El Consejo de Transparencia aprueba el Plan de Control e Inspección sobre Protección de Datos

 SEVILLA.- El Consejo de Transparencia y Protección de Datos de Andalucía ha aprobado el Plan de Control e Inspección sobre Protección de Datos en el Sector Público Andaluz 2026-2027. El documento, dividido en cuatro líneas de actuación y con un carácter eminentemente sensibilizador y preventivo, pretende "proporcionar orientaciones y directrices en esta materia para facilitar el cumplimiento de la normativa por el sector público".

Según ha indicado la entidad en una nota, la línea 1 estará dirigida al control de la vigencia de la designación del Delegado de Protección de Datos (DPD) y del cumplimiento de la obligación de publicar sus datos de contacto.

La misma se centrará en dos aspectos específicos. Por un lado, asegurar que las entidades del sector público andaluz que comunicaron la designación de DPD al Consejo mantienen dicha designación vigente. Para aquellas entidades en las que se constate la ausencia de DPD, se procederá a requerir la designación.

Y por otro lado, se controlará el cumplimiento de la obligación de publicar los datos de contacto del DPD en la sede electrónica o página web institucional.

La Línea 2 tiene como objetivo verificar el cumplimiento de la responsabilidad proactiva en proyectos que traten datos personales haciendo un uso intensivo de nuevas tecnologías y que, por su naturaleza, alcance, contexto o fines, pudieran entrañar un alto riesgo para los derechos y libertades de las personas físicas.

El Consejo ha indicado que se controlarán específicamente el nivel de participación del DPD en el diseño e implantación del proyecto, la realización de la evaluación de impacto relativa a la protección de datos, conforme al artículo 35 del Reglamento General de Proteción de Datos (RGPD), la aplicación de los principios de protección de datos desde el diseño y por defecto conforme al artículo 25 del RGPD, incluyendo las medidas técnicas y organizativas adoptadas para garantizar un nivel de seguridad adecuado al riesgo, la actualización de los datos en el inventario de actividades de tratamiento del responsable y la información a facilitar a los interesados sobre la existencia del tratamiento y el ejercicio de sus derechos, conforme a los artículos 13 y 14 del RGPD.

La Línea 3 pretende comprobar la integración de la dimensión de protección de datos en los pliegos y documentos reguladores de la licitación del sector público andaluz siempre que impliquen un tratamiento de datos personales.

En los documentos que rigen la licitación se comprobará que la protección de datos se refleja adecuadamente en los apartados propios de ese tipo de documentos, en particular en los criterios de solvencia técnica o profesional, en las condiciones especiales de ejecución y obligaciones contractuales esenciales, así como en las cláusulas del contrato de encargo de tratamiento.

En el Pliego de Prescripciones Técnicas Particulares o documento de especificaciones se verificará que las prescripciones técnicas trasladan los principios del artículo 25 del RGPD a requisitos específicos.

Finalmente, la Línea 4 tiene por objeto inspeccionar la integración de la protección de datos en la actividad evaluadora de los Comités de Ética de la Investigación en Andalucía. Para ello se controlará el cumplimiento de la obligación de integrar un delegado de protección de datos o, en su defecto, un experto con conocimientos suficientes en la materia en la composición del Comité de Ética de la Investigación, verificando su efectiva designación y participación real en los procesos deliberativos del Comité.

Asimismo, se examinará la emisión de los informes previos exigidos por la disposición adicional decimoséptima de la Ley Orgánica de Protección de Datos y garantía de derechos digitales en relación con la reutilización de datos personales y el uso de datos personales seudonimizados con fines de investigación en salud pública y, en particular, biomédica, comprobando que dichos informes incorporan una valoración de los aspectos relativos a la protección de datos.

Para el adecuado desarrollo de cada una de las líneas de actuación del Plan, se elaborará un protocolo en el que se describan los objetivos generales y detallados de las mismas, los criterios para la selección de las entidades directamente afectadas, la metodología a emplear para su desarrollo y el calendario previsto para su realización.

El Consejo aprobó el primer Plan abarcando el periodo 2023-2025 y contempló cuatro líneas de actuación dirigidas a verificar e impulsar las designaciones de DPD en el sector público andaluz, comprobar el cumplimiento del marco de responsabilidad proactiva en proyectos que hacen uso intensivo de nuevas tecnologías, verificar las obligaciones en materia de cookies en los portales web institucionales y controlar la realización de análisis de riesgos y evaluaciones de impacto relativas a la protección de datos.

Los resultados obtenidos durante su ejecución han sido satisfactorios en cuanto al logro de los objetivos de sensibilización establecidos. Destaca especialmente el incremento en las designaciones de DPD en los ayuntamientos andaluces, alcanzando el 88% de los municipios con una cobertura del 96,73% de la población andaluza, así como el desarrollo de más de cien actuaciones inspectoras en las diferentes líneas de actuación.

El Consejo ha destacado que la colaboración de las entidades con la función inspectora "ha sido mayoritariamente satisfactoria, aportando la documentación requerida y mostrando disposición para atender las recomendaciones formuladas".

Las conclusiones extraídas en el documento junto con la evolución del marco normativo y las necesidades detectadas en el sector público andaluz, justifican la aprobación del presente Plan que, manteniendo el carácter preventivo y sensibilizador de su predecesor, incorpora mejoras metodológicas destinadas a hacer más eficiente la labor de control y orientación del cumplimiento normativo en materia de protección de datos.