Administración Pública

Protección de datos en las Administraciones Públicas tras el RGPD: obligaciones, garantías y límites a la automatización

8 de abril de 2026
María Elionor Vidal Torres
8 min de lectura
Compartir:
Imagen destacada: Protección de datos en las Administraciones Públicas tras el RGPD: obligaciones, garantías y límites a la automatización

La entrada en aplicación del Reglamento General de Protección de Datos (RGPD) ha supuesto una transformación profunda del tratamiento de datos personales en las Administraciones Públicas. La protección de datos deja de configurarse como una obligación meramente formal para convertirse en un modelo de responsabilidad activa basado en el análisis de riesgos, la transparencia y la protección efectiva de derechos fundamentales.

La guía elaborada por la Agencia Española de Protección de Datos (AEPD) sobre el impacto del RGPD en el sector público identifica con precisión las principales obligaciones jurídicas y organizativas que deben asumir las Administraciones. A partir de este marco, la protección de datos pasa a integrarse en el funcionamiento ordinario de la actividad administrativa.

La identificación de la finalidad y la base jurídica del tratamiento como requisito de legalidad administrativa

Uno de los cambios esenciales introducidos por el RGPD consiste en la obligación de identificar con precisión:

  • La finalidad del tratamiento
  • La base jurídica que lo legitima

En el ámbito de las Administraciones Públicas, la base jurídica habitual no es el consentimiento, sino:

  • El cumplimiento de una misión realizada en interés público
  • El ejercicio de potestades públicas atribuidas por una norma con rango legal

Esto refuerza el principio de legalidad administrativa, ya que todo tratamiento debe vincularse a una competencia previamente establecida por el ordenamiento jurídico.

Cuando se trate de categorías especiales de datos —como salud, ideología, religión u origen étnico— el tratamiento está, con carácter general, prohibido salvo que concurra una habilitación específica prevista en el RGPD y en la normativa nacional o europea aplicable.

La desaparición del consentimiento tácito en el sector público

La guía de la AEPD subraya que el consentimiento solo puede constituir base jurídica válida cuando sea:

  • Libre
  • Informado
  • Específico
  • Inequívoco

En consecuencia, desaparecen los consentimientos tácitos basados en la inacción del interesado, incluso respecto de tratamientos iniciados antes de la aplicación del RGPD.

Esto obliga a revisar:

  • Formularios administrativos
  • Sedes electrónicas
  • Convocatorias públicas
  • Procedimientos selectivos
  • Sistemas de registro electrónico

y cualquier instrumento que implique recogida de datos personales.

El deber de información reforzado como manifestación del principio de transparencia

El RGPD exige que la información proporcionada a los interesados sea:

  • Concisa
  • Transparente
  • Inteligible
  • Fácilmente accesible
  • Redactada en lenguaje claro

Las cláusulas informativas deben incluir, entre otros extremos:

  • Identidad del responsable
  • Finalidad del tratamiento
  • Base jurídica
  • Destinatarios
  • Plazo de conservación
  • Derechos de los interesados
  • Posibilidad de reclamación ante la autoridad de control
  • Datos de contacto del Delegado de Protección de Datos

Esto obliga a revisar instrumentos administrativos habituales como convocatorias de subvenciones, procesos selectivos, formularios electrónicos, procedimientos registrales y actuaciones en servicios sociales.

La obligación de facilitar el ejercicio efectivo de derechos

El RGPD exige que las Administraciones Públicas establezcan mecanismos visibles, accesibles y sencillos —también electrónicos— que permitan a las personas interesadas ejercer sus derechos.

El catálogo completo de derechos incluye:

  • Acceso
  • Rectificación
  • Supresión
  • Oposición
  • Limitación del tratamiento
  • Portabilidad
  • Derecho a no ser objeto de decisiones individuales automatizadas

Las Administraciones deben implantar procedimientos internos capaces de responder dentro de los plazos legales y coordinar la actuación de unidades administrativas y encargados del tratamiento cuando resulte necesario.

El alcance del derecho de portabilidad en las Administraciones Públicas

El derecho de portabilidad permite al interesado recibir sus datos en un formato estructurado, de uso común y lectura mecánica, así como transmitirlos a otro responsable del tratamiento.

Sin embargo, su aplicación en el sector público es más limitada que en el ámbito privado, ya que solo procede cuando:

  • El tratamiento se basa en el consentimiento o en un contrato
  • Y el tratamiento se realiza por medios automatizados

Dado que la mayoría de los tratamientos administrativos se fundamentan en el interés público o el ejercicio de potestades públicas, este derecho tendrá una aplicación práctica más reducida, aunque sigue formando parte del catálogo completo de derechos garantizados por el RGPD.

El derecho a no ser objeto de decisiones individuales automatizadas en el ámbito administrativo

El RGPD reconoce el derecho de los ciudadanos a no ser objeto de decisiones basadas exclusivamente en tratamientos automatizados, incluida la elaboración de perfiles, cuando produzcan efectos jurídicos o afecten significativamente al interesado.

Este derecho adquiere especial relevancia en contextos administrativos como:

  • Concesión automatizada de ayudas
  • Evaluación automatizada de solicitudes
  • Priorización algorítmica de expedientes
  • Sistemas predictivos en servicios sociales
  • Selección automatizada en procedimientos administrativos

Estas decisiones solo podrán adoptarse cuando exista habilitación normativa suficiente o concurran las condiciones previstas en el RGPD, debiendo garantizarse en todo caso:

  • Intervención humana significativa
  • Posibilidad de formular alegaciones
  • Revisión de la decisión adoptada
  • Transparencia sobre los criterios utilizados

El Registro de Actividades de Tratamiento como instrumento central del sistema de cumplimiento

El Registro de Actividades de Tratamiento sustituye la antigua obligación de inscripción de ficheros ante la autoridad de control y pasa a convertirse en el eje organizativo del cumplimiento normativo.

Debe contener información relativa a:

  • Finalidad del tratamiento
  • Base jurídica
  • Categorías de interesados
  • Categorías de datos
  • Destinatarios
  • Transferencias internacionales
  • Medidas de seguridad aplicables

Además, debe mantenerse actualizado y disponible para la autoridad de control cuando lo solicite.

El análisis de riesgos como fundamento del modelo de responsabilidad activa

La guía de la AEPD subraya que todas las medidas previstas en el RGPD dependen del nivel de riesgo que cada tratamiento suponga para los derechos y libertades de los interesados.

Esto implica que cada tratamiento debe someterse a:

  • Identificación de riesgos
  • Evaluación de su impacto potencial
  • Adopción de medidas proporcionadas

En el sector público, estas metodologías deben integrarse con los instrumentos existentes en materia de seguridad de la información, especialmente el Esquema Nacional de Seguridad.

La adaptación de los contratos con encargados del tratamiento

Las Administraciones deben verificar que los encargados del tratamiento ofrecen garantías suficientes de cumplimiento del RGPD antes de formalizar cualquier relación contractual.

La relación debe formalizarse mediante:

  • Contrato
  • Convenio
  • Acto jurídico equivalente

con un contenido mínimo obligatorio superior al exigido por la normativa anterior.

Esta obligación afecta especialmente a servicios tecnológicos externalizados, plataformas electrónicas, mantenimiento informático y servicios de gestión administrativa externalizada.

La implantación de mecanismos de detección y notificación de brechas de seguridad

Las Administraciones deben establecer procedimientos que permitan:

  • Detectar incidentes de seguridad
  • Evaluarlos
  • Documentarlos
  • Notificarlos a la autoridad de control cuando proceda
  • Comunicarlos a los interesados si existe riesgo relevante

Además, el RGPD exige mantener un registro interno de incidentes, incluso cuando no sea necesaria su notificación externa.

Esto introduce una cultura institucional de prevención y respuesta frente a riesgos tecnológicos.

La Evaluación de Impacto en Protección de Datos como instrumento preventivo obligatorio en supuestos de alto riesgo

Cuando un tratamiento pueda implicar un alto riesgo para los derechos y libertades de los ciudadanos, debe realizarse previamente una Evaluación de Impacto en Protección de Datos.

Entre los supuestos más habituales destacan:

  • Tratamientos masivos
  • Utilización de nuevas tecnologías
  • Elaboración sistemática de perfiles
  • Tratamiento de categorías especiales de datos
  • Observación sistemática de personas

No obstante, el RGPD permite excepcionar esta obligación cuando la norma que regula el tratamiento ya haya incorporado una evaluación equivalente en su proceso de elaboración.

La designación obligatoria del Delegado de Protección de Datos en el sector público

Todas las autoridades y organismos públicos deben designar un Delegado de Protección de Datos.

Entre sus funciones destacan:

  • Asesoramiento jurídico especializado
  • Supervisión del cumplimiento normativo
  • Cooperación con la autoridad de control
  • Canal de contacto con ciudadanos
  • Participación en evaluaciones de impacto

El RGPD permite que varias entidades públicas compartan un mismo Delegado en función de su tamaño y estructura organizativa.

Transferencias internacionales de datos en el ámbito administrativo

El RGPD mantiene el modelo tradicional de transferencias internacionales de datos, pero amplía los instrumentos jurídicos disponibles para garantizar la protección adecuada.

Entre ellos destacan:

  • Instrumentos jurídicamente vinculantes entre autoridades públicas
  • Garantías adecuadas sin autorización previa
  • Autorizaciones específicas en ausencia de garantías suficientes

Este régimen resulta especialmente relevante en contextos de cooperación administrativa internacional.

Conclusión: la protección de datos como elemento estructural de la buena administración digital

La guía de la AEPD evidencia que la aplicación del RGPD en las Administraciones Públicas no constituye únicamente una adaptación normativa, sino una transformación estructural del modelo administrativo.

La protección de datos se integra hoy en:

  • El principio de legalidad
  • La transparencia administrativa
  • La seguridad de la información
  • La contratación pública
  • La gestión de riesgos
  • La digitalización del sector público

y en la garantía efectiva de derechos como el acceso a la información personal, la portabilidad cuando proceda o la protección frente a decisiones automatizadas sin intervención humana significativa.

En consecuencia, la protección de datos deja de ser una obligación sectorial para convertirse en un componente esencial del modelo contemporáneo de buena administración.

Sobre la Autora

Elionor Vidal

Elionor Vidal

Técnica Superior Jurídica. Experta en Derecho Administrativo y Protección de Datos con más de 5 años de experiencia en la administración pública de las Islas Baleares y en despacho privado especializado en protección de datos personales.

LinkedInContactar

¿Te ha resultado útil este artículo?

Descubre nuestros cursos de formación especializada en Derecho y Protección de Datos para la Administración Pública.

Ver Cursos Disponibles