Regístrate gratis
Protección de datos en el sector público: principios, derechos y obligaciones básicas
Protección de datos en el sector público para oposiciones: RGPD, LOPDGDD, principios, derechos, bases jurídicas y obligaciones básicas.
La protección de datos en el sector público es un tema transversal de oposiciones porque cualquier Administración trata datos personales: solicitudes, expedientes, sanciones, ayudas, historia clínica, empleo público, padrón, tributos, educación, servicios sociales o contratación. Su base normativa está en el Reglamento (UE) 2016/679 (RGPD) y en la Ley Orgánica 3/2018 (LOPDGDD).
Para estudiar este bloque sin perderte, conviene dominar seis ideas: qué es un dato personal, qué es un tratamiento, quién es responsable o encargado, qué principios rigen, qué base jurídica permite tratar datos y qué derechos puede ejercer la persona afectada. En el sector público, además, son claves el Delegado de Protección de Datos, el deber de confidencialidad y la documentación de las decisiones.
RGPD y LOPDGDD: cómo se relacionan
El RGPD es un reglamento europeo directamente aplicable. La LOPDGDD adapta y completa el marco español, regula aspectos concretos y desarrolla derechos digitales.
| Norma | Papel |
|---|---|
| RGPD | Marco general europeo de protección de datos personales |
| LOPDGDD | Adaptación española y garantías de derechos digitales |
| Constitución, art. 18.4 | Base constitucional: límite al uso de la informática para proteger honor, intimidad y derechos |
| Normativa sectorial | Reglas específicas: sanidad, tributos, empleo público, seguridad social, educación |
En oposiciones, la fórmula útil es: RGPD = marco general; LOPDGDD = desarrollo orgánico español.
Qué es un dato personal
Un dato personal es toda información sobre una persona física identificada o identificable. No hace falta que aparezca el nombre y apellidos: basta con que la persona pueda identificarse directa o indirectamente.
Ejemplos:
| Es dato personal | Por qué |
|---|---|
| DNI o NIE | Identifica directamente |
| Nombre y apellidos | Identificación directa |
| Dirección postal o correo electrónico | Permite localizar o identificar |
| Matrícula de vehículo | Puede vincularse a una persona |
| Historia clínica | Información personal sensible |
| IP o identificador digital | Puede identificar indirectamente |
| Expediente administrativo | Contiene datos de una persona afectada |
No son datos personales de una persona jurídica en cuanto tal, aunque un expediente de empresa puede incluir datos de administradores, representantes o trabajadores.
Qué es tratamiento de datos
El tratamiento es cualquier operación realizada sobre datos personales. No se limita a "publicar" o "ceder" datos.
Puede ser tratamiento:
- Recoger datos en una solicitud.
- Registrarlos en una aplicación.
- Consultarlos durante un expediente.
- Ordenarlos o clasificarlos.
- Comunicarlos a otra Administración.
- Conservarlos en archivo.
- Suprimirlos.
- Publicarlos en un tablón o boletín.
En sector público, casi cualquier expediente administrativo implica tratamiento de datos. Por eso la protección de datos no es un trámite adicional al final, sino una obligación desde el diseño de la actuación.
Responsable y encargado del tratamiento
La distinción entre responsable y encargado es de las más preguntables.
| Figura | Qué hace |
|---|---|
| Responsable del tratamiento | Decide fines y medios esenciales del tratamiento |
| Encargado del tratamiento | Trata datos por cuenta del responsable |
| Afectado o interesado | Persona física cuyos datos se tratan |
| Delegado de Protección de Datos | Supervisa, asesora y actúa como punto de contacto |
Ejemplo: un ayuntamiento que decide tramitar ayudas sociales es responsable del tratamiento. Una empresa que presta soporte informático y accede a la base de datos por cuenta del ayuntamiento puede ser encargada del tratamiento.
El encargado no puede usar los datos para finalidades propias. Debe actuar conforme a instrucciones y mediante el acuerdo o contrato correspondiente.
Principios de protección de datos
El artículo 5 RGPD recoge los principios básicos. Son el núcleo de cualquier pregunta de test.
| Principio | Idea para memorizar |
|---|---|
| Licitud, lealtad y transparencia | Tratar datos con base jurídica, de forma honesta y comprensible |
| Limitación de la finalidad | Usar datos para fines determinados, explícitos y legítimos |
| Minimización | Tratar solo los datos necesarios |
| Exactitud | Mantener datos correctos y actualizados |
| Limitación del plazo de conservación | No conservar más tiempo del necesario |
| Integridad y confidencialidad | Proteger datos frente a accesos, pérdidas o daños |
| Responsabilidad proactiva | Poder demostrar que se cumple |
La responsabilidad proactiva cambia el enfoque: no basta con cumplir; hay que poder demostrarlo mediante medidas, registros, análisis, contratos, políticas y decisiones documentadas.
Bases jurídicas del tratamiento
Todo tratamiento necesita una base jurídica. En el sector público, las más habituales no son siempre el consentimiento.
| Base del art. 6 RGPD | Ejemplo en sector público |
|---|---|
| Cumplimiento de obligación legal | Gestión tributaria, archivo obligatorio |
| Misión realizada en interés público | Prestación de servicios públicos |
| Ejercicio de poderes públicos | Procedimientos sancionadores, autorizaciones |
| Ejecución de contrato | Contratación pública o relación laboral |
| Intereses vitales | Emergencias sanitarias |
| Consentimiento | Supuestos concretos donde sea libre y válido |
Error frecuente: creer que la Administración necesita siempre consentimiento. Muchas veces trata datos porque una ley lo exige, porque ejerce potestades públicas o porque presta un servicio público.
Derechos de las personas
El RGPD reconoce un conjunto de derechos que suelen estudiarse con reglas mnemotécnicas. Los principales son:
| Derecho | Qué permite |
|---|---|
| Acceso | Saber si se tratan datos y obtener información |
| Rectificación | Corregir datos inexactos |
| Supresión | Solicitar eliminación cuando proceda |
| Oposición | Oponerse al tratamiento en ciertos casos |
| Limitación | Bloquear temporalmente determinados usos |
| Portabilidad | Recibir o transmitir datos en formato estructurado |
| No ser objeto de decisiones automatizadas | Evitar efectos jurídicos basados solo en automatización |
En el sector público, algunos derechos pueden tener límites por obligaciones legales, archivo, interés público, ejercicio de potestades o defensa de reclamaciones. Por eso no se responden siempre de forma automática: hay que analizar base jurídica y normativa aplicable.
Información y transparencia
La transparencia en protección de datos significa informar a la persona afectada de forma clara sobre el tratamiento.
Información básica:
- Identidad del responsable.
- Finalidad del tratamiento.
- Base jurídica.
- Destinatarios o categorías de destinatarios.
- Plazo de conservación.
- Derechos disponibles.
- Posibilidad de reclamar ante la autoridad de control.
- Datos del Delegado de Protección de Datos cuando exista.
En el sector público, esta información suele aparecer en formularios, sedes electrónicas, cláusulas informativas y registros de actividades.
Delegado de Protección de Datos
El Delegado de Protección de Datos (DPD) es especialmente importante en el sector público. El RGPD exige su designación cuando el tratamiento lo lleve a cabo una autoridad u organismo público, salvo tribunales en ejercicio de su función judicial. La LOPDGDD completa los supuestos y regula su posición.
Funciones básicas:
- Informar y asesorar al responsable o encargado.
- Supervisar el cumplimiento del RGPD y la LOPDGDD.
- Asesorar sobre evaluaciones de impacto.
- Cooperar con la autoridad de control.
- Actuar como punto de contacto.
El DPD no es "el responsable" de todos los tratamientos. Asesora y supervisa, pero las decisiones corresponden al responsable.
Deber de confidencialidad
La LOPDGDD recoge el deber de confidencialidad. Quienes intervienen en cualquier fase del tratamiento están sujetos a secreto incluso después de finalizar su relación con el responsable o encargado.
Ejemplos prácticos:
- Un empleado público no debe consultar expedientes sin necesidad funcional.
- Un interino o laboral temporal mantiene deber de secreto tras cesar.
- Un proveedor tecnológico no puede reutilizar datos para fines propios.
- Una comunicación interna debe limitarse a quienes necesitan conocer la información.
La confidencialidad se relaciona con el principio de integridad y confidencialidad del RGPD, pero también con deberes profesionales y disciplinarios.
Obligaciones básicas del sector público
Las Administraciones deben organizar la protección de datos de forma preventiva.
| Obligación | Utilidad |
|---|---|
| Registro de actividades de tratamiento | Saber qué datos se tratan, para qué y con qué base |
| Información a afectados | Transparencia y ejercicio de derechos |
| Contratos con encargados | Controlar proveedores que acceden a datos |
| Medidas de seguridad | Evitar accesos indebidos, pérdidas o alteraciones |
| Evaluación de impacto | Analizar riesgos altos para derechos y libertades |
| Gestión de brechas | Detectar, documentar y comunicar violaciones cuando proceda |
| Designación de DPD | Supervisión especializada |
En una pregunta de oposición, si aparece "demostrar cumplimiento", piensa en responsabilidad proactiva.
Ejemplos de test
| Enunciado | Respuesta probable |
|---|---|
| "Información sobre una persona identificable" | Dato personal |
| "El ayuntamiento decide finalidad y medios" | Responsable |
| "Empresa que aloja datos por cuenta de una Administración" | Encargado |
| "Tratar solo datos necesarios" | Minimización |
| "Mantener datos correctos" | Exactitud |
| "Supervisa cumplimiento y asesora" | Delegado de Protección de Datos |
| "La Administración pide consentimiento para todo" | Error: puede haber obligación legal o potestad pública |
Para test
- Normas clave: RGPD y LOPDGDD.
- Dato personal: información sobre persona física identificada o identificable.
- Tratamiento: cualquier operación sobre datos personales.
- Responsable: decide fines y medios.
- Encargado: trata datos por cuenta del responsable.
- Principios: licitud, finalidad, minimización, exactitud, conservación, integridad/confidencialidad y responsabilidad proactiva.
- En sector público, la base jurídica suele ser obligación legal, interés público o ejercicio de poderes públicos.
- Derechos: acceso, rectificación, supresión, oposición, limitación, portabilidad y decisiones automatizadas.
- El DPD asesora y supervisa, pero no sustituye al responsable.
- La confidencialidad continúa incluso tras finalizar la relación profesional.
Errores frecuentes
Pensar que todo tratamiento requiere consentimiento
En el sector público, muchos tratamientos se basan en obligación legal, misión de interés público o ejercicio de poderes públicos. El consentimiento no es la base universal.
Confundir responsable y encargado
El responsable decide finalidad y medios. El encargado actúa por cuenta del responsable y siguiendo instrucciones.
Creer que el DPD decide todos los tratamientos
El DPD informa, asesora, supervisa y coopera con la autoridad de control. No desplaza la responsabilidad del órgano responsable.
Pedir más datos de los necesarios
La minimización exige limitar datos a lo necesario. Solicitar documentación excesiva puede vulnerar el principio.
Tratar confidencialidad como una simple recomendación
El deber de confidencialidad es una obligación jurídica. Afecta a empleados, colaboradores y encargados, incluso tras terminar la relación.
Fuentes oficiales
- BOE: Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales.
- EUR-Lex: Reglamento (UE) 2016/679, Reglamento General de Protección de Datos.
- EUR-Lex: artículo 5 RGPD, principios relativos al tratamiento.
- EUR-Lex: artículo 6 RGPD, licitud del tratamiento.
- BOE: artículo 5 LOPDGDD, deber de confidencialidad.
¿Te ha sido útil?
Crea tu cuenta gratis y accede a más recursos para tu oposición
🚀 Regístrate gratis