Jueves, Octubre 23, 2025 - 16:24

Protección de datos personales en el ámbito municipal: obligaciones, riesgos y buenas prácticas.

La protección de datos personales es uno de los temas que más ha transformado la forma de trabajar en la Administración local. Lo que antes se veía como un requisito burocrático más, hoy es una obligación jurídica de primer nivel y, además, un pilar esencial de la confianza ciudadana.

Los ayuntamientos manejan diariamente información muy sensible: datos de padrón, expedientes sociales, tributos, denuncias, videovigilancia o personal laboral. 

El Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) establecen un marco jurídico exigente que afecta de forma directa a la actividad municipal. Esta circular tiene como objetivo ofrecer una síntesis práctica de las principales obligaciones y recomendaciones aplicables al ámbito local, desde una perspectiva jurídica y organizativa.

El Ayuntamiento como responsable del tratamiento.

De acuerdo con el artículo 4 del RGPD, el responsable del tratamiento es la entidad que determina los fines y medios de la gestión de datos personales. En el ámbito local, el responsable es el propio Ayuntamiento, sin perjuicio de las competencias de sus organismos autónomos o entidades dependientes.

Las obligaciones esenciales son las siguientes:

• Licitud, lealtad y transparencia: los datos deben tratarse de forma legítima y transparente frente al ciudadano.
• Registro de actividades de tratamiento: debe mantenerse actualizado y disponible para la autoridad de control.
• Seguridad y confidencialidad: es obligatorio aplicar medidas técnicas y organizativas adecuadas.
• Notificación de brechas de seguridad: ante incidentes relevantes, la comunicación a la AEPD debe realizarse en un máximo de 72 horas.

El Delegado de Protección de Datos (DPD): designación y funciones.

La designación de un Delegado de Protección de Datos (DPD) es obligatoria para todos los ayuntamientos, conforme al artículo 37 del RGPD.

El DPD actúa como figura garante y asesora, con independencia funcional respecto del resto del personal. Sus principales funciones son:

• Informar y asesorar al responsable o encargado del tratamiento.
• Supervisar el cumplimiento de la normativa y de las políticas internas.
• Cooperar con la Agencia Española de Protección de Datos (AEPD).
• Servir de punto de contacto con los interesados y con la autoridad de control.

Se recomienda mantener registro documental de las consultas que se realicen al DPD y de los informes emitidos, a efectos probatorios de diligencia.

Principio de minimización y tratamiento proporcional.

Uno de los pilares del RGPD es el principio de minimización de datos, según el cual los datos personales deben ser adecuados, pertinentes y limitados a lo estrictamente necesario para la finalidad prevista.

En la práctica municipal, esto implica revisar formularios, procedimientos y publicaciones para evitar la recopilación o difusión de información innecesaria (por ejemplo, listados con nombres completos o datos identificativos en tablones de anuncios, redes sociales o webs municipales).

Asimismo, debe aplicarse el principio de protección de datos desde el diseño y por defecto, incorporando este análisis previo en toda nueva aplicación informática o trámite administrativo.

Cuestiones frecuentes en el ámbito local.

• Videovigilancia: solo puede emplearse para fines legítimos de seguridad. Es obligatorio colocar carteles informativos y conservar las grabaciones un máximo de 30 días, salvo utilización como prueba.
• Redes sociales municipales: las publicaciones deben respetar los derechos de imagen y la confidencialidad. No deben difundirse fotografías o datos personales sin consentimiento o habilitación legal.
• Transparencia y protección de datos: el acceso a la información pública debe ponderarse con la protección de datos personales, especialmente en expedientes disciplinarios, subvenciones o listados de beneficiarios.

• Notificaciones administrativas y confidencialidad postal: debe garantizarse que los sobres o soportes externos no contengan información que permita identificar el contenido o la situación personal del destinatario.

  Recientemente, la Agencia Española de Protección de Datos (AEPD) ha resuelto el procedimiento sancionador PS-00258-2023, en el que se declara que el Ayuntamiento de Vigo vulneró el principio de integridad y confidencialidad (art. 5.1 f) del RGPD) al enviar notificaciones por correo postal en sobres donde figuraban expresiones como 'Diligencia de embargo' o 'Providencia de apremio', visibles desde el exterior.

  La Agencia consideró que tales menciones permitían a terceros conocer datos económicos y administrativos del interesado, constituyendo un acceso no autorizado a información personal. El Ayuntamiento reconoció los hechos y corrigió su práctica sustituyendo esas referencias por la expresión genérica 'Notificación administrativa'.

  Este caso pone de relieve la importancia de revisar los procedimientos de notificación postal. La confidencialidad debe preservarse incluso en los aspectos aparentemente formales del trámite administrativo.

Recomendaciones de la Asesoría Jurídica.

Para reforzar el cumplimiento y reducir riesgos jurídicos, se recomienda a las entidades locales:

• Revisar y actualizar el registro de actividades de tratamiento.
• Mantener al día el contrato de servicios del DPD, si se realiza de forma mancomunada.
• Implantar protocolos internos sobre brechas de seguridad y derechos de los interesados.
• Formar al personal municipal en materia de confidencialidad y buenas prácticas.
• Documentar las actuaciones y decisiones en materia de protección de datos.

Conclusión.

La protección de datos personales no debe entenderse solo como una carga normativa, sino como una garantía esencial del servicio público y de la confianza ciudadana. Cumplir el RGPD y la LOPDGDD significa proteger no solo los derechos de las personas, sino también la seguridad jurídica y la reputación institucional del Ayuntamiento.

Reiteramos la importancia de integrar la cultura de protección de datos en toda la organización municipal y quedamos a su disposición para resolver cualquier duda o colaborar en la implementación de buenas prácticas.

ALCALDEALDIA