El informe jurídico de la Agencia Española de Protección de Datos (AEPD) se refiere al Proyecto de Real Decreto que actualiza la regulación del comercio exterior de material de defensa, otro material y productos y tecnologías de doble uso. Este proyecto busca completar y desarrollar la normativa de la Unión Europea en esta materia.
El informe destaca que las cuestiones de protección de datos analizadas en el proyecto son similares a las examinadas en un informe previo de 2008. Las principales preocupaciones se centran en las medidas de control y conservación de datos, así como en las cesiones y transferencias internacionales de información.
En cuanto a las medidas de control, el artículo 9 del proyecto establece que las autorizaciones deben ser inspeccionadas por la Secretaría General de Comercio Exterior y el Departamento de Aduanas e Impuestos Especiales, quienes deben conservar la documentación relacionada por un plazo de diez años. Esta conservación implica la cesión o comunicación de datos personales, lo cual está amparado por la normativa vigente, como el artículo 11.2 a) de la Ley Orgánica 15/1999.
El informe también aborda las transferencias internacionales de datos, señalando que estas son posibles siempre que se fundamenten en compromisos adquiridos por España a través de convenios internacionales o en supuestos de cooperación entre autoridades. El artículo 66.2 del Reglamento habilita estas transferencias sin necesidad de autorización del Director de la AEPD en ciertos casos.
Otra cuestión relevante es la competencia atribuida a la Junta Interministerial Reguladora del Comercio Exterior de Material de Defensa y de Doble Uso (JIMDDU) para recabar información de otros órganos administrativos. El informe sugiere que el proyecto debería aclarar las funciones específicas de la JIMDDU que justifican la comunicación de datos personales.
Finalmente, el informe analiza la regulación del Registro especial de operadores de comercio exterior de material de defensa y de doble uso, señalando que el artículo 12 del proyecto adolece de deficiencias en la delimitación del fichero y en la especificación de las cesiones y transferencias de datos. Se propone completar los apartados 4 y 5 del artículo 12 para que se ajusten a los requisitos establecidos en la Ley Orgánica 15/1999.
En conclusión, la AEPD informa favorablemente sobre el proyecto, con la salvedad de que se deben realizar las modificaciones sugeridas en relación con la delimitación del fichero y la especificación de las cesiones y transferencias de datos.