Estimados opositores, con motivo de la celebración de pruebas selectivas TASS en fechas cercanas, me complace haceros llegar copia del tema relativo a la protección de datos personales elaborado por mi compañero L. (a petición suya), por si fuera de vuestro interés.
Tema 49.- La protección de datos personales y garantía de derechos digitales en la administración de la Seguridad Social. Principios relativos a los tratamientos. Licitud de los tratamientos y régimen jurídico de la reserva y cesión de datos en materia de Seguridad Social. Responsable y encargado del tratamiento en la Seguridad Social, principales obligaciones y actividades de tratamiento de datos. El delegado de protección de datos de la Seguridad Social. Transparencia y publicidad activa en la Seguridad Social. 1. La protección de datos personales y garantía de derechos digitales en la administración de la Seguridad Social.
La protección de las personas físicas en relación con el tratamiento de sus datos personales es un derecho fundamental vinculado con el artículo 18.4 de la Constitución española que establece que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.
No obstante, debe tenerse en cuenta qué, tal como tiene establecido la jurisprudencia del Tribunal Constitucional, se trata de un auténtico derecho fundamental independiente del derecho a la intimidad con sustantividad propia.
A nivel de derecho positivo debe distinguirse el marco general establecido por la normativa de Protección de Datos y en concreto:
• El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos),
• La Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo de 27 de abril de 2016,relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención e investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos por lo que se deroga la Decisión Marco 2008/977/JAI del Consejo.
• La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos personales y garantía de los derechos digitales.
Por lo que se refiere al marco normativo especial aplicable a la administración de la Seguridad Social debe tenerse en cuenta:
• El Real Decreto Legislativo 8/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley General de la Seguridad Social. • La ley 19/2021, de 20 de diciembre, por la que se establece el ingreso mínimo vital.
En atención a las competencias administrativas que tienen atribuidas las distintas entidades gestoras y servicios comunes de la administración de la Seguridad Social, estas requerirán del conocimiento de multitud de datos personales para el correcto ejercicio de las funciones que tienen atribuidas normativamente. Datos personales que podrán referirse tanto a las personas usuarias del sistema de la Seguridad Social, como a los empleados públicos destinados en dichos organismos y que pondrán comprender, datos personales de carácter general (datos identificativos, de contacto, etc.) como datos personales de carácter especial (datos de salud, orientación sexual, etc.).
Así pues, en todo tratamiento de datos personales que implemente la administración de la Seguridad Social, entendiendo tratamiento como cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción, habrá de tenerse en cuenta la legitimación para poder hacer uso de esos datos personales, y la categoría a la que pertenece los mismo, para poder establecer las medidas de seguridad necesarias a fin de garantizar el derecho a la protección de los datos personales de la ciudadanía y el correcto desempeño de las funciones encomendadas a la administración de la Seguridad Social.
2. PRINCIPIOS RELATIVOS A LOS TRATAMIENTOS.
Hoy los principios relativos a los tratamientos de datos implementados por la administración de la Seguridad Social son los contemplados en el artículo 5 del Reglamento (UE) 2016/679, General de Protección de Datos:
- Principio de licitud y transparencia:
Los datos han de ser tratados de manera lícita leal y transparente en relación con el interesado-titular de los datos.
- Principio de limitación de la finalidad:
Los datos han de ser recogidos con fines determinados, explícitos y legítimos, no pudiendo ser tratado posteriormente de manera incompatible con dichos fines. No obstante, se entenderá compatible el tratamiento ulterior de los datos personales con fines de archivo en interés público,fines de investigación científica e histórica, o fines estadísticos.
- De minimización de datos:
los datos que se recaben bien directamente del interesado o desde otro sistema de fuentes de información accesibles para la administración de la Seguridad Social habrán de ser adecuados pertinentes ilimitados a los estrictamente necesario en relación con los fines para los que serán utilizados.
- Principio de exactitud:
Los datos que se utilicen en los tratamientos deberán ser exactos y si fuera necesario,actualizados, debiéndose adoptar las medidas razonables para que se supriman o rectifiquen sin dilación, aquellos datos personales de los que se tenga certeza de su inexactitud en relación con los fines para los que se tratan.
- Principio de limitación del plazo de conservación:
Los datos obtenidos y utilizados en los tratamientos deberán ser mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines en los que se han de utilizar, pudiéndose conservar durante periodos más largos siempre que se traten exclusivamente con fines de archivo en interés público fines de investigación científica o histórica o fines estadísticos. Se trata de un principio que ha de ser matizado en el ámbito de la administración de la Seguridad Social en aplicación de la normativa reguladora del procedimiento administrativo, y de los archivos y registros que integran la administración.
- Principio de integridad y confidencialidad:
Los datos deberán ser tratados de tal forma que se garantice una seguridad adecuada a los mismos,garantizándose en todo caso la protección contra el tratamiento no autorizado ilícito y contra su pérdida, destrucción o daño accidental mediante la aplicación de medidas técnicas u organizativas apropiadas. En todo tratamiento de datos, ya sea automatizado como no automatizado, deberán garantizarse los requisitos DICAT:
- Disponibilidad de los datos a las personas legitimadas para acceder a ellos,
- Integridad de los datos para que no sean alterados, modificados o destruidos,
- Confidencialidad en cuanto a su conocimiento y revelación,
- Accesibilidad controlada respecto a las personas que pueden acceder a los mismos,
- Trazabilidad de los accesos y usos que se hayanhecho de los datos.
3. LICITUD DE LOS TRATAMIENTOS Y RÉGIMEN JURÍDICO DE LA RESERVA Y CESIÓN DE DATOS EN MATERIA DE SEGURIDAD SOCIAL.
Conforme el artículo 6.1 del Reglamento (UE) 206/679, General de Protección de Datos, el tratamiento de los datos solo será lícito si se cumple al menos una de las siguientes condiciones:
a. el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b. el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c. el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d. el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e. el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f. el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.
De estas bases de legitimación que prevé la normativa, dos van a ser las principales bases que habiliten a la administración de la Seguridad Social la obtención y uso de los datos personales:
- El cumplimiento de una obligación legal aplicable al responsable del tratamiento, y
- el cumplimiento de una misión realizada en interés público en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
Solo en aquellos supuestos en los que las administraciones no actúen en el ejercicio de su potestad pública, por ejemplo cuando actúan como sujetos empleadores, o cuando la ley expresamente lo indique, deberá acudirse a otras bases de legitimación que habiliten la obtención y el uso de los datos personales, en estos supuestos hoy las bases de legitimación vendrán constituidas por:
- La obtención del consentimiento de la persona interesada, o
- La ejecución de un contrato o la adopción de medidas pre-contractuales hola donde la persona titular de los datos personales tiene la consideración de interesada en el contrato.
Conforme lo ya expuesto, conviene precisar que la administración, en el ejercicio de sus funciones públicas, no puede fundamentar sus tratamiento de datos personales en el consentimiento del interesado tal como aclara el legislador comunitario en el Considerando 43 del Reglamento (UE) 2016/679, General de Protección de Datos:
Para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública y sea por lo tanto improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situación particular.
No obstante, se debe señalar que para poder invocar como base del tratamiento el cumplimiento de una obligación legal aplicable al responsable del tratamiento o el ejercicio de poderes públicos, tal como establece el apartado 3 del artículo 6 del Reglamento (UE) 2016/679, General de Protección de Datos, dicha base deberá ser establecida por:
a) el Derecho de la Unión, o
b) el Derecho de los Estados miembros que se aplique al responsable del tratamiento.
La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo relativo al tratamiento a que se refiere el apartado 1, letra e), será necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Dicha base jurídica podrá contener disposiciones específicas para adaptar la aplicación de normas del presente Reglamento, entre otras: las condiciones generales que rigen la licitud del tratamiento por parte del responsable; los tipos de datos objeto de tratamiento; los interesados afectados; las entidades a las que se pueden comunicar datos personales y los fines de tal comunicación; la limitación de la finalidad; los plazos de conservación de los datos, así como las operaciones y los procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento lícito y equitativo, como las relativas a otras situaciones específicas de tratamiento a tenor del capítulo IX. El Derecho de la Unión o de los Estados miembros cumplirá un objetivo de interés público y será proporcional al fin legítimo perseguido.
Es decir, se requiere una norma de derecho sustantivo que de cobertura a esas bases de legitimación para el uso de los datos personales. En el ámbito de la administración de la Seguridad Social las principales normas con rango de ley que dan cobertura sus tratamientos de datos personales son el Real Decreto Legislativo 8/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley General de la Seguridad Social, y la Ley 19/2021, de 20 de diciembre, por la que se establece el ingreso mínimo vital, debiéndose destacar el régimen de suministro y cesión de información (datos) establecidas en las mismas conforme los siguientes artículos: