El Ayuntamiento de Madrid nos ha adjudicado el contrato para la prestación de servicios de soporte destinados a la verificación del grado de adecuación del consistorio y sus organismos autónomos al Reglamento General de Protección de Datos (RGPD) y a la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).

El convenio fija como objetivos la verificación del grado de adecuación del Ayuntamiento a las medidas y controles especificados en el RGPD y en la LOPDGDD así como en su normativa de desarrollo, identificando sus deficiencias y proponiendo las medidas correctoras o complementarias necesarias, según los protocolos de la Agencia Española de Protección de Datos.

En paralelo, el contrato exige constatar si los tratamientos dados de alta en el Registro de Actividades del consistorio madrileño cumplen lo previsto en el RGPD y la LOPDGDD, además de establecer la metodología necesaria para la implantación de ambas normas y para la realización de análisis de riesgos y la evaluación de impacto de protección de datos.

Siguiendo las directrices marcadas, y como paso previo al inicio del proyecto, realizamos un análisis preliminar de todos los tratamientos de datos llevados a cabo por el consistorio, y establecimos una metodología para la implantación de técnicas de análisis de riesgos y evaluaciones de impacto, a través de los pilotos que prevé el RGPD, el Esquema Nacional de Seguridad y otras recomendaciones de la Agencia Española de Protección de Datos.

El proyecto, que se ha ejecutado en 12 semanas, se dividió en dos fases de 30 días. Y ha sido realizado por un director técnico, dos expertos en materia de protección de datos y un experto/a en tecnología aplicada a la protección de datos.

Estructura de control de datos previa del consistorio

El Ayuntamiento ha contado hasta ahora con una Base de Datos de Actividades de Tratamiento (BDAT), que incluye la información requerida en la normativa para el RAT -registro de actividades de tratamiento-, así como información adicional de cada tratamiento, necesaria para la gestión de la protección de datos. Esta BDAT incluye información de casi 350 tratamientos, más de 80 responsables de tratamiento y casi 120 interlocutores en materia de protección de datos.

En el consistorio madrileño, la función de delegado de Protección de Datos la ejerce el Director General de Transparencia, Administración Electrónica y Calidad a través de la Oficina del Delegado de Protección de Datos (ODPD), mientras que la responsabilidad de los tratamientos corresponde a los centros directivos del Ayuntamiento, que se encuadran en Áreas de Gobierno, Distritos y organismos autónomos.

Aplicando esta nueva metodología desarrollado, el Ayuntamiento de Madrid ha conseguido verificar el grado de cumplimiento normativo en el ámbito de protección de datos así como establecer una metodología adecuada a su realidad con la que asegurar la consecución de los objetivos a lo largo del tiempo.