Estimados opositores, con motivo de la celebración de pruebas selectivas TASS en fechas cercanas, me complace haceros llegar copia del tema relativo a la protección de datos personales elaborado por mi compañero L. (a petición suya), por si fuera de vuestro interés. 

La protección de las personas físicas en relación con el tratamiento de sus datos personales es un derecho fundamental vinculado con el artículo 18.4 de la Constitución española que establece que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

No obstante, debe tenerse en cuenta qué, tal como tiene establecido la jurisprudencia del Tribunal Constitucional, se trata de un auténtico derecho fundamental independiente del derecho a la intimidad con sustantividad propia.

A nivel de derecho positivo debe distinguirse el marco general establecido por la normativa de Protección de Datos y en concreto:

Por lo que se refiere al marco normativo especial aplicable a la administración de la Seguridad Social debe tenerse en cuenta:

En atención a las competencias administrativas que tienen atribuidas las distintas entidades gestoras y servicios comunes de la administración de la Seguridad Social, estas requerirán del conocimiento de multitud de datos personales para el correcto ejercicio de las funciones que tienen atribuidas normativamente. Datos personales que podrán referirse tanto a las personas usuarias del sistema de la Seguridad Social, como a los empleados públicos destinados en dichos organismos y que pondrán comprender, datos personales de carácter general (datos identificativos, de contacto, etc.) como datos personales de carácter especial (datos de salud, orientación sexual, etc.).

Así pues, en todo tratamiento de datos personales que implemente la administración de la Seguridad Social, entendiendo tratamiento como cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción, habrá de tenerse en cuenta la legitimación para poder hacer uso de esos datos personales, y la categoría a la que pertenece los mismo, para poder establecer las medidas de seguridad necesarias a fin de garantizar el derecho a la protección de los datos personales de la ciudadanía y el correcto desempeño de las funciones encomendadas a la administración de la Seguridad Social.

Hoy los principios relativos a los tratamientos de datos implementados por la administración de la Seguridad Social son los contemplados en el artículo 5 del Reglamento (UE) 2016/679, General de Protección de Datos:

Los datos han de ser tratados de manera lícita leal y transparente en relación con el interesado-titular de los datos.

Los datos han de ser recogidos con fines determinados, explícitos y legítimos, no pudiendo ser tratado posteriormente de manera incompatible con dichos fines. No obstante, se entenderá compatible el tratamiento ulterior de los datos personales con fines de archivo en interés público,fines de investigación científica e histórica, o fines estadísticos.

los datos que se recaben bien directamente del interesado o desde otro sistema de fuentes de información accesibles para la administración de la Seguridad Social habrán de ser adecuados pertinentes ilimitados a los estrictamente necesario en relación con los fines para los que serán utilizados.

Los datos que se utilicen en los tratamientos deberán ser exactos y si fuera necesario,actualizados, debiéndose adoptar las medidas razonables para que se supriman o rectifiquen sin dilación, aquellos datos personales de los que se tenga certeza de su inexactitud en relación con los fines para los que se tratan.

Los datos obtenidos y utilizados en los tratamientos deberán ser mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines en los que se han de utilizar, pudiéndose conservar durante periodos más largos siempre que se traten exclusivamente con fines de archivo en interés público fines de investigación científica o histórica o fines estadísticos. Se trata de un principio que ha de ser matizado en el ámbito de la administración de la Seguridad Social en aplicación de la normativa reguladora del procedimiento administrativo, y de los archivos y registros que integran la administración.

Los datos deberán ser tratados de tal forma que se garantice una seguridad adecuada a los mismos,garantizándose en todo caso la protección contra el tratamiento no autorizado ilícito y contra su pérdida, destrucción o daño accidental mediante la aplicación de medidas técnicas u organizativas apropiadas. En todo tratamiento de datos, ya sea automatizado como no automatizado, deberán garantizarse los requisitos DICAT:

- Disponibilidad de los datos a las personas legitimadas para acceder a ellos, 

- Integridad de los datos para que no sean alterados, modificados o destruidos,

- Confidencialidad en cuanto a su conocimiento y revelación,  

- Accesibilidad controlada respecto a las personas que pueden acceder a los mismos,

- Trazabilidad de los accesos y usos que se hayanhecho de los datos.

Conforme el artículo 6.1 del Reglamento (UE) 206/679, General de Protección de Datos, el tratamiento de los datos solo será lícito si se cumple al menos una de las siguientes condiciones: 

De estas bases de legitimación que prevé la normativa, dos van a ser las principales bases que habiliten a la administración de la Seguridad Social la obtención y uso de los datos personales:

Solo en aquellos supuestos en los que las administraciones no actúen en el ejercicio de su potestad pública, por ejemplo cuando actúan como sujetos empleadores, o cuando la ley expresamente lo indique, deberá acudirse a otras bases de legitimación que habiliten la obtención y el uso de los datos personales, en estos supuestos hoy las bases de legitimación vendrán constituidas por:

Conforme lo ya expuesto, conviene precisar que la administración, en el ejercicio de sus funciones públicas, no puede fundamentar sus tratamiento de datos personales en el consentimiento del interesado tal como aclara el legislador comunitario en el Considerando 43 del Reglamento (UE) 2016/679, General de Protección de Datos:

Para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública y sea por lo tanto improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situación particular.

No obstante, se debe señalar que para poder invocar como base del tratamiento el cumplimiento de una obligación legal aplicable al responsable del tratamiento o el ejercicio de poderes públicos, tal como establece el apartado 3 del artículo 6 del Reglamento (UE) 2016/679, General de Protección de Datos, dicha base deberá ser establecida por: 

a) el Derecho de la Unión, o 

b) el Derecho de los Estados miembros que se aplique al responsable del tratamiento. 

La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo relativo al tratamiento a que se refiere el apartado 1, letra e), será necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Dicha base jurídica podrá contener disposiciones específicas para adaptar la aplicación de normas del presente Reglamento, entre otras: las condiciones generales que rigen la licitud del tratamiento por parte del responsable; los tipos de datos objeto de tratamiento; los interesados afectados; las entidades a las que se pueden comunicar datos personales y los fines de tal comunicación; la limitación de la finalidad; los plazos de conservación de los datos, así como las operaciones y los procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento lícito y equitativo, como las relativas a otras situaciones específicas de tratamiento a tenor del capítulo IX. El Derecho de la Unión o de los Estados miembros cumplirá un objetivo de interés público y será proporcional al fin legítimo perseguido. 

Es decir, se requiere una norma de derecho sustantivo que de cobertura a esas bases de legitimación para el uso de los datos personales. En el ámbito de la administración de la Seguridad Social las principales normas con rango de ley que dan cobertura sus tratamientos de datos personales son el Real Decreto Legislativo 8/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley General de la Seguridad Social, y la Ley 19/2021, de 20 de diciembre, por la que se establece el ingreso mínimo vital, debiéndose destacar el régimen de suministro y cesión de información (datos) establecidas en las mismas conforme los siguientes artículos: