El informe jurídico de la Agencia Española de Protección de Datos (AEPD) se refiere al Proyecto de Real Decreto que aprueba el Reglamento de control del comercio exterior de material de defensa, de otro material y de productos y tecnologías de doble uso. Este proyecto introduce modificaciones a un texto previamente analizado por la AEPD en 2013 y 2008.
El informe se centra en tres artículos clave del proyecto: el artículo 9, que trata sobre las cesiones y transferencias de datos derivadas de las medidas de control; el artículo 18, que regula el acceso y utilización de datos por parte de la Junta Interministerial Reguladora del Comercio Exterior de Material de Defensa y de Doble Uso (JIMDDU); y el artículo 12, que establece las características del Registro especial de operadores de comercio exterior de material de defensa y de doble uso (REOCE).
Respecto a los artículos 9 y 18, la AEPD ya había emitido un informe favorable en 2013 y, dado que estos artículos permanecen inalterados en lo sustancial, no se requiere un comentario adicional. Sin embargo, el artículo 12 ha sufrido modificaciones significativas. El proyecto actualiza la estructura del fichero y suprime el apartado relacionado con las cesiones de datos.
En cuanto a la estructura del fichero, la AEPD había señalado previamente la necesidad de establecer las tipologías de datos a incorporar, lo cual se ha atendido en el proyecto actual. No obstante, se recomienda valorar si la información adicional que se pueda incluir contendrá datos de carácter personal, para así actualizar el apartado 4 del artículo 12 si fuera necesario.
La supresión del apartado de cesiones de datos es otro punto crítico. La AEPD había señalado que la cláusula genérica del proyecto anterior era ambigua y no especificaba claramente cuáles serían las posibles cesiones de datos. El proyecto actual simplemente suprime este apartado sin reemplazarlo por una indicación clara de los posibles cesionarios. Dado que los datos inevitablemente serán cedidos, al menos a la JIMDDU y a otros órganos mencionados en el artículo 9, es necesario que el artículo 12 incluya un apartado que individualice a los destinatarios de los datos. En caso contrario, será necesario adoptar una Orden de creación del fichero que cumpla con lo establecido en el artículo 20.2 de la Ley Orgánica 15/1999.
En resumen, el informe de la AEPD destaca la necesidad de clarificar y especificar las cesiones de datos en el artículo 12 del proyecto, así como de valorar la inclusión de información adicional que pueda contener datos personales. Estas recomendaciones buscan asegurar el cumplimiento de la normativa de protección de datos en el contexto del comercio exterior de material de defensa y tecnologías de doble uso.