Inicio / Documentacion / LO 7/2021 - Protección de datos municipales

LO 7/2021 - Protección de datos municipales

Cumplimiento de la ley de protección de datos municipales

Versión 1.0

Capítulo 1: Marco normativo

Ámbito de aplicación

La LO 7/2021 se aplica a tratamientos de datos personales realizados por autoridades competentes con fines de:

  • Prevención de infracciones penales
  • Detección de infracciones penales
  • Investigación de infracciones penales
  • Enjuiciamiento de infracciones penales
  • Ejecución de sanciones penales y administrativas

Las Policías Locales son autoridades competentes, por lo que todos sus tratamientos de datos personales quedan sujetos a esta ley, NO al RGPD general.

Diferencias con el RGPD

Aunque comparte principios con el RGPD, la LO 7/2021 tiene particularidades:

AspectoRGPDLO 7/2021
Base legitimadora6 bases (consentimiento, contrato, etc.)Obligación legal (art. 104 CE)
ConsentimientoNecesario en muchos casosNO aplicable (datos municipales)
Derecho de portabilidadExisteNO existe (incompatible con fines municipales)
Derecho de supresiónAmplioMuy limitado (interés público)
Evaluación de impactoCuando hay alto riesgoSiempre para tratamientos nuevos
DPD (DPO)Obligatorio según criteriosSIEMPRE obligatorio

Tipos de datos

La ley distingue entre:

  • Datos personales: Cualquier información sobre persona identificada o identificable (DNI, nombre, dirección, foto)
  • Categorías especiales: Origen racial/étnico, opiniones políticas, religión, salud, orientación sexual, datos genéticos/biométricos. Requieren protección reforzada.
  • Datos de menores: Personas <18 años. Protección especial.
  • Datos de víctimas: Deben distinguirse claramente de datos de sospechosos/condenados.

Capítulo 2: Principios de protección de datos

Licitud, lealtad y transparencia

Los tratamientos deben:

  • Basarse en una habilitación legal (art. 104 CE, leyes de policía)
  • Realizarse de forma leal (sin engaño al interesado)
  • Ser transparentes (informar al interesado salvo que comprometa investigación)

En ayuntamientosmart.com: todos los tratamientos se basan en competencias legales de las policías locales. Se informa a denunciantes y denunciados de sus derechos.

Limitación de la finalidad

Los datos solo pueden tratarse para los fines específicos para los que se recogieron:

  • Datos de denuncias → solo para tramitación de denuncias
  • Datos de sanciones → solo para tramitación de sanciones
  • Datos de atestados → solo para investigación judicial

NO se pueden usar datos de denuncias para fines comerciales, estadísticas no relacionadas, o cesión a terceros no autorizados.

Minimización de datos

Solo se deben recoger datos adecuados, pertinentes y limitados a lo necesario:

  • Para denuncia por hurto: DNI, nombre, descripción de hechos → SÍ necesario
  • Para denuncia por hurto: orientación sexual, religión → NO necesario (salvo que sea relevante para el caso)

El sistema tiene formularios diseñados para recoger solo datos estrictamente necesarios.

Exactitud

Los datos deben ser exactos y actualizarse cuando sea necesario:

  • Si un denunciante informa de cambio de dirección, debe actualizarse
  • Si los datos son inexactos y afectan al interesado, deben rectificarse

Limitación del plazo de conservación

Los datos no pueden conservarse indefinidamente. Plazos según tipo:

  • Denuncias archivadas sin autor: 3 años desde archivo
  • Sanciones prescritas/pagadas: 5 años desde firmeza
  • Atestados judiciales: Hasta resolución judicial firme + 5 años
  • Logs de auditoría: 3 años (ENS)

El sistema tiene procesos automáticos de depuración de datos antiguos cumpliendo plazos legales.

Integridad y confidencialidad

Los datos deben protegerse mediante medidas técnicas y organizativas adecuadas:

  • Cifrado de datos sensibles (DNI, direcciones)
  • Control de acceso basado en roles
  • Auditoría de todos los accesos
  • Formación de usuarios en protección de datos

Capítulo 3: Bases de legitimación

Obligación legal

Los tratamientos de datos municipales se basan en obligación legal derivada de:

  • Constitución Española (art. 104: las Fuerzas y Cuerpos de Seguridad tienen por misión proteger el libre ejercicio de derechos y libertades)
  • Ley Orgánica 2/1986 de Fuerzas y Cuerpos de Seguridad
  • Leyes autonómicas y ordenanzas municipales de gestión municipal
  • Ley de Enjuiciamiento Criminal (obligación de investigar delitos)
  • Ley de Seguridad Vial (obligación de sancionar infracciones de tráfico)

NO se requiere consentimiento del interesado (sería incompatible con fines municipales).

Interés público esencial

Para tratamientos de categorías especiales de datos (salud, origen étnico, etc.), se requiere además interés público esencial:

  • Datos de salud en atestado (ej: lesiones de víctima) → Interés público: justicia
  • Datos de origen étnico (ej: descripción de sospechoso) → Interés público: prevención del delito

Capítulo 4: Derechos de los interesados

Derecho de información

Los interesados deben ser informados:

  • Identidad del responsable del tratamiento (Ayuntamiento - AyuntamientoSmart)
  • Contacto del Delegado de Protección de Datos (DPO)
  • Finalidad del tratamiento (tramitación de denuncia, sanción, etc.)
  • Destinatarios de los datos (juzgados, DGT, otros cuerpos municipales si procede)
  • Plazo de conservación
  • Derechos que le asisten

Esta información se proporciona en el momento de recogida de datos (formulario de denuncia, notificación de sanción).

Derecho de acceso

El interesado puede solicitar:

  • Confirmación de si se están tratando sus datos
  • Acceso a sus datos personales
  • Copia de sus datos

LIMITACIÓN: El acceso puede denegarse o restringirse si compromete:

  • Investigaciones en curso
  • Seguridad pública
  • Prevención, detección e investigación de infracciones
  • Derechos de terceros (víctimas, testigos)

Ejemplo: Un denunciado solicita acceso a su expediente. Si el atestado está en instrucción, puede denegarse hasta que finalice la fase de investigación.

Derecho de rectificación

Si los datos son inexactos, el interesado puede solicitar su rectificación:

  • Error en DNI: debe rectificarse
  • Error en dirección: debe rectificarse
  • Discrepancia en hechos denunciados: puede añadirse como alegación, pero no modificar la denuncia original (integridad)

Derecho de supresión

MUY LIMITADO: Los datos municipales NO pueden suprimirse si son necesarios para:

  • Cumplir obligación legal
  • Formular, ejercer o defender reclamaciones
  • Proteger derechos de otras personas

En la práctica, RARAMENTE procede suprimir datos municipales antes del plazo de conservación.

Derecho de oposición

El interesado puede oponerse al tratamiento por motivos relacionados con su situación particular. El responsable debe:

  • Dejar de tratar los datos SALVO que acredite motivos imperiosos
  • En tratamientos municipales, normalmente existen motivos imperiosos (obligación legal, interés público)

Capítulo 5: Obligaciones del responsable

Responsable del tratamiento

El responsable del tratamiento es el AYUNTAMIENTO (como institución), representado por el Alcalde. Responsabilidades:

  • Garantizar el cumplimiento de la LO 7/2021
  • Implementar medidas técnicas y organizativas
  • Realizar evaluaciones de impacto
  • Designar Delegado de Protección de Datos (DPD)
  • Notificar brechas de seguridad

Delegado de Protección de Datos (DPD/DPO)

OBLIGATORIO para autoridades municipales. Funciones:

  • Informar y asesorar sobre obligaciones de protección de datos
  • Supervisar el cumplimiento de la normativa
  • Asesorar sobre evaluaciones de impacto
  • Cooperar con la AEPD (Agencia Española de Protección de Datos)
  • Punto de contacto con interesados para ejercicio de derechos

Debe tener conocimientos especializados en protección de datos. Puede ser personal propio del ayuntamiento o externo.

Registro de actividades de tratamiento

Debe mantenerse registro de todas las actividades de tratamiento con:

  • Nombre y datos del responsable y DPD
  • Fines del tratamiento
  • Categorías de interesados (denunciantes, denunciados, testigos, etc.)
  • Categorías de datos (identificativos, dirección, hechos, etc.)
  • Destinatarios (juzgados, DGT, etc.)
  • Plazos de supresión
  • Medidas de seguridad

En ayuntamientosmart.com, el registro incluye: módulo denuncias, módulo sanciones, módulo atestados, módulo VioGén, etc.

Evaluación de Impacto de Protección de Datos (EIPD)

Obligatoria para tratamientos que puedan entrañar alto riesgo:

  • Tratamientos que incluyan categorías especiales de datos (salud, origen étnico)
  • Tratamientos a gran escala
  • Uso de nuevas tecnologías (ej: reconocimiento facial, IA)

Para ayuntamientosmart.com se ha realizado EIPD que concluye: riesgo MEDIO, mitigado con medidas de seguridad implementadas.

Notificación de brechas de seguridad

Si se produce una brecha de seguridad que afecte a datos personales:

  1. Notificar a AEPD en 72 horas con: descripción de la brecha, categorías y número de interesados afectados, consecuencias probables, medidas adoptadas
  2. Si hay alto riesgo para derechos de los interesados, notificarlos directamente
  3. Documentar la brecha en el registro de incidentes

Acciones

Imprimir Ver PDF Soporte

Documentos relacionados

En esta página