El informe jurídico de la Agencia Española de Protección de Datos (AEPD) sobre la transposición de la Directiva (UE) 2016/680 al ordenamiento jurídico español aborda varios aspectos clave. En primer lugar, destaca la necesidad de que la norma que traspone la Directiva haya sido sometida al informe previo de la AEPD, asegurando así la conformidad con las exigencias de protección de datos. El informe también subraya la importancia de mantener la coherencia con la normativa general de protección de datos, como el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018.
Uno de los puntos críticos es la definición de «autoridades competentes», que debe alinearse con la Directiva y la normativa española. El informe sugiere que se incluya una definición específica en el artículo 2.3 del Anteproyecto y se remita a la normativa general para evitar duplicidades e interpretaciones erróneas.
El informe también aborda la colaboración con las autoridades competentes, proponiendo una redacción que diferencie claramente entre las funciones de las autoridades judiciales, el Ministerio Fiscal y la Policía Judicial, y el resto de autoridades competentes. Se insiste en la necesidad de que las solicitudes de datos sean concretas, específicas y motivadas, especialmente en el contexto de la lucha contra el terrorismo y la delincuencia organizada.
En cuanto a la conservación de datos, el informe señala la importancia de establecer criterios claros y específicos para la revisión y supresión de datos, especialmente en ficheros policiales y jurisdiccionales. Se propone modificar el artículo 6 del Anteproyecto para incluir estos criterios y garantizar que los datos inexactos o incompletos no se transmitan.
El informe también se refiere a las transferencias de datos a terceros países, sugiriendo que se unifiquen las referencias a «autoridades competentes» para evitar distorsiones y problemas interpretativos. Se propone una redacción más clara y precisa para el artículo 40.1 del Anteproyecto.
En el ámbito sancionador, el informe critica la tipificación de conductas infractoras que no se corresponden con la Directiva, proponiendo una homogeneización con el régimen general de protección de datos. Se sugiere suprimir conductas que no guardan relación directa con el régimen de protección de datos y ajustar las sanciones a las previstas en la normativa general.
Finalmente, el informe aborda la necesidad de adaptar la terminología del Anteproyecto a la normativa general de protección de datos, sustituyendo conceptos no recogidos en la normativa por aquellos que sí lo están, como «riesgo» en lugar de «peligro» o «nivel de riesgo». Se insiste en la importancia de mantener la coherencia terminológica y conceptual para garantizar una correcta aplicación de la normativa.