Da 3 Simplificación administrativa de la Generalitat

1. El tratamiento de datos personales biométricos que se realice en cumplimiento de este Decreto-ley se ajustará a lo dispuesto en el régimen jurídico europeo y estatal en materia de protección de datos de carácter personal. Los datos personales que se traten en el ejercicio de los derechos garantizados en este Decreto-ley serán utilizados con las finalidades y los límites previstos.

2. La Administración de la Generalitat deberá implantar el sistema de identificación biométrica con sujeción a la normativa en materia de protección de las personas físicas y el tratamiento de datos personales, respetando, siempre, el derecho de la ciudadanía a decidir que su identificación se realice, exclusivamente, por medios biométricos.

3. A efectos del régimen jurídico en materia de protección de datos se declara de interés público esencial la utilización de sistemas de identificación biométricos para la asistencia en el uso de medios electrónicos a la ciudadanía que no pueden desplazarse físicamente para su atención presencial por personal funcionario habilitado. Este interés se fundamenta en principios y derechos, constitucional y legalmente recogidos, como la obligación de las administraciones públicas de promover las condiciones para que la libertad y la igualdad del individuo y de los grupos en que se integra sean reales y efectivas y la igualdad de los españoles y las españolas ante la ley, sin que pueda prevalecer discriminación alguna por razón de circunstancia personal.

4. Los tratamientos de datos de categorías especiales declarados de interés público esencial deberán respetar las siguientes garantías:

a) Atendiendo al principio de responsabilidad desde el diseño y por defecto previsto en el artículo 25 del Reglamento (UE) 2016/679 del Parlamento Europeo y del consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD), deberán adoptarse, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas. Además, deberá garantizarse que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento y que no serán accesibles, sin intervención de la persona, a un número indeterminado de personas.

b) Se deberá realizar una evaluación de impacto relativa a la protección de datos conforme a lo dispuesto en el artículo 35.3 del RGPD con carácter previo a la implantación de sistemas de identificación biométricos. Periódicamente o, al menos, cuando exista un cambio del riesgo que representen estas operaciones de tratamiento, el responsable examinará si el tratamiento es conforme con la evaluación de impacto.

c) Deberán adoptarse las medidas de seguridad necesarias conforme a lo previsto en el artículo 32 del RGPD, que deberán ser lo más rigurosas que permita el estado de la técnica teniendo en cuenta que se están tratando datos biométricos cuyo tratamiento es excepcional y que suponen un alto riesgo para los derechos y libertades de las personas físicas. Entre dichas medidas se incluirán, al menos, las siguientes:

- protección contra programas o copias maliciosas;

- reevaluación bienal del sistema, mediante auditoría externa suscrita por una empresa distinta a la que realizó la anterior, sobre la idoneidad de las medidas de seguridad y organizativas del sistema y su eficacia frente a la constante evolución de los riesgos;

- disponer de mecanismos que permitan asegurar la trazabilidad de los accesos y auditar su uso adecuado, garantizando su integridad y asociación temporal a fuentes de tiempo fiables;

- refuerzo del control de acceso a los sistemas operativos y a las aplicaciones que dan soporte al tratamiento de datos biométricos.

d) Cuando el tratamiento se vaya a realizar por un encargado del tratamiento, deberá seleccionarse uno que ofrezca garantías suficientes y haberse suscrito un contrato con el contenido del artículo 28 del RGPD, en el que deberá quedar plenamente garantizado que el encargado actuará solo siguiendo instrucciones del responsable, debiendo dichas instrucciones contemplar todas las garantías necesarias.