Resolución de 16 de junio de 2026, del Consejo de Transparencia y Protección de Datos de Andalucía, por la que se aprueba el Plan de Control e Inspección sobre Protección de Datos en el Sector Público Andaluz 2026-2027.
Atención: El texto que se muestra a continuación ha sido extraído de los mismos ficheros que se han utilizado para obtener el fichero PDF correspondiente del BOJA oficial y auténtico, habiéndose suprimido todas las imágenes, ciertas tablas y algunos textos de la versión oficial al existir dificultades de edición. Para consultar la versión oficial y auténtica de esta disposición puede descargarse el fichero PDF firmado de la disposición desde la sede electrónica del BOJA o utilizar el servicio de Verificación de autenticidad con CVE 00339480.
El artículo 82 de la Ley Orgánica 2/2007, de 19 de marzo, de reforma del Estatuto de Autonomía para Andalucía, establece que «corresponde a la Comunidad Autónoma de Andalucía la competencia ejecutiva sobre protección de datos de carácter personal, gestionados por las instituciones autonómicas de Andalucía, Administración autonómica, Administraciones locales, y otras entidades de derecho público y privado dependientes de cualquiera de ellas, así como por las universidades del sistema universitario andaluz».
La Ley 1/2014, de 24 de junio, de Transparencia Pública de Andalucía (en adelante, LTPA), crea en su artículo 43, el Consejo de Transparencia y Protección de Datos de Andalucía (en adelante, el Consejo) como autoridad independiente de control en materia de protección de datos y de transparencia en la Comunidad Autónoma de Andalucía.
Una de estas funciones, prevista en el artículo 48 de la citada LTPA, asignada a la Dirección del Consejo consiste en desempeñar las funciones previstas en la legislación sobre protección de datos para su ejercicio por las agencias autonómicas.
Por su parte, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD) en su artículo 57, relativo a las autoridades autonómicas de protección de datos, establece que:
«1. Las autoridades autonómicas de protección de datos personales podrán ejercer las funciones y potestades establecidas en los artículos 57 y 58 del Reglamento (UE) 2016/679, de acuerdo con la normativa autonómica, cuando se refieran a:
a) Tratamientos de los que sean responsables las entidades integrantes del sector público de la correspondiente Comunidad Autónoma o de las Entidades Locales incluidas en su ámbito territorial o quienes presten servicios a través de cualquier forma de gestión directa o indirecta.»
Entre las funciones atribuidas al Consejo en virtud del artículo 57 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, en adelante RGPD), se encuentran: Controlar y llevar a cabo investigaciones sobre la aplicación del RGPD, así como promover la sensibilización de los responsables y encargados del tratamiento acerca de las obligaciones que les incumben en virtud del mismo.
En el año 2023, el Consejo aprobó el primer Plan de Control e Inspección sobre Protección de Datos en el Sector Público Andaluz, abarcando el periodo 2023-2025. Dicho Plan contemplaba cuatro líneas de actuación dirigidas a verificar e impulsar las designaciones de Delegados de Protección de Datos en el sector público andaluz, comprobar el cumplimiento del marco de responsabilidad proactiva en proyectos que hacen uso intensivo de nuevas tecnologías, verificar las obligaciones en materia de cookies en los portales web institucionales y controlar la realización de análisis de riesgos y evaluaciones de impacto relativas a la protección de datos. Con carácter eminentemente sensibilizador y preventivo, el Plan se orientó a proporcionar orientaciones y directrices en materia de protección de datos.
Los resultados obtenidos durante su ejecución han sido satisfactorios en cuanto al logro de los objetivos de sensibilización establecidos. Destaca especialmente el incremento en las designaciones de Delegados de Protección de Datos en los Ayuntamientos andaluces, alcanzando el 88% de los municipios con una cobertura del 96,73% de la población andaluza, así como el desarrollo de más de cien actuaciones inspectoras en las diferentes líneas de actuación. La colaboración de las entidades con la función inspectora ha sido mayoritariamente satisfactoria, aportando la documentación requerida y mostrando disposición para atender las recomendaciones formuladas. No obstante, la experiencia obtenida ha evidenciado la necesidad de mejorar determinados aspectos operativos del Plan, especialmente en lo relativo a la metodología de requerimiento y análisis de información, a fin de garantizar la sostenibilidad de las actuaciones inspectoras, sin merma de su rigor técnico. Estas lecciones aprendidas, junto con la evolución del marco normativo y las necesidades detectadas en el sector público andaluz, justifican la aprobación del presente Plan de Control e Inspección sobre Protección de Datos en el Sector Público Andaluz para el período 2026-2027, que manteniendo el carácter preventivo y sensibilizador de su predecesor, incorpora mejoras metodológicas destinadas a hacer más eficiente la labor de control y orientación del cumplimiento normativo en materia de protección de datos.
Así, este Plan de Control e Inspección sobre Protección de Datos en el sector público andaluz abarcará los ejercicios 2026 y 2027, y se divide en las siguientes cuatro líneas de actuación.
La Línea 1 estará dirigida al control de la vigencia de la designación del Delegado de Protección de Datos y del cumplimiento de la obligación de publicar sus datos de contacto en el sector público andaluz.
La Línea 2 tiene como objetivo verificar el cumplimiento de la responsabilidad proactiva en proyectos que traten datos personales haciendo un uso intensivo de nuevas tecnologías y que, por su naturaleza, alcance, contexto o fines, pudieran entrañar un alto riesgo para los derechos y libertades de las personas físicas.
La Línea 3 pretende verificar la integración de la protección de datos en la contratación del sector público andaluz.
La Línea 4 tiene por objeto verificar la integración de la protección de datos en la actividad evaluadora de los Comités de Ética de la Investigación en Andalucía, tanto en lo relativo a la integración de un delegado de protección de datos o experto en su composición como a la emisión de los informes previos exigidos por la legislación vigente.
Por todo lo expuesto, esta Dirección, en ejercicio de las funciones atribuidas por el artículo 10.3.a) de los Estatutos del Consejo de Transparencia y Protección de Datos de Andalucía, aprobados por Decreto 434/2015, de 29 de septiembre,
RESUELVE
Primero. Aprobación y vigencia del Plan de Control e Inspección sobre Protección de Datos en el Sector Público Andaluz 2026-2027.
Se aprueba el Plan de Control e Inspección sobre Protección de Datos en el Sector Público Andaluz 2026-2027, cuyo contenido se incluye como anexo a esta resolución. La vigencia del Plan será desde su publicación en el Boletín Oficial de la Junta de Andalucía hasta el 31 de diciembre de 2027. No obstante, las líneas de actuación del presente Plan, total o parcialmente, podrán prorrogarse hasta el 31 de diciembre de 2028 mediante Resolución de la Dirección del Consejo de Transparencia y Protección de Datos de Andalucía, adoptada con anterioridad al 1 de diciembre de 2027, previa memoria justificativa del Área de Protección de Datos. La prórroga determinará la actualización de la denominación del Plan, que pasará a ser «Plan de Control e Inspección sobre Protección de Datos en el Sector Público Andaluz 2026-2028», así como la adaptación de los Protocolos de Actuación correspondientes a las líneas prorrogadas.
Segundo. Planificación y desarrollo del Plan.
1. Para el adecuado desarrollo de cada una de las líneas de actuación del Plan, se elaborará un protocolo en el que se describan los objetivos generales y detallados de las mismas, los criterios para la selección de las entidades directamente afectadas, la metodología a emplear para su desarrollo y el calendario previsto para su realización.
2. El Área de Protección de Datos podrá ampliar la muestra de entidades a inspeccionar en cada una de las Líneas, de acuerdo con los criterios de selección fijados en los correspondientes protocolos.
3. Sin perjuicio de las actuaciones de oficio, derivadas de la presentación de reclamaciones o de las notificaciones de brechas de seguridad de los datos personales que pudieran realizarse, de acuerdo con los poderes de investigación y correctivos atribuidos al Consejo por el artículo 58 del RGPD, el Plan aprobado tiene un carácter eminentemente sensibilizador y preventivo, con el objetivo de proporcionar orientaciones y directrices en materia de protección de datos para facilitar el cumplimiento de la normativa de protección de datos por el sector público.
Tercero. Seguimiento del Plan.
1. Tras la finalización del Plan, el Área de Protección de Datos elevará una propuesta de informe a la Dirección del Consejo donde consten los resultados por cada una de las líneas de actuación y que incluya posibles propuestas para incluir en planes posteriores, basándose en la información y las conclusiones obtenidas.
2. Sin perjuicio de lo anterior, durante el desarrollo del Plan la Dirección del Consejo informará semestralmente a la Comisión Consultiva de la Transparencia y la Protección de Datos sobre la ejecución del Plan, para lo que podrá requerir al Área de Protección de Datos la información que considere necesaria.
3. Teniendo en cuenta los resultados del Plan y de los procedimientos que pudieran haberse iniciado como consecuencia del mismo, la Dirección del Consejo podrá dictar circulares de carácter general para el mejor cumplimiento de las obligaciones en materia de protección de datos en el sector público andaluz, en virtud del artículo 57.2 de la LOPDGDD.
Cuarto. Deber de colaboración.
El Consejo, en su condición de autoridad independiente de control en materia de protección de datos en la Comunidad Autónoma de Andalucía, y en virtud de los poderes de investigación otorgados a las autoridades de control por el artículo 58.1 del RGPD, así como de lo dispuesto en el artículo 16.5 del Decreto 434/2015, de 29 de septiembre, por el que se aprueban los Estatutos del Consejo, podrá solicitar la colaboración de los sujetos obligados al cumplimiento de las obligaciones de protección de datos a los efectos de que aporten cualquier información o documentación que les sea requerida para el desarrollo y cumplimiento del Plan.
Quinto. Publicación en el Boletín Oficial de la Junta de Andalucía.
Se ordena la remisión de la presente resolución al Boletín Oficial de la Junta de Andalucía para su publicación.
Sevilla, 16 de junio de 2026.- El Director, Jesús Jiménez López.
ANEXO
Plan de Control e Inspección sobre Protección de Datos en el Sector Público Andaluz 2026-2027
El Plan de Control e Inspección sobre Protección de Datos en el Sector Público Andaluz 2026-2027 consta de las siguientes líneas:
Línea 1. Control de la vigencia de la designación del Delegado de Protección de Datos y del cumplimiento de la obligación de publicar sus datos de contacto en el sector público andaluz.
Descripción: El RGPD establece la figura del Delegado de Protección de Datos (DPD) como un elemento clave dentro del modelo de responsabilidad proactiva propugnado por esta norma. Su función es prestar al responsable la asistencia y asesoramiento necesarios en el cumplimiento de la normativa de protección de datos y supervisar su cumplimiento.
Los artículos 37, 38 y 39 del RGPD regulan su designación, su posición en la organización y sus funciones.
En particular, el artículo 37.1 del RGPD establece los casos en que un responsable del tratamiento debe designar un DPD, siendo uno de ellos el descrito en el apartado a) de dicho precepto: «siempre que el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial».
La LOPDGDD abunda en la regulación de esta figura. Su artículo 34.3 establece que «los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria». Dichos preceptos obligan, por tanto, a los organismos del sector público andaluz a designar un delegado de protección de datos y a comunicarlo a este Consejo. Igualmente, el artículo 34.4 de la LOPDGDD exige a las autoridades de control mantener una lista actualizada de Delegados de Protección de Datos que será accesible por medios electrónicos.
Por otra parte, el RGPD establece como garantía para la ciudadanía el derecho a contactar con el Delegado de Protección de Datos, figura que desempeña un papel esencial como elemento de relación entre los responsables del tratamiento, la autoridad de control competente y los interesados. La publicación de los datos de contacto del DPD es exigida por el artículo 37.7 en relación con el artículo 30.1, ambos del RGPD, el artículo 31.2 de la LOPDGDD y el artículo 6 bis de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, para los sujetos enumerados en el artículo 77.1 de la LOPDGDD. Esta información deberá estar accesible para la ciudadanía de forma rápida, clara e intuitiva.
El Plan de Control e Inspección sobre Protección de Datos en el Sector Público Andaluz 2023-2025 incluyó entre sus líneas de actuación el control del cumplimiento de la obligación de designación del DPD en el sector público andaluz. Las actuaciones desarrolladas permitieron impulsar significativamente el número de designaciones comunicadas al Consejo, verificar la vigencia de una parte relevante de las mismas y comprobar el grado de cumplimiento de las obligaciones de publicidad. Los resultados obtenidos pusieron de manifiesto la existencia de áreas de mejora, tanto en el mantenimiento de los DPD en sus funciones en aquellas entidades que habían comunicado su designación al Consejo como en la publicación efectiva de sus datos de contacto en las sedes electrónicas o portales web de las entidades.
Por ello, y sin perjuicio de las actuaciones de sensibilización, impulso, investigación o correctivas que puedan realizarse respecto de aquellas entidades que no hayan designado DPD, esta línea se centrará en dos aspectos específicos:
1. Asegurar que las entidades del sector público andaluz que comunicaron la designación de DPD al Consejo mantienen dicha designación vigente. Para aquellas entidades en las que se constate la ausencia de DPD, se procederá a requerir la designación y, en caso de persistir el incumplimiento, a la incoación del correspondiente procedimiento sancionador.
2. Control del cumplimiento de la obligación de publicar los datos de contacto del DPD en la sede electrónica o página web institucional. Para aquellas entidades que incumplan esta obligación, se procederá a requerir su publicación y, en caso de no atenderse el requerimiento, a la incoación del correspondiente procedimiento sancionador.
Ámbito: Entidades pertenecientes al sector público andaluz.
Línea 2. Verificación del cumplimiento de la responsabilidad proactiva en proyectos con uso intensivo de nuevas tecnologías.
Descripción: En los últimos tiempos, los avances tecnológicos han provocado un impacto significativo en la protección de datos personales. Tecnologías como el machine learning, la inteligencia artificial, el análisis de big data, el internet de las cosas (IoT), el reconocimiento facial u otras tecnologías biométricas y el blockchain han experimentado un crecimiento exponencial, siendo utilizadas en una amplia variedad de sectores y contextos. La Administración Pública no es ajena a esta transformación e incorpora un fuerte componente tecnológico en multitud de proyectos con repercusión directa en la ciudadanía. Sin embargo, esta rápida evolución plantea nuevos desafíos en términos de protección de los datos personales.
El RGPD desempeña un papel fundamental en el control de este impacto. El Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales desde una perspectiva tecnológicamente neutral. La tecnología forma parte de los medios utilizados por los responsables para implementar las operaciones de datos personales en un tratamiento. Esto implica que las organizaciones deben seleccionar cuidadosamente las tecnologías que utilizan, teniendo en cuenta los riesgos que suponen para los derechos y libertades de las personas físicas.
En este contexto de profundos cambios tecnológicos, juega un papel fundamental el modelo basado en la responsabilidad proactiva introducido por el RGPD. En lugar de simplemente exigir el cumplimiento normativo, esta norma promueve que los responsables y encargados del tratamiento realicen una valoración previa de los riesgos asociados al tratamiento de datos personales para, a partir de dicha valoración, adoptar las medidas técnicas y organizativas que procedan.
Esta Línea de control ya formó parte del Plan de Control e Inspección sobre Protección de Datos en el Sector Público Andaluz 2023-2025, lo que evidencia su importancia y relevancia para la población andaluza. Como resultado del mismo, merece una mención especial la elaboración de la Metodología para la Protección de Datos en Sistemas de Inteligencia Artificial. Este recurso constituye la respuesta del Consejo a los retos específicos que plantea la implantación de sistemas de IA en la Administración Pública andaluza, identificados de forma reiterada durante las actuaciones inspectoras. La metodología integra un enfoque adaptativo al riesgo que acompaña al proyecto durante todo su ciclo de vida, desde la planificación hasta su puesta en funcionamiento, e incorpora una herramienta práctica que facilita su aplicación efectiva. Su diseño responde a la necesidad de proporcionar un marco de seguridad jurídica para una innovación responsable en el sector público y será empleado como marco de referencia en las actuaciones inspectoras de proyectos que utilicen Inteligencia Artificial.
La experiencia adquirida durante la ejecución del Plan anterior ha permitido introducir ajustes metodológicos en esta línea con el objetivo de hacer más eficaz el seguimiento del cumplimiento de la responsabilidad proactiva en proyectos con uso intensivo de nuevas tecnologías.
En esta Línea se controlarán específicamente los siguientes aspectos:
- Nivel de participación del Delegado de Protección de Datos, de acuerdo con sus funciones de asesoramiento y supervisión, en el diseño e implantación del proyecto.
- Realización de la evaluación de impacto relativa a la protección de datos, conforme al artículo 35 del RGPD.
- Aplicación de los principios de protección de datos desde el diseño y por defecto conforme al artículo 25 del RGPD, incluyendo las medidas técnicas y organizativas adoptadas para garantizar un nivel de seguridad adecuado al riesgo.
- Actualización de los datos en el inventario de actividades de tratamiento del responsable.
- Información a facilitar a los interesados sobre la existencia del tratamiento y el ejercicio de sus derechos, conforme a los artículos 13 y 14 del RGPD.
Los proyectos se seleccionarán atendiendo al empleo de nuevas tecnologías tales como las mencionadas anteriormente, al alcance poblacional previsto, así como a los mayores riesgos que podrían producirse, considerando los supuestos del artículo 28.2 de la LOPDGDD. Se utilizarán como fuentes de información para su elección los anuncios de licitaciones públicas, reclamaciones de la ciudadanía, notificaciones de brechas de seguridad de datos personales, información pública sobre proyectos en desarrollo o cualquier otra fuente que permita identificar proyectos relevantes en el ámbito del sector público andaluz.
Ámbito: Esta actuación afectará a una muestra de, al menos, doce proyectos anuales o el número proporcional en caso de que el inicio del Plan no coincida con el año natural, gestionados por el sector público andaluz, que cumplan con los requisitos arriba indicados.
Línea 3. Verificación de la integración de la protección de datos en la contratación del sector público andaluz.
Descripción: La correcta incorporación de la protección de datos en los procedimientos de contratación del sector público constituye una manifestación directa del principio de responsabilidad proactiva del artículo 5.2 del RGPD y de la protección de datos desde el diseño del artículo 25 de la misma norma. En el contexto de la contratación pública, los documentos que rigen la licitación ya sean Pliegos de Cláusulas Administrativas (PCA) Generales o Particulares, el Pliego de Prescripciones Técnicas Particulares (PPTP) (o documento de especificaciones técnicas análogo) o el documento de formalización del contrato, son los instrumentos en los que deben quedar especificadas, de forma clara, concreta y verificable las exigencias de cumplimiento aplicables a los tratamientos de datos personales que puedan derivarse de la contratación pública. El considerando 78 del RGPD establece expresamente que los principios de la protección de datos desde el diseño y por defecto también deben tenerse en cuenta en el contexto de los contratos públicos. Ello exige que las obligaciones que impone la normativa en materia de protección de datos no se describan mediante referencias genéricas a esa normativa, sino que se trasladen esos requisitos normativos a especificaciones técnicas y organizativas específicas adaptadas al ámbito del contrato.
La presente línea tiene por objeto verificar la integración de la dimensión de protección de datos en los pliegos y documentos reguladores de la licitación del sector público andaluz siempre que impliquen un tratamiento de datos personales. En los documentos que rigen la licitación se comprobará que la protección de datos se refleja adecuadamente en los apartados propios de ese tipo de documentos, en particular en los criterios de solvencia técnica o profesional, en las condiciones especiales de ejecución y obligaciones contractuales esenciales, así como en las cláusulas del contrato de encargo de tratamiento. En el PPTP o documento de especificaciones se verificará que las prescripciones técnicas trasladan los principios del artículo 25 del RGPD a requisitos específicos.
La selección de los procedimientos a inspeccionar se basará en fuentes públicas, empleándose, como regla general, los anuncios de licitaciones como punto de partida para identificar expedientes relevantes. Se priorizarán aquellos procedimientos atendiendo, entre otros factores, al volumen estimado de datos personales implicados, a la naturaleza de los datos (incluida la presencia de categorías especiales de datos personales del artículo 9 del RGPD o datos personales relativos a condenas e infracciones penales del artículo 10 del RGPD) y al riesgo previsible de los tratamientos según el objeto del contrato.
Ámbito: Esta actuación afectará, con carácter anual, a una muestra de, al menos, doce procedimientos de contratación del sector público andaluz o el número proporcional en caso de que el inicio del Plan no coincida con el año natural, que, por su objeto, impliquen tratamientos de datos personales. La identificación de los expedientes se realizará a partir de los anuncios de licitación y demás información pública disponible sobre la misma.
Línea 4: Verificación de la integración de la protección de datos en la actividad evaluadora de los Comités de Ética de la Investigación en Andalucía.
Descripción: La investigación biomédica implica el tratamiento de datos relativos a la salud y, en su caso, de datos genéticos, categorías especiales de datos sujetas a las garantías reforzadas del artículo 9 del RGPD. El marco normativo vigente contempla la intervención del Comité de Ética de la Investigación mediante la emisión de un informe previo en determinados supuestos y constituye la garantía legalmente prevista para asegurar que los tratamientos se ajustan a los requisitos de la normativa de protección de datos.
En este marco, la disposición adicional decimoséptima de la LOPDGDD, a la que remite el artículo 105 bis de la Ley 14/1986, de 25 de abril, General de Sanidad, establece un sistema específico de garantías para la investigación en salud que atribuye a los Comités de Ética de la Investigación una doble obligación en materia de protección de datos.
Por un lado, su apartado 2, letra h), impone a dichos comités la obligación de integrar entre sus miembros un delegado de protección de datos o, en su defecto, un experto con conocimientos suficientes del RGPD. Por otro, su apartado 2, letras c) y g), exigen un informe previo favorable del comité para determinados tratamientos derivados de la reutilización de datos personales y del uso de datos personales seudonimizados con fines de investigación en salud pública y, en particular, biomédica.
Ambas obligaciones se concretan en el ámbito autonómico a través del Decreto 8/2020, de 30 de enero, por el que se regulan los órganos de ética asistencial y de la investigación biomédica en Andalucía, cuyos artículos 2.5 y 18.a) desarrollan, respectivamente, la exigencia de integración de la figura experta y la función evaluadora de los comités sobre los aspectos legales de los proyectos de investigación, incluidos los relativos al tratamiento de datos personales.
En esta Línea se controlarán específicamente los siguientes aspectos:
1. Cumplimiento de la obligación de integrar un delegado de protección de datos o, en su defecto, un experto con conocimientos suficientes en la materia en la composición del Comité de Ética de la Investigación, verificando su efectiva designación y participación real en los procesos deliberativos del Comité.
2. Emisión de los informes previos exigidos por la disposición adicional decimoséptima de la LOPDGDD en relación con la reutilización de datos personales y el uso de datos personales seudonimizados con fines de investigación en salud pública y, en particular, biomédica, comprobando que dichos informes incorporan una valoración de los aspectos relativos a la protección de datos.
Ámbito: Esta actuación se dirigirá a los doce Comités de Ética de la Investigación acreditados actualmente en Andalucía.
Descargar PDFBOJA nº 118 de 22/06/2026