| Informe | 2021-0006 |
| Enlace | 📋 |
El informe jurídico de la Agencia Española de Protección de Datos (AEPD) sobre el proyecto de orden que regula el funcionamiento del Registro de funcionarios habilitados para la expedición de copias auténticas y para la identificación o firma electrónica de los interesados, destaca varios puntos clave relacionados con la protección de datos personales.
El informe se emite en un contexto en el que aún no se ha aprobado el Real Decreto que desarrolla las leyes 39/2015 y 40/2015, pero se procede a su análisis debido a la inminente entrada en vigor de ciertas disposiciones. La AEPD subraya la necesidad de garantizar la protección de datos personales en la administración electrónica, conforme a las normativas vigentes como el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Uno de los aspectos más relevantes es la aplicación del principio de minimización de datos, que exige que solo se recopilen y traten los datos personales estrictamente necesarios para los fines específicos del tratamiento. La AEPD sugiere que la enumeración de los datos a incluir en el Registro debería ser cerrada y específica, evitando la inclusión de datos innecesarios. Además, se cuestiona la necesidad de incluir el Documento Nacional de Identidad (DNI) o Número de Identificación de Extranjeros (NIE) de los funcionarios, proponiendo alternativas como el número de Identificación Personal o el número de registro de personal.
El informe también aborda la identificación de los órganos competentes y sus roles en el tratamiento de datos, diferenciando entre responsables y encargados del tratamiento. Se destaca la importancia de que la Dirección General de Gobernanza Pública asuma la gobernanza y gestión del Registro, actuando como responsable del tratamiento, mientras que la Secretaría General de Administración Digital se encargue de la plataforma tecnológica, actuando como encargada del tratamiento.
En cuanto al acceso al Registro, la AEPD considera insuficiente la regulación actual y propone establecer formas específicas de acceso que respeten los principios del RGPD, como el acceso en línea con garantías adicionales. Se critica la posibilidad de descarga masiva de ficheros, que podría implicar un acceso indiscriminado a datos personales, y se sugiere limitar el acceso a los datos estrictamente necesarios para cada trámite.
El informe subraya la necesidad de incluir un artículo específico sobre la protección de datos personales en la orden, identificando las bases jurídicas del tratamiento y garantizando el cumplimiento de los principios del RGPD. Se menciona la obligación de realizar un análisis de riesgos y, en su caso, una evaluación de impacto en la protección de datos, así como la designación de un Delegado de Protección de Datos.
Finalmente, se aborda la custodia del documento de consentimiento expreso de los interesados, proponiendo que se mantenga en el expediente administrativo y no en el Registro de funcionarios habilitados, para evitar la inclusión innecesaria de datos personales y garantizar la protección de los mismos. Se concluye que es necesario revisar y adecuar los anexos de la orden para cumplir con las observaciones realizadas y garantizar una adecuada protección de datos personales.