Protección de datos

Esta página contiene información sobre la aplicación de la normativa en materia de protección de datos personales en la Xunta de Galicia. Además, completa la información contenida en los modelos y formularios correspondientes a cada procedimiento administrativo o servicio gestionados por la Xunta de Galicia.

¿Quién es el responsable del tratamiento?

El responsable del tratamiento es el órgano o entidad que determina los fines y medios del tratamiento de los datos personales. En el ámbito de la Xunta de Galicia, con carácter general, se configuran como responsables del tratamiento las secretarías generales técnicas de las consellerías y vicepresidencias, y las secretarías generales de la Presidencia. Puede consultar la información y los datos de contacto de cada una de ellas en este enlace.

En el caso de entidades instrumentales del sector público autonómico con personalidad jurídica propia, la figura del responsable del tratamiento recae en la dirección de la entidad. Puede consultar el listado de las diferentes entidades instrumentales del sector público autonómico, incluyendo el organismo al que están adscritas, y acceder a sus datos de contacto aquí.

En determinadas circunstancias se pueden dar situaciones de corresponsabilidad en el tratamiento de los datos personales, esto es, cuando dos o más responsables, para una finalidad común, participan determinando conjuntamente los objetivos y medios del tratamiento. En el Registro de Actividades del Tratamiento de cada responsable se pueden identificar con más detalle los supuestos en los que se da esta situación.

Tratamiento de datos personales por la Administración general y sector público autonómico de Galicia

Constituirá un tratamiento de datos personales cualquier operación realizada sobre datos personales como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, compulsa o interconexión, limitación, supresión o destrucción.

La relación de las actividades de tratamiento de datos personales que realiza cada responsable se encuentra publicada en su Registro de Actividades del Tratamiento, que puede consultar aquí.

Finalidades generales

La Xunta de Galicia podrá tratar los datos personales de la ciudadanía con una o varias de las finalidades que se indican a continuación, siendo este listado meramente informativo y no exhaustivo.

• Gestionar los diferentes procedimientos administrativos e informar a los/as interesados/as sobre su tramitación, realizar las notificaciones que correspondan y tramitar los posibles recursos.
• Verificar los datos y documentos que las personas interesadas declaren a través de las diferentes solicitudes para comprobar la exactitud de los datos.
• Gestionar la Carpeta Ciudadana posibilitando, a través de esta, el acceso al estado de tramitación de sus expedientes conforme a lo previsto en la legislación vigente sobre administración digital.
• Gestionar las consultas, solicitudes de información, quejas y sugerencias, así como comunicaciones en general, presentadas ante los diferentes organismos.
• Remitir periódicamente boletines informativos.
• Ofertar servicios o información personalizada a la ciudadanía.
• Gestionar ayudas y subvenciones.
• Tramitar autorizaciones, licencias y permisos.
• Gestionar inscripciones en registros públicos.
• Gestionar el acceso a documentos y su firma a través de Chave365.
• Gestionar tratamientos de datos con fines de archivo en interés público, investigación científica o histórica o fines estadísticos.
• Gestionar el personal al servicio de la Administración general y del sector público de Galicia.
• Gestionar cualquier otro servicio prestado por la Xunta de Galicia que precise el tratamiento de datos personales.

En todo caso, las personas interesadas pueden consultar el Registro de Actividades del Tratamiento de datos personales en el ámbito de la Xunta de Galicia, el fin de conocer los usos o finalidades concretos de cada tratamiento de datos personales.

Legitimación o bases jurídicas para el tratamiento

El Reglamento general de protección de datos (Reglamento (UE) 2016/679, de 27 de abril) establece en su artículo 6.1 seis posibles bases legitimadoras para el tratamiento de los datos personales, esto es, las condiciones tasadas en las que se considera lícito el tratamiento de los datos personales, que son las siguientes:

• el/la interesado/a dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
• el tratamiento es necesario para la ejecución de un contrato en el que el/la interesado/a es parte o para la aplicación a petición de este/a de medidas precontractuales;
• el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
• el tratamiento es necesario para proteger intereses vitales de la persona interesada o de otra persona física;
• el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
• el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales de la persona interesado/a que requieran la protección de datos personales, en particular cuando el interesado sea un/a niño/a.

Con carácter general, el tratamiento de los datos personales en las Administraciones públicas y, en particular, en la Xunta de Galicia, se basa en la necesidad de dar cumplimiento a una obligación legal, en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable sobre la base del Derecho autonómico, estatal o de la Unión Europea.

También podrá ser base legitimadora para el tratamiento de datos personales la ejecución de un contrato en el que la persona interesada sea parte o para la aplicación de medidas precontractuales, así como el cumplimiento de la relación laboral o estatutaria que vincule a la persona interesada con la Xunta de Galicia.

En supuestos puntuales, el tratamiento podrá legitimarse en base al consentimiento que previamente otorgara la persona interesada para el tratamiento de sus datos personales, bien directamente o a través de representación.

La normativa básica que fundamenta el tratamiento de datos personales legitimados en base al cumplimiento de una obligación legal, al cumplimiento de una misión realizada en interés público o el ejercicio de poderes públicos se detalla en las cláusulas informativas correspondientes a cada tratamiento, así como en el correspondiente Registro de Actividades. A continuación se incluye un listado informativo y no exhaustivo de esta normativa:

• Estatuto de Autonomía de Galicia - acceso a la versión consolidada.
• Ley 16/2010, de 17 de diciembre, de organización y funcionamiento de la Administración general y del sector público autonómico de Galicia (LOFAXGA) - acceso a la  versión consolidada.
• Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las administraciones públicas - acceso a la versión consolidada.
• Ley 40/2015, de 1 de octubre, del régimen jurídico del sector público - acceso a la versión consolidada.
• Ley 38/2003, de 17 de noviembre, general de subvenciones - acceso a la versión consolidada y Ley 9/2007, de 13 de junio, de subvenciones de Galicia - acceso a la versión consolidada.
• Ley 9/2017, de 8 de noviembre, de contratos del sector público - acceso a la versión consolidada.
• Real Decreto legislativo 5/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto básico del empleado público - acceso a la versión consolidada y Ley 2/2015, de 29 de abril, del empleo público de Galicia - acceso a la versión consolidada.
• Decretos de estructura orgánica de la Xunta de Galicia y de cada uno de sus departamentos así como de las entidades instrumentales.

Plazos de conservación

Con carácter general, los datos personales serán conservados mientras sean necesarios para las finalidades de cada tratamiento y, en todo caso, durante los plazos previstos por la legislación aplicable o, si el tratamiento se basara en el consentimiento previamente otorgado por la persona interesada, en tanto esta no lo retire. Así, en los casos en los que el tratamiento se base exclusivamente en el consentimiento, la retirada de este por la persona interesada implicará la supresión de sus datos personales.

Asimismo, a estos efectos será de aplicación la normativa en materia de conservación de la documentación de titularidad pública, en particular la Ley 7/2014, de 26 de septiembre, de archivos y documentos de Galicia.

En algunos casos existe la posibilidad de conservación de los datos personales durante períodos más largos a los previstos inicialmente para su tratamiento, exclusivamente, con fines de archivo en interés público, con fines de investigación científica o histórica o con fines estadísticos.

Destinatarios de los datos

Los datos tratados por los diferentes responsables en la Xunta de Galicia podrán ser comunicados, cuando sea estrictamente necesario y conforme a lo previsto en la legislación vigente, a uno o varios de los destinatarios indicados, siendo este listado meramente informativo y no exhaustivo. Los destinatarios concretos de los datos se especifican en las cláusulas informativas correspondientes a cada procedimiento o servicio.

• Las Administraciones públicas competentes, incluidos juzgados y tribunales y organismos de la Seguridad Social y la Administración tributaria estatal o autonómica según el ámbito de cada tratamiento.
• Otras Administraciones públicas con la finalidad de posibilitar la notificación a las personas interesadas de algún trámite en un procedimiento administrativo o para otras finalidades compatibles para las que se recogieran inicialmente los datos personales.
• Organismos financiadores o cofinanciadores, por ejemplo, dentro de proyectos gestionados con fondos europeos.
• Entidades bancarias en el marco de una relación económica.
• Entidades colaboradoras en la prestación de los servicios.

Asimismo, determinados datos personales podrán ser publicados en diarios oficiales, páginas web corporativas o tablones de anuncios, con el fin de dar la publicidad legalmente exigida a los distintos procedimientos y respetando, en todo caso, las limitaciones establecidas al respecto por la normativa vigente.

Los destinatarios concretos de los datos se especifican en las cláusulas informativas correspondientes a cada tratamiento, así como en el Registro de Actividades correspondiente a los responsables del tratamiento en el ámbito de la Xunta de Galicia.

Seguridad de los datos personales

De conformidad con la Disposición Adicional Primera de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, las medidas de seguridad técnicas y organizativas adoptadas por cada uno de los responsables del tratamiento y destinadas para salvaguardar la confidencialidad y protección de los datos personales, evitando su pérdida, alteración o acceso no autorizado, serán las establecidas en el Anexo II del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración General y del sector público autonómico.