BOPA - Disposiciones

Consultar una disposición

Boletín Nº 246 del miércoles 23 de diciembre de 2020

AYUNTAMIENTOS

DE CANDAMO

Anuncio. Aprobación del Reglamento regulador de la Política de Protección de Datos de Carácter Personal.

El Pleno de la Corporación, en sesión celebrada el día 30 de septiembre de 2020, aprobó inicialmente el Reglamento regulador de la política de protección de datos de carácter personal en el Ayuntamiento de Candamo.

En el Boletín Oficial del Principado de Asturias del día 20 de octubre de 2020 aparece publicado el anuncio por el que se somete a información pública el acuerdo de aprobación inicial del reglamento indicado.

Durante el plazo de treinta días hábiles comprendidos entre el día 21 de octubre y el día 2 de diciembre de 2020 inclusive, no se han presentado reclamaciones o sugerencias, según se acredita en el certificado expedido por la Secretaría de fecha 3 de diciembre de 2020; por lo que el citado acuerdo ha quedado elevado a definitivo conforme a lo dispuesto en el artículo 49 de la Ley 7/1985, de 2 de abril, reguladora de las Bases del Régimen Local.

Contra el reglamento aprobado definitivamente, se podrá interponer recurso contencioso-administrativo ante la Sala de este orden jurisdiccional del Tribunal Superior de Justicia del Principado de Asturias, con sede en Oviedo, en el plazo de dos meses contados a partir del día siguiente al de la publicación de este anuncio en el Boletín Oficial del Principado de Asturias, conforme a lo dispuesto en el artículo 46, en relación con el 10, de la Ley 29/1998, de 13 de julio, de la Jurisdicción Contencioso-Administrativa.

En cumplimiento de lo dispuesto en el artículo 70.2 de la LBRL, se inserta a continuación el texto íntegro del reglamento.

POLÍTICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

Índice

Exposición de motivos.

Título I.—Disposiciones Generales.

Artículo 1.—Ámbito objetivo de aplicación.

Artículo 2.—Ámbito subjetivo de aplicación.

Artículo 3.—Principios de protección de datos personales.

Artículo 4.—Directrices generales en el tratamiento de datos del Ayuntamiento.

Título II.—De la organización del ayuntamiento.

Artículo 5.—Distribución funcional en cumplimiento de la política de protección de datos del Ayuntamiento como responsable del tratamiento.

Artículo 6.—La persona designada como Delegado/a de Protección de Datos del Ayuntamiento

Artículo 7.—Responsable funcional

Artículo 8.—Creación de grupos de trabajo.

Artículo 9.—Obligaciones del personal

Artículo 10.—Resolución de conflictos.

Título III.—De la gestión de las medidas organizativas y técnicas.

Artículo 11.—Categorías de datos personales y de personas afectadas.

Artículo 12.—Licitud del tratamiento.

Artículo 13.—Información a las personas afectadas.

Artículo 14.—Registro de actividades de tratamiento.

Artículo 15.—Privacidad desde el diseño.

Artículo 16.—Análisis de riesgos, evaluación de impacto en la protección de datos y gestión de los riesgos de seguridad de la información.

Artículo 17.—Transferencias Internacionales de Datos.

Artículo 18.—Notificación de violaciones de seguridad de los datos de carácter personal

Artículo 19.—Ejercicio de derechos por las personas interesadas.

Artículo 20.—Sensibilización y formación.

Artículo 21.—Medidas de seguridad de la información.

Artículo 22.—Plazo de conservación y bloqueo.

Título IV.—De las relaciones con terceros en el tratamiento de datos personales

Artículo 23.—Principios generales.

Artículo 24.—Encargados del Tratamiento del Ayuntamiento.

Título V.—De las medidas de control y evaluación.

Artículo 25.—Revisión y auditoría.

Artículo 26.—Revisión de la Política de protección de datos.

Disposición adicional primera.—Desarrollo de procedimientos.

Disposición adicional segunda.—Publicidad.

Disposición final única.—Entrada en vigor.

Exposición de motivos

El Ayuntamiento de Candamo pretende establecer con esta Política un marco regulatorio para dar respuesta a la vigente normativa en materia de protección de datos personales contenida tanto en el Reglamento (UE) 2016/679 del Parlamento europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos -RGPD-), de plena aplicación a partir del 25 de mayo de 2018, como en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales, así como las directrices de las autoridades de control el Comité Europeo y la Agencia Española de Protección de Datos.

El Ayuntamiento aprueba esta norma de carácter interno en el marco de las potestades de autoorganización administrativa reconocidas en el artículo 4 de la Ley 7/1985, de 2 de abril, Reguladora de las Bases de Régimen Local (en adelante LBRL), al objeto de establecer directrices y procedimientos que permitan un cumplimiento efectivo de los nuevos requerimientos legales, con el máximo respeto a este derecho fundamental, a la protección de datos personales regulado en el artículo 18.4 de la Constitución.

Además, el Ayuntamiento propone un modelo de cumplimiento normativo desde el punto de vista organizativo que sirva de evidencia de las buenas prácticas y medidas de diligencia debida como demostración de su firme compromiso con la garantía en la protección de los datos personales y la seguridad de la información, en el marco de las posibles actuaciones del artículo 28 del RGPD.

El nuevo marco regulatorio relacionado con la protección de uno de los derechos fundamentales propone un nuevo modelo en el que los Responsables del Tratamiento deben adoptar una actitud proactiva en el tratamiento de los datos personales, donde se incluye la aprobación e implantación de las oportunas políticas y directrices internas, dentro de la Gobernanza municipal. Este principio, no puede entenderse sin su vinculación con las medidas de seguridad que deben ser apropiadas al riesgo en los tratamientos realizados y que deben atender a los requerimientos del Esquema Nacional de Seguridad (en adelante ENS), según lo dispuesto en la Disposición Adicional Primera de la LOPDGDD.

Por todo ello, el Ayuntamiento considera preciso adoptar una política interna, delimitando las responsabilidades y funciones de los diferentes órganos del Entidad local, teniendo en cuenta también la posición y funciones que desarrolla el Delegado/a de Protección de Datos, para evitar posibles disfunciones en la aplicación de esta nueva normativa. Pretende, además, coordinar esfuerzos dentro de la organización, definir, implantar y gestionar la protección de datos, distribuyendo las diferentes actuaciones según la LBRL y el Reglamento de Organización y Funcionamiento de las Entidades Locales de 1986, así como las posibles delegaciones que, en su caso, aprueben las corporaciones locales.

TÍTULO I. DISPOSICIONES GENERALES

Artículo 1.—Ámbito objetivo de aplicación

1. Constituye el objeto de esta Política de Protección de datos el establecimiento de los principios, directrices y las responsabilidades en la gestión de las actividades de tratamiento con datos de carácter personal del Ayuntamiento de Candamo, además del diseño de los procedimientos y de las medidas y actuaciones para dar cumplimiento a la normativa vigente en la materia.

2. Esta Política se aplicará a los datos personales que son tratados por el Ayuntamiento como responsable del tratamiento.

3. Esta Política será de obligado cumplimiento a los distintos órganos, servicios y departamentos que conforman la estructura orgánica del Ayuntamiento y para todo el personal con acceso a la información que contenga datos de carácter personal con independencia de su relación como empleado público o como prestador de servicios contratado.

Las medidas podrán también aplicarse al sector público municipal, previo acuerdo del Pleno de la Corporación y de los Órganos de Gobierno de las citadas entidades.

4. La Política de Protección de datos aprobada afectará a la información y datos personales tratados tanto por medios electrónicos, con independencia de los sistemas aplicables para su gestión, como aquellos que sean tratados en soporte papel u otro formato. Esta información se define según las siguientes normas:

a) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos —en adelante RGPD—).

b) Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos de Personales y garantía de derechos digitales, en adelante LOPDGDD).

c) Preceptos vigentes de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

d) Normativa especial o sectorial que puedan contener previsiones en la materia.

e) Jurisprudencia en la materia y las interpretaciones del Comité Europeo de Protección de Datos y de las autoridades de control de la UE, en concreto, las de la Agencia Española de Protección de Datos (AEPD).

f) El Real Decreto 3/2010, de 8 de enero, por el que se aprueba el Esquema Nacional de Seguridad.

5. Las definiciones de los términos contenidos en la presente Política deben interpretarse en el mismo sentido que las del artículo 4 del RGPD.

6. Las presentes instrucciones no serán de aplicación a los datos de personas fallecidas cuyo tratamiento se regirá por lo establecido en la LOPDGDD.

Artículo 2.—Ámbito subjetivo de aplicación

El Ayuntamiento tiene entre sus competencias la potestad de autoorganización, según lo recogido en el artículo 4.1.a) de la LBRL, pudiendo dictar normas con carácter reglamentario para el desarrollo de la misma aplicables a los Órganos de Gobierno municipal, así como a los diferentes servicios y departamentos y a todos los empleados públicos municipales.

Artículo 3.—Principios de protección de datos personales

1. Ayuntamiento tratará los datos personales bajo su responsabilidad conforme a los siguientes principios de protección de datos reconocidos en el artículo 5 del RGPD y demás normativa vigente en la materia:

a) Licitud, lealtad y transparencia: los datos de carácter personal serán tratados de manera lícita, leal y transparente en relación con la persona afectada.

b) Legitimación en el tratamiento de datos personales: solo se tratarán los datos de carácter personal cuando dicho tratamiento se encuentre amparado en alguna de las causas de legitimación establecidas en los artículos 6 y 9 del RGPD, a excepción del interés legítimo que no es de aplicación a las Administraciones Públicas.

c) Limitación de la finalidad: los datos de carácter personal serán tratados para el cumplimiento de fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.

d) Minimización de datos: los datos de carácter personal serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.

e) Exactitud: los datos de carácter personal serán exactos y, en su caso, actualizados siguiendo indicaciones de las personas afectadas; el Ayuntamiento adoptará todas las medidas razonables para que se supriman o rectifiquen, sin dilación, cuando aquellos sean inexactos con respecto a los fines para los que se tratan, según las comunicaciones recibidas por los interesados.

f) Limitación del plazo de conservación: los datos de carácter personal serán mantenidos de forma que se permita la identificación de las personas afectadas el tiempo necesario para los fines que justificaron su tratamiento, o para la presentación de reclamaciones por las personas afectadas o ante la existencia de alguna obligación legal que obligue a su conservación y/o bloqueo, sin perjuicio del cumplimiento de las obligaciones legales en materia de política de gestión documental y archivo aprobado por el Ayuntamiento de acuerdo a los requisitos de la legislación en materia de patrimonio histórico.

g) Integridad y confidencialidad: los datos de carácter personal serán tratados de tal manera que se garantice su seguridad, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas al riesgo del tratamiento. Quienes intervengan en el tratamiento de los datos estarán sujetos al deber de secreto y confidencialidad incluso después de haber concluido la relación con la entidad local, se extremarán estas precauciones en el supuesto de contratación con terceros en los que se traten datos personales, incluso cuando incidentalmente pueda conocer datos personales. La obligación de secreto será complementaria a las obligaciones que puedan tener los empleados públicos por su propia normativa reguladora de su profesión o por la de terceros contratados por el Ayuntamiento.

h) Responsabilidad proactiva: el Ayuntamiento será responsable del cumplimiento de los principios anteriormente señalados y adoptará las medidas técnicas y organizativas que le permitan estar en condiciones de demostrar dicho cumplimiento.

i) Derechos de las personas afectadas: se adoptarán las medidas y procedimientos que garanticen el adecuado ejercicio por las personas afectadas de los derechos de acceso, rectificación, supresión, oposición y, cuando sea posible, limitación del tratamiento y portabilidad respecto de sus datos de carácter personal. Se respetará, en aquellos tratamientos basados en el consentimiento, el derecho a la revocación de este en cualquier momento.

l) Seguridad integral: la seguridad tenderá a la preservación de la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la autenticidad. La seguridad se entiende como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el tratamiento de los datos personales responsabilidad del Ayuntamiento.

m) Gestión de Riesgos: la gestión del riesgo es el conjunto de actividades coordinadas que el Ayuntamiento desarrolla para dirigir y controlar el riesgo, entendiendo como riesgo el efecto de la incertidumbre sobre la consecución de los objetivos que, en el marco del RGPD, es la protección de los derechos y libertades de los titulares de los datos que trata el Ayuntamiento. El análisis y gestión de riesgos son parte esencial del modelo de responsabilidad proactiva propugnado por el RGPD, de forma que permita el mantenimiento de un entorno controlado en el tratamiento de los datos personales, minimizando los riesgos hasta niveles aceptables por el Ayuntamiento. La reducción de estos niveles se realizará mediante la aplicación de medidas de seguridad, que deberán ser adecuadas a lo establecido en el Esquema Nacional de Seguridad, en cumplimiento de la Disposición Adicional Primera de la LOPDGDD.

n) Proceso de evaluación: el Ayuntamiento implantará un proceso de control, verificación, evaluación y valoración periódico de la eficiencia y eficacia de las medidas técnicas y organizativas adoptadas para garantizar la seguridad de los tratamientos de datos personales, siguiendo los requerimientos del ENS.

o) Protección de datos y seguridad desde el diseño: el Ayuntamiento promoverá la implantación del principio de protección de datos desde el diseño con el objetivo de cumplir los requisitos definidos en el RGPD y demás normativa vigente, y, por tanto, los derechos de las personas afectadas de forma que la protección de datos se encuentre presente en las primeras fases de concepción de los diferentes proyectos que afecten a datos personales, incluyendo la implantación de nuevos sistemas de gestión de la información que vayan a implantarse en la entidad local.

p) Consentimiento de la persona afectada, en aquellos tratamientos donde la base de legitimación sea el consentimiento, según el artículo 6.1.a) del RGPD, este debe ser una manifestación de voluntad libre, específica, informada e inequívoca por la que se acepta el tratamiento. La declaración se recabará principalmente por medios escritos sin perjuicio de otras que puedan evidenciar la acción afirmativa de la persona afectada por cualquier otro medio, pero siempre deberá quedar constancia del mismo.

o) Tratamiento de datos de categorías especiales: el Ayuntamiento, tratará aquellos datos personales de categorías especiales en el desempeño de sus competencias propias o delegadas, respetando los principios del RGPD, entre otros el de minimización.

Artículo 4.—Directrices generales en el tratamiento de datos del Ayuntamiento.

Las directrices fundamentales de protección de datos se configuran como objetivos para garantizar el cumplimiento de los principios básicos de la presente política de protección de datos y serán principios inspiradores de las actuaciones del Ayuntamiento siempre que sea preciso el tratamiento de datos personales en las mismas, respetando además el resto del ordenamiento jurídico relacionado con las entidades locales. Para la adecuada implantación de estas directrices y teniendo en cuenta los requerimientos del RGPD y de la vigente normativa se implementarán entre otras las siguientes actuaciones:

a) Creación, gestión y mantenimiento del Registro de actividades de tratamiento, sometido a la debida publicidad en los términos que establezca la normativa vigente, en el Portal de Transparencia de la Entidad local.

b) Se establecerán directrices para que las personas afectadas estén informadas de forma transparente, con un lenguaje entendible y accesible, de los tratamientos de sus datos personales por parte del Entidad local.

c) Se evitarán, en la medida de lo posible, las transferencias internacionales de datos personales fuera de la Unión Europea. En caso de que fuese necesario el tratamiento de datos fuera de la Unión Europea el Ayuntamiento adoptará las medidas técnicas organizativas previstas en el RGPD, debiendo, entre otras:

— Aplicar el principio de transparencia en sus actuaciones, informando pormenorizadamente a las personas afectadas por dicho tratamiento.

— Priorizar el tratamiento de datos en países integrantes del Espacio Económico Europeo o aquellos que cuentan con un nivel adecuado de protección, de acuerdo con el listado publicado al efecto por la Agencia Española de Protección de Datos.

— Verificar que el tratamiento de datos se realiza en empresas adheridas a acuerdos con la Unión Europea en materia de protección de datos como el Escudo de Privacidad.

— Verificar el consentimiento inequívoco de las personas afectadas para dicho tratamiento, si este fuese preciso, preservando la evidencia del mismo.

— Adhesión a normas corporativas vinculantes, cláusulas tipo adoptadas o códigos de conducta por la Comisión Europea.

d) Seguridad en el tratamiento de datos personales: se implantarán los mecanismos necesarios para que cualquier persona que acceda o pueda acceder a los activos de información y a los datos de carácter personal, conozca sus obligaciones y responsabilidades en materia de seguridad, reduciendo el riesgo derivado de un uso indebido de dichos activos, teniendo en cuenta el ciclo de vida del tratamiento de los datos personales desde su incorporación a los sistemas hasta su total destrucción, garantizando la seguridad por defecto.

e) Gestión de los incidentes de seguridad: se implantarán los mecanismos apropiados para el control y minimización del impacto en las personas afectadas, diseñando protocolos para la debida actuación para la gestión y resolución del incidente, teniendo en cuenta la necesidad de comunicar, en los términos previstos en el RGPD, a la AEPD y a las personas afectadas aquellos que puedan ocasionarles especiales perjuicios en su intimidad, interrelacionando estos protocolos con la necesidad de realizar las debidas notificaciones al CCN-CERT u otros organismo competentes en la materia en cumplimiento, entre otras, de las directrices del ENS.

f) Se adoptarán las medidas técnicas, organizativas y procedimentales necesarias para el cumplimiento de la normativa legal vigente en materia de protección de datos de carácter personal, entre ellas las necesarias para la adecuada gestión de los derechos de los personas afectadas por el tratamiento, estableciéndose procedimientos de respuesta rápida a las solicitudes de información o al ejercicio de derechos, adecuados al cumplimiento de los plazos establecidos en la normativa y respetando, en todo caso, el derecho de los personas afectadas a recurrir ante las autoridades de control o bien a presentar reclamación previa ante el Delegado de Protección de Datos de la entidad local.

g) En la gestión indirecta de los servicios de competencia municipal bien mediante empresas externas u otras entidades u organismo se tendrá en cuenta si estas van a acceder a datos personales tratados bajo responsabilidad del Ayuntamiento. En su caso, y en función del acceso que puedan tener, se tendrán en cuenta en los pliegos del contrato la exigencia de medidas técnicas y organizativas precisas, así como la acreditación de la solvencia suficiente en cumplimiento del RGPD y demás normativa vigente en la materia.

Título II. DE LA ORGANIZACIÓN DEL Ayuntamiento

Artículo 5.—Distribución funcional en cumplimiento de la política de protección de datos del Ayuntamiento como responsable del tratamiento

El Ayuntamiento, según las funciones descritas en el artículo anterior, tratará como responsable del tratamiento de los datos personales cuando determine los fines y medios del tratamiento, según la definición del artículo 4 apartado séptimo del RGPD. Para la adecuada gestión de los procedimientos del Ayuntamiento en cumplimiento de la normativa de protección de datos personales, se atribuyen las siguientes responsabilidades y funciones, sin perjuicio de aquellas otras que en desarrollo del presente Decreto puedan aprobarse, la Política de Seguridad de Información de la entidad o en la definición competencial de la Relación de Puestos de Trabajo:

• Al Pleno del Ayuntamiento le corresponde:

— La aprobación de la Política de Privacidad y sus modificaciones.

— Aprobación del Registro de Actividades del Tratamiento y, en su caso, la modificación o supresión de las actividades de tratamiento, según la propuesta formulada por los responsables funcionales y previa decisión de la Comisión informativa competente.

— El ejercicio de acciones judiciales o administrativas en defensa del Entidad local como responsable del tratamiento de los datos personales, para lo cual contará con el asesoramiento del Delegado de Protección de Datos, o bien, en la defensa de los intereses del Ayuntamiento en las posibles reclamaciones por parte de terceros.

• Al Alcalde o Concejal en quien delegue le corresponde:

— La dirección y representación de la Entidad local en materia de protección de datos personales.

— La aprobación/firma de las resoluciones y/o comunicaciones relacionadas con la respuesta al ejercicio de derechos u otras peticiones realizadas por las personas afectadas por el tratamiento de sus datos personales.

— La notificación a la AEPD y/o las personas afectadas aquellos incidentes de seguridad, en su caso.

— La firma de los contratos o actos jurídicos vinculantes de Encargado del Tratamiento con entidades o personas físicas o jurídicas que presten servicios al Ayuntamiento cuando accedan a datos personales.

— La designación, cese o remoción de la persona designada como Delegado/a de Protección de Datos, así como su inscripción ante la AEPD.

— Dictar las instrucciones internas, en desarrollo de los acuerdos o resoluciones ratificados por el Pleno precisas en cumplimiento de la política de protección de datos del Ayuntamiento.

— La presidencia de aquellas comisiones o grupos de trabajo que, cómo asesores del Ayuntamiento puedan crearse para la coordinación de las políticas en materia de protección de datos.

— La designación de responsables funcionales para el mantenimiento y actualización de las actividades del tratamiento incluidas en el Registro de Actividades del Tratamiento.

Las personas que actúan como responsables funcionales de área para la propuesta de creación, modificación o supresión de los Registros de Actividad del Tratamiento, incluyendo el mantenimiento de estos, serán designadas según la distribución funcional de la Relación de Puestos de la Entidad local y el Catálogo de Puestos

• La persona designada como Delegado/a de Protección de Datos: informa y asesora al responsable del tratamiento de las obligaciones en materia de cumplimiento del RGPD, supervisa el cumplimiento, asesorando en las evaluaciones de impacto, lleva a cabo labores de concienciación y formación del personal, coopera con la autoridad de control, además de dar respuesta a las reclamaciones presentadas por los interesados previas al recurso ante la AEPD. El Delegado/a se integrará como vocal en el Comité de Seguridad del Ayuntamiento con voz pero sin voto.

Artículo 6.—La persona designada como Delegado/a de Protección de Datos del Ayuntamiento

El Ayuntamiento deberá designar y comunicar a la AEPD al Delegado/a de Protección de Datos, a fin de dar cumplimiento a lo requerido en el artículo 37 del RGPD.

La persona designada como Delegado/a llevará a cabo las tareas establecidas en el artículo 39 del citado RGPD, las contenidas en la LOPDGDD, así como las establecidas en los criterios y documentos de buenas prácticas que se adopten la Agencia Española de Protección de Datos, en su condición de autoridad de control, o por el Comité Europeo de Protección de Datos.

La persona designada como Delegado/a de Protección de Datos del Ayuntamiento será un órgano municipal o una persona física interna o externa a la entidad que debe reunir las condiciones y la capacitación jurídica y técnica adecuada según lo establecido en la normativa vigente. En todo caso, deberá ser respetado en la independencia de sus actuaciones, además de asignarle los medios materiales y de personal que precise en el desempeño de su trabajo.

En el desempeño de sus tareas, tendrá acceso a los datos personales y procesos de tratamiento del Ayuntamiento para la realización de sus funciones dentro del Entidad local, siendo respetado en la realización de estas.

Artículo 7.—Responsable funcional.

1. Las funciones del Responsable funcional recaerán en la persona titular del órgano o unidad administrativa que gestione cada procedimiento administrativo y en cuyo ámbito se lleve a cabo el tratamiento de los datos de carácter personal, en su caso.

2. El Responsable Funcional colaborará con la persona designada como Delegado/a de Protección de Datos, comunicando aquellas incidencias detectadas o propuestas en la mejora de la gestión de la protección de datos personales.

3. El Responsable Funcional elevará al Pleno de la Corporación la creación, supresión o modificación de las actividades de tratamiento que se realicen bajo su supervisión, previa determinación por la Comisión Informativa competente.

Artículo 8.—Creación de grupos de trabajo.

Los órganos de la dirección del Ayuntamiento a propuesta del Comité de Seguridad o del Delegado de Protección de Datos, dentro de su respectivo ámbito, podrán crear grupos de trabajo específicos para el estudio o análisis de actuaciones concretas del Ayuntamiento, la mejora de los principios recogidos en la presente política. Los grupos de trabajo podrán contar con la asistencia de personas externas a la Entidad local en función de los temas tratados.

Artículo 9.—Obligaciones del personal.

Todos los órganos y unidades del Ayuntamiento prestarán su colaboración en las actuaciones de implementación en la Política de protección de datos.

Todos los empleados municipales, con independencia de la relación de carácter funcionarial o laboral, fijos, interinos o eventuales, que presten servicios en el Ayuntamiento tienen la obligación de conocer y cumplir lo previsto en la presente Política, así como en las normas y procedimientos que la desarrollen.

Todos los empleados públicos del Ayuntamiento, así como cualquier otro personal que pueda prestar sus servicios en el Ayuntamiento tiene el deber de colaborar en la mejora de los procedimientos y requisitos en materia de protección de datos evitando actuaciones que puedan incrementar los riesgos a los que se encuentran expuestos los datos personales, tanto en la función del Ayuntamiento como Responsable del Tratamiento como en la de Encargado. A tal efecto, se establecerán mecanismos de canalización de propuestas o sugerencias en la intranet municipal para el Delegado/a de Protección de Datos.

Artículo 10.—Resolución de conflictos.

La resolución de conflictos entre los diferentes responsables que componen la estructura organizativa de la Política de protección de datos y de aquellos otros que puedan designarse en cumplimiento de las medidas del Esquema Nacional de Seguridad corresponderá, en última instancia, al Alcalde o Concejal en quien delegue, asistido por el Delegado de Protección de Datos.

Título III. DE LA GESTIÓN DE LAS MEDIDAS ORGANIZATIVAS Y TÉCNICAS

Artículo 11.—Categorías de datos personales y de personas afectadas.

1. Con carácter general, Ayuntamiento, trata las siguientes tipologías de datos personales:

a. Identificativos (nombre, apellidos y documento nacional de identidad).

b. De contacto (email, teléfono, dirección).

c. Profesionales (cargo en un municipio o empresa).

d. Académicos: titulaciones

e. Categorías especiales de datos: salud (discapacidad), ideología (política o sindical).

2. Las categorías de las personas afectadas se corresponden con aquellos que mantienen algún tipo de relación con la entidad, entre otros se deben considerar:

a Personas empleadas de la Entidad local.

b. Proveedores y personas empleadas de los prestadores de servicios del Ayuntamiento.

c. Vecinos del municipio.

d. Interesados en expedientes administrativos.

e. Denunciantes o denunciados en procedimientos sancionadores.

Artículo 12.—Licitud del tratamiento.

Los datos personales solo serán tratados para la finalidad para la que fueron recogidos.

Con carácter general, los datos personales no serán cedidos o comunicados a terceros, salvo los supuestos en los que exista una obligación legal o mandato de una autoridad administrativa o judicial. En el supuesto de que el Ayuntamiento precise de comunicar los datos excepcionalmente y al margen de las obligaciones legales o requerimientos, deberá informar a las personas interesadas y, en su caso, requerirles su consentimiento, conforme a las prescripciones del RGPD, además tendrá en cuenta también:

— El contexto de la recogida de los datos, así como la categoría de las personas interesadas y de la naturaleza de los datos personales, debiendo adoptar medidas específicas para los datos de categorías especiales (de salud, biométricas, raza, religión…) según el artículo 9 del RGPD.

— Las posibles consecuencias que puedan derivarse para las personas interesadas del nuevo tratamiento de datos personales no previsto inicialmente.

— La necesidad de garantizar las mismas medidas de seguridad, técnicas y organizativas, para el tratamiento de los datos personales con independencia de las categorías de personas afectadas.

El Ayuntamiento trata los datos personales, con carácter general, en cumplimiento de una obligación legal, artículo 6.1.c) o para el ejercicio de los fines, como misión de interés público o ejercicio de potestad pública, que le han sido atribuidos, según el artículo 6.1 e) del RGPD, o bien para la ejecución de un contrato entre las partes, artículo 6.1 b) del RGPD.

En ocasiones para la realización de concretas actividades de tratamiento podrá requerir de las personas interesadas su consentimiento que deberá ser recogido teniendo en cuenta los siguientes principios que permitan evidenciar que ha sido otorgado de forma libre, voluntaria e informada, así el Entidad local procurará que:

— El consentimiento no sea base de legitimación de un tratamiento cuando exista un desequilibrio entre la persona interesada y el Ayuntamiento, lo que supone que, por cualquier motivo, el Entidad local pueda tener una posición dominante en la relación entre las partes, atendiendo además a su consideración de entidad pública que no permitan el ejercicio libre y voluntario del consentimiento de la persona interesada.

— Se acredite, con carácter general, el consentimiento por escrito, conservando en todo momento la evidencia documental del mismo, sin perjuicio de otros medios que permita la aplicación de las nuevas tecnologías. Si ello no fuese posible, el medio utilizado debe poder permitir la conservación de la clara acción afirmativa de la persona interesada.

— El modelo para recabar el consentimiento utilizado por el Ayuntamiento -pudiendo optar por dos capas de información una primera más sencilla y otra más ampliada a disposición de los personas afectadas- requiriera de una información pormenorizada que incluya: la referencia al Ayuntamiento como responsable del tratamiento, la finalidad, los destinatarios, la realización de transferencias internacionales y cuáles son los derechos en la protección de datos personales, incluida la revocación, y cómo puede ejercitarlos, así como aquellas otras que sean requeridas por la legislación vigentes o los criterios de la AEPD.

— Que en el supuesto de que existan varias finalidades se requerirá el consentimiento individualizado para cada una de ellas, respetando en todo momento la voluntad y la libre elección de la persona interesada que puede confirmar o revocar cualquiera de ellos de forma independiente.

— No podrá supeditarse la ejecución de un contrato al consentimiento de la persona interesada para finalidades distintas al mantenimiento, desarrollo o control de la actividad contractual.

— El lenguaje utilizado para informar a las personas interesadas del tratamiento de los datos debe ser inteligible, sencillo, claro, entendible -con la posibilidad de emplear iconos cuando estos sean aprobados por la autoridad de control competente- y accesible.

— Se deberán establecer mecanismos gratuitos y de fácil acceso que garanticen la posibilidad de revocación del consentimiento en cualquier momento por parte de las personas afectadas.

— El Ayuntamiento garantizará la efectividad inmediata de la revocación del consentimiento, pudiendo conservar solo en el supuesto de que exista una obligación legal, incluida la posibilidad de presentar alegaciones por parte de las personas interesadas.

— La retirada del consentimiento no supone la ilicitud previa del tratamiento que hubiese consentido la persona interesada de forma voluntaria.

Artículo 13.—Información a las personas afectadas.

El Ayuntamiento respetará el principio de transparencia en la información a las personas afectadas por el tratamiento de datos personales, estableciendo diversos canales para la transmisión de la información de carácter gratuito y cumpliendo con las prescripciones de artículo 12 del RGPD. El Ayuntamiento podrá utilizar iconos normalizados para facilitar la transparencia de la información suministrada a las personas interesadas cuando estos hayan sido aprobados por la autoridad de control o el Comité Europeo de Protección de Datos.

La información será la relacionada en el artículo 13 del RGPD y el artículo 11 de la LOPDGDD, además se pondrá a disposición de las personas interesadas en una primera información:

• Identificación del Ayuntamiento como responsable del tratamiento y datos de contacto.

• Forma de canalizar las cuestiones y/o solicitudes al Delegado de Protección de Datos, con sus datos de contacto.

• Finalidad o finalidades del tratamiento y la base jurídica que legitima su tratamiento para el cumplimiento de una obligación legal o misión de interés público o ejercicio de poder público y, en determinados supuestos, el consentimiento o la relación contractual.

• Cesiones o comunicaciones de datos a terceros, con la identificación del fundamento de la comunicación o la existencia de una obligación legal, con referencia a los destinatarios.

• La existencia de transferencias internacionales de datos. En el supuesto de que los datos se traten fuera de la UE se debe indicar la referencia a la existencia de garantía adecuadas conforme a los artículos 46, 47 o 49 del RGPD.

• La posibilidad del ejercicio de derechos reconocidos en el RGPD y el canal para su ejercicio, incluida la posible revocación del consentimiento cuando está sea la base de la licitud del tratamiento de los datos personales.

• Remisión a una información más ampliada en una dirección electrónica u otro medio que permita el acceso a las personas afectadas de forma gratuita, sencilla e inmediata, según lo establecido en el artículo 11 de la LOPDGDD.

Además de esta primera información, se suministrará a las personas interesados la contenida en el artículo 13 en los apartados segundo y tercero del RGPD, sin perjuicio de aquella otra que el Ayuntamiento considere que pueda mejorar la transparencia del Entidad local en el tratamiento de los datos personales.

En el supuesto de que los datos no provengan de la propia persona interesada se debe informar además del contenido recogido en el artículo 14 del RGPD, dentro del plazo establecido, debiendo ser transparentes en las categorías de datos tratados y las fuentes de procedencia de estos, conforme con el artículo 11 de la LOPDGDD.

Artículo 14.—Registro de actividades de tratamiento.

El Ayuntamiento, como medida de carácter organizativo, creará un Registro de actividades del tratamiento, según la definición establecida en el artículo 30 del RGPD, según los criterios recogidos en el artículo 31 de la LOPDGDD.

El Registro de Actividades del tratamiento será aprobado por el Pleno del Ayuntamiento previa consulta con el Delegado de Protección de Datos.

El Registro de Actividades del Tratamiento será publicado en el Portal de Transparencia del Entidad local, según lo establecido en la LOPDGDD y en la Ley 19/2013, de 9 de diciembre, de Transparencia, acceso a la información y buen gobierno. El Registro ofrecerá la información relativa al tratamiento de datos personales en cada una de las fichas, de manera accesible, con un lenguaje sencillo y fácil de entender.

El Registro de Actividades del Tratamiento tendrá formato electrónico y quedará a disposición de la Agencia Española de Protección de Datos.

Cuando el responsable funcional de cada área detecte una nueva operación en la que se traten datos personales que no se encuentren recogidos en los conjuntos de actividades incluidos en el Registro de Actividades, comunicará al Delegado de Protección de Datos la propuesta de incorporación del nuevo tratamiento, iniciando la tramitación del oportuno expediente que será elevado a la Comisión Informativa competente para, en su caso, aprobación en el Pleno municipal.

Asimismo, el responsable funcional deberá mantener actualizado los tratamientos que, en función de los fines le sean atribuidos. Las modificaciones o supresiones serán aprobadas por el Pleno previa consulta al Delegado de Protección de Datos.

El Ayuntamiento desarrollará un procedimiento específico, tramitado en un expediente electrónico de acuerdo con el artículo 70 de la Ley 39/2015, de 1 de octubre, de procedimiento administrativo común, para la tramitación de las citadas modificaciones o supresiones, en el que se contemplarán los plazos de respuesta, aprobación y publicación en el Portal de Transparencia.

La Entidad local cuando actúe como Encargado del Tratamiento, de acuerdo con el artículo 30.3 del RGPD, mantendrá a disposición del Responsable del tratamiento un Registro de actividad que comprenda los requisitos establecidos en el RGPD y el resto de la normativa vigente. Cada responsable funcional podrá proponer las modificaciones oportunas del citado Registro, que será responsabilidad del Pleno previa consulta al Delegado de Protección de Datos.

Artículo 15.—Privacidad desde el diseño.

1. En virtud del principio de privacidad desde el diseño y por defecto, el Ayuntamiento establecerá las medidas necesarias para la protección por defecto y desde el inicio de los procesos de diseño de nuevas tecnologías o modelos de gobernanza, entre otros, respetando los principios relacionados con la privacidad desde el diseño, aplicando diferentes medidas como: la reducción al máximo de los datos personales tratados (aplicación del principio de minimización), seudonimización de los datos personales en cuento esto sea posible, ser transparentes en el tratamiento de datos personales permitiendo a los interesados la supervisión y al responsable la mejora de los sistemas de seguridad de la información.

2. Los principios de privacidad desde el diseño y por defecto serán tenidos en cuenta en la contratación de servicios, cuando se derive de la naturaleza del contrato, debiendo constar así reflejado en los pliegos de prescripciones técnicas, según lo dispuesto en el artículo 126 de la Ley 9/2017, de 8 de noviembre, con contratos del sector público.

Artículo 16.—Análisis de riesgos, evaluación de impacto en la protección de datos y gestión de los riesgos de seguridad de la información.

1. Cuando la información contenga datos de carácter personal se realizará un análisis de riesgos que permita identificar y gestionar los riesgos minimizándolos hasta los niveles que puedan considerarse aceptables, según lo establecido en el RGPD.

El análisis, tendrá en cuenta entre otros, los riesgos para los derechos y libertades de las personas físicas respecto de las actividades de tratamiento con datos personales que lleve a cabo el Ayuntamiento, los sistemas de información que sirven de soporte a las actividades de tratamiento, la tipología de los datos tratados y las categorías de personas afectadas

Asimismo, el Ayuntamiento llevará a cabo una evaluación de impacto de las actividades de tratamiento en la protección de datos personales cuando del análisis realizado resulte probable que el tratamiento suponga un riesgo significativo para los derechos y libertades de las personas, conforme a lo previsto en el artículo 35 del RGPD, teniendo en cuenta también los listados de actividades sujetas a evaluación de impacto publicados por las autoridades de control competentes. También se llevará a cabo una evaluación de impacto antes del inicio de un tratamiento de datos, siempre que así sea preciso en función de lo establecido en el RGPD, la LOPDGDD o las directrices de la AEPD.

2. La gestión de riesgos de seguridad de la información donde se traten datos personales debe realizarse de manera continua, conforme a los principios de gestión de la seguridad basada en el riesgo, teniendo en cuenta la necesidad de establecer reevaluaciones periódicas de los riesgos evaluados, identificando, en su caso, aquellos nuevos que puedan surgir. Deberá considerarse especialmente las modificaciones en el tratamiento de los datos personales incluidos en el Registro de Actividades del Tratamiento.

3. Para el análisis, evaluación y gestión de riesgos se utilizarán las metodologías facilitadas por el Centro Criptológico Nacional (CCN), así como las guías, recomendaciones y herramientas elaboradas por la AEPD y el Comité Europeo.

4. En la realización de los análisis de riesgo y, en su caso, evaluaciones de impacto, deberá contar con el Delegado de Protección de Datos según las funciones atribuidas por el artículo 37 del RGPD.

Artículo 17.—Transferencias Internacionales de Datos.

Con carácter general, la Entidad local no realizará transferencias de datos personales fuera del espacio de la Unión Europea, ámbito de aplicación del RGPD.

En el supuesto de que, excepcionalmente, fuese preciso un tratamiento de datos fuera de la Unión Europea, este deberá realizarse en países que cuenten con un nivel adecuado de protección bien por pertenecer al Espacio Económico Europeo o por haber sido así calificados por la autoridad de control o bien respetando las salvaguardas establecidas en el Capítulo V del RGPD sobre transferencias internacionales y en la LOPDGDD, en aquellos supuestos no regulados por la normativa europea. Entre otras se pueden citar:

• Empresas adheridas a acuerdos internacionales, como el supuesto del Privacy Shield

• Consentimiento de la persona interesada previa información, para realizar la transferencia.

• La transferencia es necesaria para la ejecución o conclusión de un contrato.

• La transferencia es necesaria para el establecimiento, ejercicio o defensa de intereses.

• La transferencia es necesaria para proteger los intereses vitales

Artículo 18.—Notificación de violaciones de seguridad de los datos de carácter personal.

El Ayuntamiento adoptará las medidas necesarias para garantizar la notificación de las violaciones de seguridad de los datos de carácter personal que pudieran producirse a través del procedimiento establecido al efecto, de conformidad con lo dispuesto en el artículo 33 del RGPD, el procedimiento estará vinculado a la comunicación de incidentes de seguridad de la información al CCN-CERT, según las directrices señaladas por el citado organismo.

Igualmente adoptará las medidas procedentes para la comunicación a las personas que pudieran haberse visto afectadas por la violación de seguridad de los datos de carácter personal, conforme a lo dispuesto en el artículo 34 del RGPD, la forma de notificación será desarrollada en el mismo procedimiento del apartado anterior. La comunicación remitida a las personas afectadas se realizará con una explicación accesible, entendible y pormenorizada de los datos de las personas afectadas por el incidente y de las potenciales repercusiones que pueden producirse en la esfera de la intimidad personal o familiar.

En todo caso, se respetarán los plazos establecidos en el RGPD para su notificación, teniendo en cuenta también las directrices que en la materia han sido dictadas por la AEPD o las del Comité Europeo de Protección de Datos.

En la relación con los Encargados del Tratamiento del Ayuntamiento que puedan tratar datos personales se dictarán directrices para la rápida actuación y comunicación de los incidentes de seguridad que puedan producirse.

Artículo 19.—Ejercicio de derechos por las personas interesadas.

Las personas interesadas podrán ejercitar los derechos reconocidos en el RGPD directamente, previa acreditación de su identidad o por medio de un representante, según lo establecido en el artículo 12 del RGPD y el artículo 12 de la LOPDGDD.

La acreditación de la representación podrá realizarse por cualquier medio válido en derecho, incluyendo los medios telemáticos que pueda poner a disposición el Ayuntamiento en su sede electrónica.

El Ayuntamiento para el ejercicio de derechos habilitará diversos canales de comunicación accesibles y gratuitos, facilitando modelos de formularios para una mejor comprensión a las personas afectadas de cómo pueden ejercitar sus derechos. Si entre los canales a disposición de las personas afectadas el Ayuntamiento habilita un medio de comunicación y recepción de las notificaciones a través de su sede electrónica, la identidad podrá acreditarse mediante el DNI-e o certificado electrónico reconocido o cualificado.

Los medios a disposición de las personas interesadas serán los siguientes, sin perjuicio de que la persona interesada pueda presentar la solicitud por otro canal:

• Correo postal.

• Presentación presencial en la Oficina de Asistencia (o registro) de la Entidad local.

• Registro electrónico en la sede electrónica del Ayuntamiento.

• A través de los registros de otras administraciones públicas integradas en ORVE.

En el supuesto de que la persona afectada no presente de forma adecuada su identificación o el Ayuntamiento tenga dudas sobre la identidad de la persona afectada podrá requerirle la subsanación o aportación de documentación adicional.

Para la tramitación de las solicitudes de las personas afectadas Ayuntamiento dictará los procedimientos internos precisos para dar respuesta en tiempo y en la forma elegida, siguiendo lo establecido en el RGPD y en la LOPDGDD.

Artículo 20.—Sensibilización y formación.

Se desarrollarán actividades formativas específicas orientadas a la concienciación y formación del personal que presta sus servicios en el Ayuntamiento, así como a la difusión entre los mismos de esta Política y de las instrucciones y políticas internas que deban desarrollarse.

El Ayuntamiento dispondrá los medios necesarios para que todas las personas con acceso a la información sean informadas acerca de sus deberes en el respeto a la intimidad y la protección de los datos de las personas que se relacionen con el Entidad local, así como de los riesgos existentes en el tratamiento de la información.

El Delegado de Protección de Datos supervisará las acciones de concienciación y formación del personal que participa en las operaciones de tratamiento con datos personales, a fin de garantizar el cumplimiento de esta Política.

Artículo 21.—Medidas de seguridad de la información.

Las medidas de seguridad de la información, según los riesgos evaluados, deberán ser adecuadas al contenido del Esquema Nacional de Seguridad, según lo establecido en la LOPDGDD.

Artículo 22.—Plazo de conservación y bloqueo.

1. La conservación de los datos personales tratados por el Ayuntamiento tendrá en cuenta:

• La terminación de la finalidad por la que fueron recogidos y tratados.

• Los plazos de la gestión de la política documental y archivo del organismo.

• La prescripción de las infracciones o de la posible presentación de reclamaciones con independencia del orden al que pertenezcan.

• Cualquiera obligación legal existente en relación con la conservación de los documentos.

2. Si la Entidad local dispusiese de datos personales en archivos permanentes, el tratamiento de datos personales se fundamentará en el interés público de conservación, según lo previsto en la vigente legislación en materia de archivo documental y conservación del patrimonio.

3. Los datos personales que, una vez finalizado el tratamiento sean conservados para la prescripción de infracciones o presentación de reclamaciones, permanecerán bloqueados según lo previsto en el artículo 32 de la LOPDGDD.

TÍTULO IV. DE LAS RELACIONES CON TERCEROS EN EL TRATAMIENTO DE DATOS PERSONALES

Artículo 23.—Principios generales.

1. En su posición de Responsable del Tratamiento, la Entidad local, dictará instrucciones en los pliegos de contratación que formarán parte del contrato administrativo a los Encargados del Tratamiento, pudiendo, eventualmente, dictar instrucciones no previstas inicialmente por escrito, respetando los principios de la normativa de protección de datos personales, la presente Política y aquellas otras emanadas por la AEPD o el Comité Europeo de Protección de Datos. Se requerirá, especialmente, que el personal que trabaje para los Encargados del Tratamiento haya sido informado y formados sobre la normativa de protección de datos personales y las instrucciones del Ayuntamiento, incluyendo lo relacionado con las medidas de seguridad de la información, además de los deberes de deber de secreto y confidencialidad requerido.

2. Para los tratamientos de datos incidentales por parte de terceros que presten un servicio al Ayuntamiento los pliegos de contratación contemplarán la necesidad de que el contratista informe a sus trabajadores sobre la normativa de protección de datos personales y la necesidad de mantener medidas de diligencia debida, respetando los deberes de secreto y confidencialidad en sus actuaciones.

Artículo 24.—Encargados del Tratamiento del Ayuntamiento.

El Ayuntamiento, en la redacción de los contratos para la prestación de servicio o aquellos otros en los que puedan tratarse datos personales responsabilidad de la Entidad local, tendrá en cuenta los principios en materia de protección de datos del artículo 28 del RGPD en todo el ciclo del tratamiento de los datos personales desde la elección de los contratistas, que deben ofrecer garantías suficientes para aplicar medidas técnicas y organizativas apropiadas respetando la libre concurrencia y competencia en las licitaciones públicas, hasta la finalización de la relación contractual con la devolución o, en su caso, destrucción de los mismos.

Los pliegos de contratación establecerán las medidas que el Ayuntamiento propone para el control, evaluación y, en su caso, auditoría sobre las medidas técnicas y organizativas adoptadas por el Encargado del tratamiento, verificando el grado de cumplimiento de la normativa vigente y de las instrucciones dadas en los contratos al efecto.

En el supuesto de que el Ayuntamiento admita la subcontratación en un encargo del tratamiento, será precisa su autorización previa, con conocimiento detallado de los datos personales personas afectadas, el tratamiento a realizar, las medidas de seguridad de la información, las posibles transferencias internacionales de datos y el resto de las condiciones pactadas entre las partes en materia de protección de datos, requiriéndose la firma de un acuerdo por escrito entre el contratista y el subcontratista autorizado.

TÍTULO V. DE LAS MEDIDAS DE CONTROL Y EVALUACIÓN

Artículo 25.—Revisión y auditoría.

El Ayuntamiento llevará a cabo de forma periódica, cumpliendo con los plazos establecidos en la normativa vigente o a iniciativa propia, una auditoría encaminada a la verificación, evaluación y valoración de la eficacia de las medidas técnicas y organizativas para garantizar el adecuado tratamiento de los datos personales.

En todo caso realizará una auditoría específica y extraordinaria cuando se lleven a cabo modificaciones sustanciales en el sistema de información propio del Entidad local que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas para el tratamiento de los datos personales o cuando se hayan detectado incidentes de seguridad reiterados o ante los cambios de la normativa vigente en materia de seguridad de la información.

Las auditorías serán supervisadas por el Delegado de Protección de Datos.

Se deberá tener en cuenta en las modificaciones de la organización interna de la Entidad local su efecto sobre las medidas organizativas en materia de protección de datos para, en su caso, proceder a realizarse una revisión de estas.

Artículo 26.—Revisión de la Política de protección de datos.

La presente política se someterá a un proceso de revisión a fin de adaptarse a las circunstancias técnicas u organizativas que puedan surgir o en respuesta a las nuevas necesidades en el tratamiento de datos personales por parte del Ayuntamiento. La revisión se realizará con carácter obligatorio cuando entren en vigor modificaciones de las normas que afectan directa o indirectamente a la protección de datos personales o a la estructura o fines del Ayuntamiento.

Disposición adicional primera.—Desarrollo de procedimientos

Corresponderá a la Secretaría municipal del Ayuntamiento, asistido por el Delegado de Protección de Datos, la adopción de los procedimientos, guías e instrucciones técnicas necesarios para el desarrollo de la presente Política.

En el proceso de desarrollo normativo podrá requerirse la colaboración de los responsables funcionales.

Disposición adicional segunda.—Publicidad

La presente Política, en aplicación del principio de transparencia establecido en el RGPD será publicado en el Boletín Oficial del Principado de Asturias y en el portal de transparencia de la Entidad local.

Disposición final única.—Entrada en vigor

Esta Política entrará en vigor a partir del día siguiente a su publicación en el Boletín Oficial del Principado de Asturias.

Candamo, a 3 de diciembre de 2020.—La Alcaldesa.—Cód. 2020-10511.