dijous, octubre 23, 2025 - 16:20

Protecció de dades personals en l' àmbit municipal: obligacions, riscos i bones pràctiques.

La protecció de dades personals és un dels temes que més ha transformat la forma de treballar en l' Administració local. El que abans es veia com un requisit burocràtic més, avui és una obligació jurídica de primer nivell i, a més, un pilar essencial de la confiança ciutadana.

Els ajuntaments manegen diàriament informació molt sensible: dades de padró, expedients socials, tributs, denúncies, videovigilància o personal laboral. 

El Reglament (UE) 2016/679 (RGPD) i la Llei Orgànica 3/2018, de Protecció de Dades Personals i Garantia dels Drets Digitals (LOPDGDD) estableixen un marc jurídic exigent que afecta de forma directa l'activitat municipal. Aquesta circular té com a objectiu oferir una síntesi pràctica de les principals obligacions i recomanacions aplicables a l' àmbit local, des d' una perspectiva jurídica i organitzativa.

L' Ajuntament com a responsable del tractament.

D' acord amb l' article 4 del RGPD, el responsable del tractament és l' entitat que determina els fins i mitjans de la gestió de dades personals. En l' àmbit local, el responsable és el propi Ajuntament, sens perjudici de les competències dels seus organismes autònoms o entitats dependents.

Les obligacions essencials són les següents:

• Licitud, lleialtat i transparència: les dades s' han de tractar de forma legítima i transparent davant el ciutadà.
• Registre d' activitats de tractament: s' ha de mantenir actualitzat i disponible per a l' autoritat de control.
• Seguretat i confidencialitat: és obligatori aplicar mesures tècniques i organitzatives adequades.
• Notificació de bretxes de seguretat: davant incidents rellevants, la comunicació a l' AEPD s' ha de realitzar en un màxim de 72 hores.

El Delegat de Protecció de Dades (DPD): designació i funcions.

La designació d'un Delegat de Protecció de Dades (DPD) és obligatòria per a tots els ajuntaments, conforme a l'article 37 del RGPD.

El DPD actua com a figura garant i assessora, amb independència funcional respecte de la resta del personal. Les seves principals funcions són:

• Informar i assessorar el responsable o encarregat del tractament.
• Supervisar el compliment de la normativa i de les polítiques internes.
• Cooperar amb l'Agència Espanyola de Protecció de Dades (AEPD).
• Servir de punt de contacte amb els interessats i amb l' autoritat de control.

Es recomana mantenir registre documental de les consultes que es realitzin al DPD i dels informes emesos, a efectes probatoris de diligència.

Principi de minimització i tractament proporcional.

Un dels pilars del RGPD és el principi de minimització de dades, segons el qual les dades personals han de ser adequades, pertinents i limitades a l' estrictament necessari per a la finalitat prevista.

En la pràctica municipal, això implica revisar formularis, procediments i publicacions per evitar la recopilació o difusió d'informació innecessària (per exemple, llistats amb noms complets o dades identificatives en taulers d'anuncis, xarxes socials o webs municipals).

Així mateix, s' ha d' aplicar el principi de protecció de dades des del disseny i per defecte, incorporant aquesta anàlisi prèvia en tota nova aplicació informàtica o tràmit administratiu.

Qüestions freqüents en l' àmbit local.

• Videovigilància: només es pot emprar per a fins legítims de seguretat. És obligatori col·locar cartells informatius i conservar les gravacions un màxim de 30 dies, llevat d'utilització com a prova.
• Xarxes socials municipals: les publicacions han de respectar els drets d' imatge i la confidencialitat. No s' han de difondre fotografies o dades personals sense consentiment o habilitació legal.
• Transparència i protecció de dades: l' accés a la informació pública s' ha de ponderar amb la protecció de dades personals, especialment en expedients disciplinaris, subvencions o llistats de beneficiaris.

• Notificacions administratives i confidencialitat postal: s' ha de garantir que els sobres o suports externs no continguin informació que permeti identificar el contingut o la situació personal del destinatari.

  Recentment, l'Agència Espanyola de Protecció de Dades (AEPD) ha resolt el procediment sancionador PS-00258-2023, en el qual es declara que l'Ajuntament de Vigo va vulnerar el principi d'integritat i confidencialitat (art. 5.1 f) del RGPD) en enviar notificacions per correu postal en sobres on figuraven expressions com 'Diligència d'embargament' o 'Providència de constrenyiment',  visibles des de l' exterior.

  L' Agència va considerar que aquestes mencions permetien a tercers conèixer dades econòmiques i administratives de l' interessat, constituint un accés no autoritzat a informació personal. L'Ajuntament va reconèixer els fets i va corregir la seva pràctica substituint aquestes referències per l'expressió genèrica 'Notificació administrativa'.

  Aquest cas posa en relleu la importància de revisar els procediments de notificació postal. La confidencialitat s' ha de preservar fins i tot en els aspectes aparentment formals del tràmit administratiu.

Recomanacions de l' Assessoria Jurídica.

Per reforçar el compliment i reduir riscos jurídics, es recomana a les entitats locals:

• Revisar i actualitzar el registre d' activitats de tractament.
• Mantenir al dia el contracte de serveis del DPD, si es realitza de forma mancomunada.
• Implantar protocols interns sobre bretxes de seguretat i drets dels interessats.
• Formar el personal municipal en matèria de confidencialitat i bones pràctiques.
• Documentar les actuacions i decisions en matèria de protecció de dades.

Conclusió.

La protecció de dades personals no s' ha d' entendre només com una càrrega normativa, sinó com una garantia essencial del servei públic i de la confiança ciutadana. Complir el RGPD i la LOPDGDD significa protegir no només els drets de les persones, sinó també la seguretat jurídica i la reputació institucional de l'Ajuntament.

Reiterem la importància d'integrar la cultura de protecció de dades en tota l'organització municipal i us recordem que compteu amb el suport d'aquesta Assessoria Jurídica per implantar i mantenir un sistema de protecció de dades eficaç i adaptat al RGPD i la LOPDGDD. Oferim assessorament integral en l'elaboració del protocol municipal, anàlisi de tractaments i capacitació del personal.

ALCALDEALDIA