El informe jurídico de la Agencia Española de Protección de Datos (AEPD) analiza el Proyecto de Orden de la Ministra de Asuntos Económicos y Transformación Digital sobre los métodos de identificación no presencial para la expedición de certificados electrónicos cualificados. Este proyecto tiene como objetivo regular las condiciones y requisitos técnicos mínimos aplicables a la verificación de la identidad de las personas solicitantes de un certificado cualificado mediante métodos distintos a la presencia física, asegurando una seguridad equivalente en términos de fiabilidad.
El informe destaca que la orden se fundamenta en el artículo 24.1 del Reglamento (UE) 910/2014 y en el artículo 7.2 de la Ley 6/2020, que permiten la verificación de la identidad a distancia mediante métodos como la videoconferencia o la video-identificación. Estos métodos fueron temporalmente habilitados durante la pandemia de COVID-19 para reducir los desplazamientos de los ciudadanos y se pretenden regular de manera permanente.
La AEPD subraya la necesidad de que la orden incluya referencias explícitas a la normativa de protección de datos personales, ya que los tratamientos automatizados de datos personales implican un alto riesgo para los derechos y libertades de los afectados. Se menciona que la normativa vigente, como el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, debe ser respetada en todo momento.
El informe también aborda la importancia del principio de responsabilidad proactiva, que obliga a los responsables del tratamiento a garantizar la protección de los datos personales mediante la adopción de medidas adecuadas y la documentación de todas las decisiones tomadas. Se destaca que la orden debe incluir un artículo específico sobre la protección de datos personales, asegurando que los tratamientos se realicen con estricta sujeción al RGPD y a la normativa sobre protección de datos personales.
Además, se señala que la orden debe realizar un análisis detallado de los riesgos que los tratamientos de datos personales pueden tener para los derechos y libertades de los ciudadanos. Este análisis debe incluir una evaluación de impacto relativa a la protección de datos (EIPD) y garantizar que las medidas adoptadas sean proporcionales y adecuadas a la naturaleza de los servicios.
El informe concluye que la orden debe ser revisada para garantizar el cumplimiento de la normativa de protección de datos personales, valorando todos los riesgos que su aprobación puede suponer para los derechos y libertades de los afectados. Se considera imprescindible un análisis pormenorizado de las implicaciones de la norma y la adopción de las medidas y garantías necesarias para proteger los datos personales de manera efectiva.