DATU PERTSONALEN BABESA ETA KONFIDENTZIALTASUNA

Datuen babesa eta informazioaren segurtasuna: araubide juridikoa

Pertsona informatzailearen, pertsona interesdunen eta hirugarren pertsonen datu pertsonalak, hain zuzen ere informazioa kudeatzeko prozesuan biltzen direnak, konfidentzialtasuna bermatuz tratatuko dira; gainera, horien tratamenduan zorrotz beteko dira datu pertsonalen babesari eta informazioaren segurtasunari buruzko araudian ezartzen diren betebeharrak.

Prozesu horretan egin beharreko datuen tratamenduan honako arau hauek aplikatuko dira:

  • 2016/679 (EB) Erregelamendua, Europako Parlamentuaren eta Kontseiluarena, 2016ko apirilaren 27koa (hemendik aurrera, DBEO).
  • 3/2018 Lege Organikoa, abenduaren 5ekoa, Datu pertsonalen babesari eta eskubide digitalen bermeari buruzkoa (hemendik aurrera, DBEDBLO).
  • 7/2021 Lege Organikoa, maiatzaren 26koa, arau-hauste penalak prebenitzeko, detektatzeko, ikertzeko eta epaitzeko eta zehapen penalak betearazteko tratatzen diren datu pertsonalak babesteari buruzkoa (hemendik aurrera, 7/2021 Legea).
  • 311/2022 Errege Dekretua, maiatzaren 3koa, Segurtasunaren Eskema Nazionala (hemendik aurrera, ENS) arautzen duena.
  • 2/2023 Legea, otsailaren 20koa, arau-hausteei eta ustelkeriaren aurkako borrokari buruzko informazioa ematen duten pertsonak babesteko dena (hemendik aurrera, IBL); VI. titulua.

Tratamenduaren arduraduna

Bizkaiko Batzar Nagusietako Mahaiak edukiko du Barne Informazio Sistema abian jartzeko ardura, bai eta datu pertsonalen tratamenduaren ardura ere (IBL, 5.1 art.); Indarrean dagoen arauditik eratorritako eginkizunak eta erantzukizunak bere gain hartuko ditu.

Bizkaiko Batzar Nagusietako Mahaiak dauka Barne Informazio Sistema abian jartzeko ardura, bai eta datuen tratamenduaren ardura ere. Hori dela-eta, Barne Informazio Sistemaren ardura daukan organoari (BISOA) esleitzen dio Barne Informazio Sistemaren ardura.

BISAOk egiteko hauek dauzka: datuak babesteko eskubideak erabiltzeko eskaerak kudeatzea eta ebaztea, eta alegazioak aurkeztea Datuak Babesteko Euskal Bulegoan segurtasun-urratzeak egon daitezkeenean eta salaketak aurkezten direnean. Horrela, interesdunen eskaeren kudeaketa eta kontroleko agintaritza eta erakundeekiko komunikazioak azkartuko dira.

Datu pertsonalak tratatzeko legitimazioa

Administrazio publikoa denez gero, Bizkaiko Batzar Nagusiek barne informazio sistema eduki behar dute (IBL, 31. art.). Arau-hausteei buruzko komunikazioak kudeatzeko behar diren datu pertsonalen tratamenduetan honako hauek beteko dira: IBLren 30.2 artikulua, DBEOren 6.1.c artikulua, DBEDBLOren 8.1 artikulua, eta 7/2021 Legearen 11. artikulua

Barne informazio sistema kudeatzeko behar diren datu pertsonalak baino ez dira tratatuko; kasuak aztertzeko edo ikertzeko behar ez direnean, datu pertsonalak ezabatuko dira (IBL, 2. art.). Pertsona interesdunen interesak eta oinarrizko eskubideak behar bezala babesteko behar diren bermeak ezarriko dira.

Halaber, honako kasu hauetan ere komunikazioetako datu pertsonalak ezabatuko dira:

  • IBLn aipatzen ez diren jokabideei buruzkoak direnean.
  • Egiaztatzen denean informazioa (osorik edo zati bat) faltsua dela. Nolanahi ere egiazkotasun ezak legezkontrakotasuna eragin ahal badu, informazioa prozedura judizialak irauten duen artean gordeko da.
  • Datuak, kategoria berezikoak izanik, tratatu behar ez direnean. Kategoria bereziko datuak (DBEO, 9.1 art.) ez dira beharrezkoak jasotzen diren komunikazioak kudeatzeko. Datu batzuk beharrezkotzat jotzen badira, DBEOren 9.2.g) artikuluan ezartzen dena aplikatu behar da: “Batasuneko edo estatu kideetako zuzenbidean oinarrituta, funtsezko interes publikoko zioak direla bide, tratamendua beharrezkoa da, baina lortu nahi den helburuarekiko proportzionala izan behar du, funtsean datuak babesteko eskubidea errespetatuko du eta interesdunaren oinarrizko interesak eta eskubideak babesteko berezko neurri egokiak zehaztuko dira”.

Barne informazio sistemako datu pertsonalak eskuratzea eta hirugarren pertsonei jakinaraztea

Barne informazio sistemako datuak honako hauek baino ezin dituzte eskuratu (IBL, 31.1 art.):

  • SIIren organo arduraduneko (BISOA) pertsonek eta organo horrek barne informazio sistema kudeatzeko ahalmena eta ikerketa-espedienteak izapidetzeko ahalmena eskuordetzen dizkion pertsonak.
  • Datuak babesteko ordezkariak.
  • Giza baliabideen edo esleitutako organo eskudunaren arduradunak (enplegatu baten kontrako diziplina-neurririk ezarri behar izanez gero).
  • Legelari Nagusiak (jakinarazitako gertaeren inguruan lege-neurrik ezarri behar izanez gero).
  • Kasu bakoitzean datuen tratamendurako izendatutako arduradunek.

Barne informazio sistemako datuak hirugarren pertsonei jakinarazi ahal izango zaizkie hauetarako beharrezkoak izanez gero:

  • Bizkaiko Batzar Nagusietan neurri zuzentzaileak ezartzeko.
  • Zehapen-prozedurak edo zigor-prozedurak izapidetzeko.

Barne informazio sistemak komunikazio anonimoak aurkezteko aukera eman behar du.

Informatzaileak nor den aditzera ematen badu, horren berri agintaritza judizialari, Fiskaltzari edo administrazio-agintaritza eskudunari bakarrik eman ahal izango zaie zigor-ikerketa, diziplina-ikerketa edo zehapen-ikerketa baten esparruan.

Egoera horiek araudian babestuta daude. Beraz, datuak hirugarren pertsonei eman aurretik agintaritza eskudunak idatziz azalduko dio informatzaileari zergatik eman behar den beraren izenaren berri. Ikerketa eta prozedura judiziala arriskua jarri ahal bada, ez da jakinaraziko.

Barne informazio sistemaren aplikazioan jasotzen diren informazioen eta haien inguruko ikerketen erregistro-liburua dago (IBLn ezartzen diren baldintzak betetzeko). Liburu hori ez da publikoa. Liburu horretako erregistro bat edo erregistro baten atal bat honako kasu honetan baino ezin izango da eskuratu: prozedura judizial batean, agintaritza judizial eskudunaren zaintzapean, agintaritza horren autoa dela bide.

Datu pertsonalak gordetzea

Jasotzen diren informazioetako eta horien inguruko ikerketetako datu pertsonalak behar den zentzuzko aldian gordeko dira, IBLn ezartzen dena betetzeko.

Datuak ikerketa hastea erabaki arte baino ez dira gordeko. Komunikaziotik 3 hilabete igaro ondoren ikerketa hasi ez bada, datuak ezabatuko dira (sistemaren funtzionamendurako behar direla frogatu ezean). Kasua oso konplexua bada, datuak beste 3 hilabetean gorde ahal izango dira (hau da, guztira 6 hilabete). Baldin eta 3 edo 6 hilabeteko aldian komunikazioak aurrera egin ez badu, datuak izenik gabe agertu beharko dira (ez da aplikatuko DBEDBLOren 32. artikuluan arautzen den blokeoa).

Jasotzen diren informazioen eta horien inguruko ikerketen erregistro-liburuko datuak behar den zentzuzko aldian gordeko dira, IBLn ezartzen dena betetzeko, 10 urtez gehienez ere.

Interesdunei informazioa eman beharra eta datu pertsonalak babesteko eskaerei erantzun beharra betetzea

Interesdunen datu pertsonalak tratatuko badira, Bizkaiko Batzar Nagusiek honako informazio hau eman behar dute (DBEO, 13. eta 14. art.):

  • Tratamenduaren arduradunaren izena eta harremanetarako datuak.
  • Datuak babesteko ordezkariaren harremanetarako datuak.
  • Datu pertsonalak zertarako erabiliko diren eta horretarako oinarri juridikoak.
  • Datu pertsonalen hartzaileen kategoriak, egonez gero.
  • Noiz arte gordeko diren datu pertsonalak, edo, ezinezkoa denean, aldi hori ezartzeko erabiliko diren irizpideak.
  • Interesdunek eskubidea dutela tratamenduaren arduradunari eskatzeko datu pertsonalak eskuratzeko baimena, bai eta datuen babesari buruzko araudian ezartzen diren beste eskubide batzuk ere.
  • Kontrol-agintaritza baten aurrean erreklamazioa aurkezteko eskubidea dagoela.
  • Datu pertsonalak zer kategoriatakoak (motak) diren.
  • Datu pertsonalen sorburuak.

Datu pertsonalen babesari buruzko informazioa zehatza, argia, ulergarria eta eskuragarria izan behar da (DBEO, 12. art.). Informazioa bi mailatan emango da (DBEDBLO, 11. art.):

1. maila: Datuen babesari buruzko oinarrizko informazioa.

Pertsonak bere datu pertsonalak jakinarazten dituenean ematen da.

  • Tratamenduaren arduradunaren izena.
  • Tratamenduaren helburua.
  • DBEOren 15 - 22 bitarteko artikuluetan ezartzen diren eskubideak erabil daitezkeela.
  • Tratatuko diren datuen kategoriak (motak), egonez gero.
  • Datuen sorburuak, egonez gero.
  • Bigarren mailako informaziorako esteka: jjggbizkaia.eus

2. maila: Datuen babesari buruzko informazio gehigarria.

Informazio honi DBEOren 13. artikuluko gainerako baldintzak aplikatzen zaizkio.

Informazioa eman beharra eta gardentasuna betetzeko behar den gainerako informazioa.

Bizkaiko Batzar Nagusien web orrian (jjggbizkaia.eus) argitaratuko da, “Tratamendu-jardueren erregistroa” atalean.

Interesdunek datuen babesari buruzko araudian ezartzen diren eskubideak erabili ahal izango dituzte (DBEO, 15 - 22 art.). Komunikazioan aipatzen den pertsonak aurkaratzeko eskubidea erabili nahi badu (DBEO, 21. art.), lehentasuna edukiko du datu pertsonalen tratamenduak, kontrako frogarik egon ezean.

Beren eskubideak erabiltzeko, interesdunek idazkia bidali beharko diote Bizkaiko Batzar Nagusietako Zerbitzu Teknikoei. Idazkia aurkezteko zenbait modu daude:

  • Bizkaiko Batzar Nagusietako erregistro orokorra.
  • 39/2015 Legean arautzen diren tokiak.

Gainera, erreklamazioak aurkez ditzakete Datuak Babesteko Euskal Bulegoan.

Bizkaiko Batzar Nagusien tratamendupeko jardueren erregistroa. Datuen babesaren inguruko informazio guztia erregistro honetan bildu behar da. (DBEO, 30. art.):

  • Tratamenduaren arduradunaren izena eta harremanetarako datuak.
  • Tratamenduaren xedeak.
  • Pertsona interesdunen kategoriak.
  • Datu pertsonalen kategoriak.
  • Datu pertsonalak emango zaizkien hartzaileen kategoriak.
  • Datuen sorburua.
  • Datu pertsonalak tratatzeko lege-oinarriak.
  • Datuen kategoriak ezabatzeko ezarritako epealdiak.
  • Segurtasuneko neurri teknikoen eta antolaketa-neurrien azalpena (DBEO, 32. art., 1. apartatua).
  • Interesdunen eskubideak eta eskubideok erabiltzeko modua.
  • Bizkaiko Foru Aldundiaren datuak babesteko ordezkariaren izena eta harremanetarako datuak.

Datuen babesaren gaineko eragina ebaluatzea (DBEE)

Bizkaiko Batzar Nagusiak, tratamenduaren arduraduna den gobernu-organoa diran aldetik, datu pertsonalen tratamenduari ekin aurretik datuen babesaren gaineko eraginaren ebaluazioa (DBEE) egiten dute.

Izan ere, ebaluazioa beharrezkoa da barne informazio sistemaren izaera, irismena, egoera eta xedeak kontuan harturik, arriskuan ipini ahal baitira pertsona interesdunen eskubideak eta askatasunak.

DBEEaren bidez datuen tratamenduen segurtasunerako bermeak eta neurriak aztertu eta sendotu ahal izan dira eta baliagarri dauden neurri teknikoekin eta antolaketa-neurriekin estali ezin den arriskuari aurre egin ahal izan zaio. Hori guztia DBEOren 35. artikulua eta IBLren bigarren xedapen iragankorra betetzeko egin da (3 hilabeteko epealdian).

DBEEa honela egin da:

  • Tratamenduaren eragiketak eta xedeak deskribatu dira: pertsonen eta egingo diren eragiketen datuak eta identifikatzaileak, barne Informazio sisteman bilduko direnak, aztertu dira.
  • Datuak eta identifikatzaileak tratatzeko eragiketak beharrezkoak eta xedeen proportziozkoak direnez aztertu da.
  • Tratamendu-eragiketek interesdunentzat sortzen dituzten arriskuak identifikatuko dira, eta arrisku horiek ezabatzeko neurriak eta bermeak ezarriko dira, honako hauek batez ere: arriskuak izenordeen bitartez minimizatzea (DBEO, 25.2 art.) eta datuak zifratzea, beharrezkoa izanez gero (DBEO, 3.1 art.). Horrez gainera, datuak babesteko araudian (DBEO eta DBEDBLO) eta aplikatu beharreko sektoreko araudian ezartzen diren gainerako betebeharrak ere beteko dira.

Konfidentzialtasuna

Barne informazio sistemaren bidez komunikazio anonimoak aurkeztu eta izapidetu daitezke, hau da, informatzaileak nortzuk diren isilpean gorde daiteke. Halaber, datu pertsonalak agertzen diren komunikazioetan ere hirugarrenei ez zaie jakinaraziko nor den informatzailea (IBLn ezartzen diren kasuetan izan ezik).

Barne informazio sisteman ez da bilduko informatzailea nor den aditzera ematen duen daturik, eta informazioan aipatzen diren interesdunak edo hirugarren pertsonak nor diren isilpean mantentzeko eta beren datuen konfidentzialtasuna babesteko behar diren neurri teknikoak eta antolaketa-neurriak edukiko ditu.

Espedientea izapidetzean, komunikazioan aipatzen diren pertsonek informatzaileen babes-eskubide berak edukiko dituzte (nortasuna isilpean mantentzeko eskubidea eta datuen konfidentzialtasuna bermatzeko eskubidea).