El informe jurídico de la Agencia Española de Protección de Datos (AEPD) con referencia 0018/2021 aborda la aplicación del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, que establecen un nuevo marco de responsabilidad activa en el tratamiento de datos personales. Este modelo exige que los responsables del tratamiento evalúen los riesgos asociados y adopten medidas adecuadas para garantizar la protección de los datos.
El informe destaca la importancia del principio de responsabilidad proactiva, según el cual el responsable del tratamiento debe cumplir con los principios del RGPD y ser capaz de demostrarlo. Entre estos principios se encuentra la licitud del tratamiento, que debe basarse en una de las bases jurídicas establecidas en el artículo 6 del RGPD. Es responsabilidad del encargado del tratamiento determinar cuál es la base jurídica aplicable.
Un elemento clave en este nuevo modelo es el delegado de protección de datos (DPD), cuya designación es obligatoria en ciertos casos, como cuando el tratamiento lo lleva a cabo una autoridad u organismo público. El DPD debe participar en todas las cuestiones relativas a la protección de datos, supervisar el cumplimiento del RGPD y actuar como punto de contacto con la autoridad de control.
El informe subraya que el DPD debe informar y asesorar al responsable del tratamiento sobre las obligaciones derivadas del RGPD, supervisar el cumplimiento de estas obligaciones y realizar evaluaciones de impacto en la protección de datos cuando sea necesario. Además, el DPD debe ofrecer asesoramiento sobre la licitud del tratamiento y realizar consultas a la autoridad de control si es preciso.
En el caso específico planteado en el informe, el DPD ha formulado una consulta sobre un sistema de reconocimiento facial que compara la fotografía del DNI con una imagen tomada por el usuario. Sin embargo, la consulta es insuficiente porque no detalla de manera precisa el sistema ni incluye un análisis de riesgos o una evaluación de impacto en la protección de datos. Además, la consulta no aborda de manera completa las posibles bases jurídicas del tratamiento, especialmente en lo que respecta al interés legítimo, que requiere una ponderación detallada.
El informe concluye que el DPD debe completar su consulta con un informe motivado que incluya un análisis detallado de los riesgos y las bases jurídicas del tratamiento, especialmente en lo que respecta al interés legítimo. Solo en caso de que el DPD tenga dudas jurídicas que no puedan resolverse con los criterios ya informados por la AEPD o se trate de cuestiones nuevas derivadas de la aplicación del nuevo régimen jurídico, podrá elevar la consulta al Gabinete Jurídico de la AEPD, acompañándola de su propio informe detallado.