la baza consiste en argumentar que existe una norma con rango de Ley donde se contemplan sus funciones, competencias y deberes, entendiendo que su actividad está protegida por una misión en interés público que le ha sido encomendada por el legislador. Sin embargo, aunque es cierto que, generalmente, la actividad de las Administraciones Públicas suele encontrarse amparada por normas con rango de Ley que les confieren un amplio espectro de actuaciones en el marco de la protección de datos, esto no tiene por qué implicar que el derecho a la libertad de información pueda prevalecer sobre el derecho a la protección de datos, o que cualquier acción que quiera llevar a cabo una Administración Pública vaya a encontrarse exenta de cumplir con la normativa de protección de datos, por el simple hecho de ser una Administración Pública. Deberemos realizar un estudio exhaustivo para dilucidar qué es lo que forma parte de esa misión en interés público, o qué es lo que ampara la obligación legal, y qué no lo es.

De hecho, el derecho a la protección de datos prevalecerá en todo caso, salvo en aquellos eventos o acciones de comunicación que versen sobre información “veraz y (…) referida a asuntos de relevancia pública que son de interés general (…)” y, fundamentalmente, “(…) contribuyendo en consecuencia, a la información de la opinión pública«. Por tanto, el hecho por el cual un departamento quiere guardar una hemeroteca sobre jornadas de formación, cursos, eventos institucionales o campañas dirigidas a publicitar las acciones ministeriales de su Administración, o flexibilizar las obligaciones derivadas del RGPD en materia de base de legitimación e información y plazos de conservación, no va a poder enmarcarse en ese conjunto de informaciones que ayudan a la formación de lo que el TC denomina “opinión pública”.

Teniendo en cuenta la jurisprudencia mencionada del TC sobre la construcción del derecho a la protección de datos personales como un derecho fundamental, podemos concluir que las obligaciones en materia de protección de datos son plenamente aplicables a este caso. Además, tenemos que comunicar al área de Comunicación Institucional que no va a poder esquivar las obligaciones del RGPD que le van a impedir mantener indefinidamente una hemeroteca sobre los datos personales de los titulares que han acudido a estos eventos, dado que su curso de acción no puede entenderse amparado por el contenido esencial del derecho fundamental a la libertad de información.

Por último, hay que recordar que en el RGPD hay un artículo 89 que regula las garantías y excepciones aplicables al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos. En este sentido, el apartado 2 del mismo artículo parece asociar estas excepciones al ejercicio de Derechos, con la consecución de finalidades científicas. En el artículo 26 de la LOPD-GDD también encontramos una referencia al tratamiento de datos con fines de archivo en interés histórico por parte de las Administraciones Públicas, que nos remite a la Ley del Patrimonio Histórico Español y al Real Decreto por el que se establece el Sistema Español de Archivos. Sin embargo, tampoco constituye una excepción a la que podamos acogernos para este caso concreto.

En los siguientes apartados debemos contribuir a ayudar a esta Administración Pública a identificar aquellas obligaciones en materia de RGPD que le serán de aplicación, así como la forma en que debe encarar su cumplimiento.

3.- Límites a la comunicación institucional a la luz del RGPD

Una vez hemos confirmado que el derecho a la protección de datos personales es plenamente aplicable, y oponible, a los argumentos presentados por el área de Comunicación Institucional, procedemos a desarrollar cuáles son las principales cortapisas derivadas de la legislación del RGPD.

En función de cómo nos enfrentemos a esas obligaciones, podremos definir la estrategia que el área de Comunicación Institucional debe llevar a cabo para desarrollar su actividad sin incumplir la normativa de protección de datos.

Legitimación del tratamiento

En primer lugar, es necesario dilucidar sobre cuál es la base que legitimará el tratamiento de los datos, el fundamento que nos va a permitir llevar a cabo las acciones de comunicación.

El área de Comunicación Institucional nos ha trasladado que sus competencias se encuentran amparadas por una norma con rango de ley donde se relatan las funciones de la Administración Pública a la que pertenece. Sin embargo, de un análisis más detallado sobre los artículos relativos a dichas competencias, podemos deducir que no existe ningún texto donde se mencione la “comunicación de la imagen social de su Administración” de forma más o menos explícita por la norma como parte de esa misión.

Para poder recurrir a la base de legitimación del artículo 6.1.e) del RGPD, cuando el tratamiento es necesario para el cumplimiento de una misión realizada en interés público, es necesario que la norma donde se prevé la encomienda o mandato del legislador exprese específicamente el tratamiento a realizar. De igual forma, tampoco podemos llevar el tratamiento por la vía del art. 6.1.c) del RGPD, cuando el tratamiento es necesario para el cumplimiento de una obligación legal, por el mismo razonamiento.

Al estudiar el resto de las bases de legitimación con nuestro equipo, y teniendo en cuenta que la Agencia Española de Protección de Datos no nos da mucho margen para recurrir al interés legítimo, parece evidente que debemos bucear en la base del consentimiento del afectado, art. 6.1.a) del RGPD de cara al consentimiento que gestionaremos de los asistentes a los eventos.

Respecto de los ponentes, recordemos que esta Administración ha desechado la idea de contratar personal externo, dado lo complejo que resulta el proceso de contratación pública. Si el caso fuese el contrario, deberíamos fundamentar el tratamiento de sus datos en al artículo 6.1.b), cuando el tratamiento es necesario para ejecutar el contrato del que el interesado es parte. Con respecto a la captación de su imagen, grabación y publicación, no nos escapamos de la base del consentimiento porque, en puridad, para gestionar el contrato firmado con un docente o un ponente, no es estrictamente necesario tratar su imagen.

Una vez hemos acordado que utilizaremos la base de legitimación del consentimiento para recoger los datos de los asistentes y ponentes (personal interno de la propia institución) debemos tener en cuenta que este consentimiento va a conllevar requisitos específicos previstos en el artículo 7 del RGPD:

  • El responsable debe ser capaz de demostrar que cuenta con el consentimiento del titular de los datos: por tanto, debemos orientar la estrategia operativa de la gestión del evento a la posibilidad de evidenciar que ese consentimiento, efectivamente, se ha obtenido.
  • La recogida de consentimiento debe distinguirse de forma clara respecto de otros asuntos, de forma inteligible y de fácil acceso, utilizando un lenguaje claro y sencillo.

Así, propondremos al área de Comunicación Institucional el uso de un formulario que puedan enviar por correo electrónico en la convocatoria de los eventos o jornadas que vayan a gestionar. De acuerdo con el artículo 78 de la LOPDGDD, el plazo máximo de prescripción de las sanciones en materia de protección de datos es de 3 años, motivo por el que será el tiempo durante el cual conservaremos esos documentos que contienen los consentimientos de los titulares de los datos.

También es importante establecer un procedimiento, aprobado formalmente por la Dirección, donde se contemplen estas acciones de cara a garantizar que el proceso se sistematizará, disminuyendo el riesgo de producirse fallos humanos en un futuro. Es importante tener en cuenta que cuanto mayor sea el volumen de asistentes a los eventos, mayor importancia cobrará el hecho de contar con un procedimiento destinado a la gestión operativa de las obligaciones cuyo cumplimiento que estamos valorando. Además, ese procedimiento forma parte de las evidencias que nos ayudan a demostrar nuestro cumplimiento del principio de responsabilidad activa del RGPD.

La primera comunicación que vamos a llevar a cabo con los asistentes a los eventos podremos enmarcarla en la base de legitimación del artículo 6.1.b), como parte de la ejecución del contrato de trabajo (en este caso, el estatuto funcionarial).

Llegados a este punto, procede comentar el criterio que la Agencia Vasca de Protección de Datos expuso en su Dictamen NºD18-007 ante la consulta de un ayuntamiento que quiere conocer cómo puede tratar unas imágenes tomadas en un acto público.

En este sentido, la Agencia Vasca recurre al artículo 5.c) de la Ley Orgánica 1/1982 para explicar que las imágenes tomadas sobre planos generales de un conjunto de personas que se han reunido en un suceso o acontecimiento público no requerirán del consentimiento de todos y cada uno de esos asistentes, sino que ampara el recurso a una suerte de consentimiento tácito de esas personas. Asimismo, el informe matiza que aquellos primeros planos, o planos detalle de estas personas, sí requerirán del consentimiento inequívoco del titular de los datos, ya que la fotografía pierde su carácter “accesorio” con ese tipo de enfoques, planos y tratamientos.

Sin embargo, para entender a qué se refiere la Agencia Vasca cuando interpreta el concepto de “suceso o acontecimiento público”, conviene comentar que el caso giraba en torno a la celebración que dicho ayuntamiento lleva a cabo sobre las fiestas del Olentzero, celebraciones masivas que se producen a pie de calle sobre las que existe una relevancia pública palpable.

Es por ello por lo que, para el caso de un evento institucional, o corporativo, desaconsejamos recurrir al consentimiento tácito para grabar a los asistentes.

Retirada del consentimiento

Sin perjuicio de todo lo que hemos comentado anteriormente sobre la obtención del consentimiento, es necesario recordar el artículo 7.3 del RGPD donde se prevé la posibilidad de que el titular de los datos que, en un primer momento, nos había dado su consentimiento, finalmente, decida retirarlo pasado un tiempo. De esta forma, nos ponemos en la situación de recibir una solicitud de retirada de sus datos (su imagen, datos identificativos, voz, etc) de un contenido.

El artículo explica que el interesado tendrá derecho a retirar su consentimiento en cualquier momento.

Pero esto no implica que el tratamiento que hemos hecho anterior a la retirada del consentimiento vaya a ser ilegítimo, no se nos puede sancionar por el tratamiento que hemos llevado a cabo en ese momento temporal porque ahora ya no contemos con ese consentimiento, pero sí supone que no podremos seguir utilizando los datos de esta persona.

Esta situación puede suponer en riesgo legal agravado en la medida en que el área de Comunicación Institucional nos comentó en el apartado I., su intención de publicar los contenidos en redes sociales, lo que supone que la gestión de esos contenidos para lograr su retirada puede ser muy complicada. Es por ello que en el informe que estamos elaborando para los compañeros del área de Comunicación Institucional indicaremos que no consideramos aconsejable proceder a la publicación de esos contenidos en redes sociales.

Plazos de conservación

Como hemos visto en el apartado II., tendremos que lidiar con la difícil cuestión de valorar el plazo de conservación que aplicaremos sobre estos datos.

En el artículo 5.1 e) del RGPD se establece la obligación de aplicar plazos concretos de conservación sobre la información con datos personales, a partir de los cuales, los datos deben ser eliminados al haber perdido el sentido de la finalidad por la que fueron recogidos.

En este sentido, el principal problema que encontramos es que la legislación en materia de protección de datos no nos va a decir cuál es el tiempo concreto que podremos conservar esta información, una vez transcurrida la finalidad del tratamiento, sino que deberemos recurrir a otras normativas para poder obtener un criterio más o menos sólido. Como es el caso, en muchas ocasiones no existe una normativa que contemple tiempos concretos de conservación para el caso específico que estamos trabajando.

Sin embargo, una forma de evitar incurrir en criterios demasiado genéricos para la AEPD consiste en recurrir a lo siguiente:

  • No conservar los datos más allá del momento en que sus titulares decidan mantener su vínculo con nuestra Administración. Es decir, en el momento en que causen baja, ya sea por jubilación o por haberse desplazado a otra Administración Pública, se deberán borrar y despublicar estos datos. Nuevamente, para que este criterio sea efectivo es indispensable contar con un procedimiento que gestione las tareas a realizar para poder garantizar el cumplimiento de la obligación.
  • Aunque parezca una obviedad, es importante insistir en la necesidad de no conservar los datos cuando el titular nos ha ejercido un derecho de cancelación o nos ha revocado el consentimiento inicialmente prestado.
  • Asimismo, recurrir a los plazos de prescripción de las infracciones en el ámbito en el que nos estemos manejando (social, civil, laboral, penal) para que los datos sean mantenidos durante el tiempo de dicha prescripción de la responsabilidad ante una posible infracción.

No es una solución perfecta, pero sí es un criterio temporal, más o menos amplio, que permite realizar su actividad en el tiempo a nuestros compañeros del área de Comunicación Institucional.

Transparencia e información

Como hemos decidido recurrir a un formulario como evidencia de la recogida del consentimiento, tal como vimos en el primer apartado de este punto II., vamos a estudiar las obligaciones de transparencia, en cuanto a información a los titulares de los datos sobre los aspectos relativos al tratamiento y al ejercicio de sus derechos, tomando como base esa misma vía para incluir la cláusula de información.

El motivo es que el formulario donde vamos a recoger el consentimiento puede ser una buena forma de informar al titular de los datos sobre cómo vamos a tratarlos de cara al evento, de manera que simplificamos la operativa del proceso.

Respecto de la cláusula de información, será necesario tener en cuenta lo siguiente:

  • Recurriremos a un modelo de cláusula de información que, a su vez, recogerá el consentimiento del interesado. En este sentido, debemos tener en cuenta todos los requisitos contemplados en el artículo 13 del RGPD relativo a la información que debemos facilitar cuando los datos personales se obtienen directamente del propio interesado, como es el caso en el que nos encontramos.
  • Para el caso concreto, recurriremos a una cláusula de información sin capas, dado que el mecanismo de comunicación siempre será el correo electrónico y su envío no nos va a suponer mayores inconvenientes una vez tengamos el modelo preparado.
  • Sobre la recogida de los consentimientos a través de este formulario, habilitaremos la posibilidad de recogerlos vía correo electrónico, antes de la celebración del evento, con un cotejo de los listados de asistentes a los eventos, así como la posibilidad de firmar la cláusula in situ en el control de acceso al evento.

Gestión de solicitudes de derechos

Los artículos 13 y siguientes del RGPD contemplan los derechos que los titulares de los datos pueden ejercitar frente a los responsables del tratamiento, a saber, derechos de acceso, rectificación, supresión, oposición, limitación al tratamiento y portabilidad.

En este sentido, existe la posibilidad de que un titular de datos quiera ejercitar derechos de oposición, supresión o limitación del tratamiento de datos de nuestros compañeros de comunicación institucional, lo que implicaría la necesidad de gestionar los contenidos allá donde se encuentran publicados.

Asimismo, en el caso en que no se lleve a cabo una gestión eficaz de la solicitud, o del derecho, o se resuelva negativamente a la satisfacción de esta, esto puede suponer que el titular de los datos busque amparo ante la Agencia Española de Protección de Datos (AEPD) quien llevaría a cabo las acciones inspectoras correspondientes.

Es por ello por lo que, nuevamente, deberemos formalizar un procedimiento conocido por la Organización, y apoyado por la Dirección, donde se expliquen los plazos de respuesta (1 mes) que tenemos para gestionar la solicitud del derecho, así como la necesidad de comunicarlo a los roles que escogeremos entre la organización.

En este sentido, es importante recordar la labor del delegado de protección de datos como figura vertebradora de la coordinación de este tipo de procesos. Asimismo, para el caso que hemos elegido, recordemos que el artículo 37.1.a) del RGPD prevé como obligatoria la designación de un delegado de protección de datos para las autoridades u organismos públicos, por lo que ésta figura debería existir a algún nivel de nuestra Administración.

4.- Conclusiones

A continuación, a modo de conclusiones, definiremos cuál es la estrategia que el área de Comunicación Institucional debe implementar para no incurrir en incumplimientos derivados del RGPD.

  1. En primer lugar, proponemos aprobar formalmente en la organización un procedimiento, apoyado por la Dirección, que contemple los actores implicados, sus funciones y las tareas que permiten garantizar la gestión de las obligaciones de recogida del consentimiento, información y gestión de solicitudes de derechos en el marco de las acciones llevadas a cabo por el área de Comunicación Institucional. De esta forma podemos empezar a dar cumplimiento al principio de responsabilidad activa, así como garantizar que minimizaremos el riesgo de los posibles incumplimientos derivados del desconocimiento o del fallo humano entre el personal de la organización.
  2. De cara a la gestión de la recogida del consentimiento e información a los asistentes de los eventos, así como los ponentes, proponemos el recurso a formularios, que deben ser firmados por sus destinatarios, que contemplen los requisitos de información del RGPD. De esta forma, esos formularios se hacen llegar a sus destinatarios por dos formas:
    • En la convocatoria, por el correo electrónico corporativo.
    • En el momento de realizar el control de accesos a los eventos.

Estos formularios deberán custodiarse por el área de Comunicación institucional por un plazo de 3 años.

  1. De acuerdo con lo analizado en el apartado II, debemos rechazar la posibilidad de establecer un archivo histórico donde no se apliquen plazos de conservación. En todo caso, se deben seguir criterios de conservación, aunque éstos no se encuentren contemplados previamente por normativa vigente. Ver apartado II.
  2. De acuerdo con lo analizado en el apartado III., debemos desaconsejar la posibilidad de publicar los datos en redes sociales, de forma que las personas sean identificables. En el caso de querer realizar una campaña activa en este medio, debemos garantizar que los datos puedan ser eliminados cuando los titulares así lo soliciten, lo cual se complica cuando entra en juego la capacidad de viralización de Internet. En todo caso, es recomendable que las imágenes y vídeos subidos a redes presenten al público de forma que no podamos reconocerlos. En el caso de los ponentes, habrá que gestionar una posible revocación del consentimiento, así como un posible ejercicio de un derecho de supresión. Con respecto a la publicación de estos contenidos en la Intranet corporativa, no entrañan el mismo problema que los contenidos en redes sociales, dado que el grado de control que podemos ejercer sobre su retirada es mucho mayor.

Pablo García-Girón Pérez

9 de diciembre de 2022

5.- Recursos

Recursos legales

  • Constitución Española.
  • Reglamento General de Protección de Datos.
  • LOPD-GDD. Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales.
  • Ley Orgánica 1/1982, de 5 de mayo, sobre protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen.
  • Ley 16/1985, de 25 de junio, del Patrimonio Histórico Español.
  • Real Decreto 1708/2011, de 18 de noviembre, por el que se establece el Sistema Español de Archivos

Recursos jurisprudenciales

  • STC 13 de febrero de 1981 por recurso número 189/80.
  • STC 11/1983 de 13 de enero.
  • STC 254/1993 de 20 de julio.
  • STC 178/1993 de 31 de mayo.
  • Dictamen de la Agencia Vasca de Protección de Datos NºD18-007 resolviendo expediente CN18-005.

[1] STC 13 de febrero de 1981 por recurso número 189/80.

Pablo garcia giron perez
Pablo García-Girón Pérez 

Pablo García-Girón Pérez 

Licenciado en Derecho por la UAM y Máster en Derecho de las Telecomunicaciones y Tecnologías de la Información por la UC3M, ha desarrollado su carrera en el ámbito de la consultoría en nuevas tecnologías. 

Actualmente es abogado y consultor especializado en ciberseguridad y protección de datos.

Deja un comentario

A %d blogueros les gusta esto: