| Informe | 2022-0005 |
| Enlace | 📋 |
### **Resumen del Informe Jurídico de la AEPD (2022-0005)**
El informe de la Agencia Española de Protección de Datos (AEPD) analiza el proyecto de orden que regula el funcionamiento del registro electrónico de la Secretaría de Estado de la Seguridad Social y Pensiones, destacando su conformidad con la normativa europea (RGPD) y española (LOPDGDD), así como con las leyes 39/2015 y 40/2015. El objetivo es garantizar los derechos de los ciudadanos, especialmente en lo relativo a la protección de datos personales.
#### **Principales puntos del informe:**
1. **Protección de datos en la Administración electrónica**
– La AEPD recuerda la necesidad de incluir en los registros electrónicos medidas de seguridad para evitar pérdidas o accesos no autorizados a datos personales, como ya se destacó en informes anteriores (26/2015 y 91/2018).
– Las leyes 39/2015 y 40/2015 ya exigen el cumplimiento del RGPD en los registros electrónicos, garantizando la integridad, confidencialidad y disponibilidad de los datos.
2. **Responsable del tratamiento de datos**
– El proyecto de orden no aclara claramente qué órgano asume la condición de *responsable del tratamiento* según el RGPD.
– La AEPD sugiere que el Secretario de Estado de la Seguridad Social sería el responsable, mientras que la Gerencia de Informática actuaría como *encargado* (gestionando la seguridad técnica).
– Se recomienda modificar el texto para definir estas funciones y evitar confusiones en el cumplimiento normativo.
3. **Medidas de seguridad y accountability**
– La AEPD insiste en la aplicación del principio de *responsabilidad proactiva* (RGPD, art. 24), que exige a los responsables demostrar el cumplimiento normativo mediante análisis de riesgos y evaluaciones de impacto.
– El Delegado de Protección de Datos debe participar en estos procesos, y las medidas adoptadas deben superar, si es necesario, lo establecido en el Esquema Nacional de Seguridad.
4. **Base jurídica del tratamiento de datos**
– El tratamiento de datos en registros administrativos se fundamenta en el interés público (RGPD, art. 6.1.e) y no en el consentimiento (RGPD, art. 6.1.a), por el desequilibrio entre Administración y ciudadano.
– Se recuerda que el RGPD exige transparencia (art. 13), pudiendo cumplirse mediante capas de información.
5. **Recomendaciones finales**
– La AEPD propone incluir un artículo específico sobre protección de datos en la orden, similar a la Orden PCM/1382/2021, para clarificar responsabilidades y garantías.
En conclusión, el informe destaca la necesidad de alinear el proyecto con el RGPD, reforzar la definición de responsabilidades y garantizar la transparencia en el tratamiento de datos en el ámbito de la Seguridad Social.