El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre la legalidad de la comunicación de datos de verificación tipo semáforo (rojo/verde) por parte de la Dirección General de Tráfico (DGT) a empresas de uso compartido de vehículos (sharing). Este dato permitiría a las empresas verificar la validez y vigencia de las licencias de conducción de los usuarios sin necesidad de recabar su consentimiento expreso.
El informe se basa en el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Estos marcos normativos establecen los principios y fundamentos para el tratamiento de datos personales, aplicables a cualquier entidad pública o privada que maneje datos personales en el ejercicio de su actividad.
El RGPD define los datos personales como cualquier información sobre una persona física identificada o identificable. El tratamiento de estos datos incluye cualquier operación realizada sobre ellos, como la recogida, registro, organización, conservación, modificación, extracción, consulta, utilización, comunicación, interconexión, limitación, supresión o destrucción.
El Texto Refundido de la Ley sobre tráfico, circulación de vehículos a motor y seguridad vial (LSV) establece que la conducción de vehículos a motor requiere un permiso o licencia de conducción válido. La DGT es la entidad competente para expedir, revisar y controlar estos permisos y licencias.
El informe analiza las bases jurídicas de legitimación para el tratamiento de datos personales, según el artículo 6 del RGPD. Las posibles bases son el consentimiento del interesado, la ejecución de un contrato, el cumplimiento de una obligación legal, la protección de intereses vitales, el cumplimiento de una misión de interés público o el ejercicio de poderes públicos, y la satisfacción de intereses legítimos del responsable del tratamiento.
La AEPD concluye que, en el caso planteado, no se cumple con la base jurídica del artículo 6.1.e) del RGPD, ya que no existe una norma con rango de ley que atribuya a la DGT la competencia para comunicar estos datos a las empresas de uso compartido de vehículos. Además, el carácter voluntario de la utilización de estos vehículos y la falta de una normativa específica que regule la comunicación de datos excluyen la aplicación de esta base jurídica.
El informe también destaca la necesidad de realizar una evaluación de impacto en la protección de datos si se llegara a implementar un sistema de interconexión entre la DGT y las empresas de uso compartido de vehículos. Esta evaluación debe asegurar el cumplimiento de los principios de protección de datos y garantizar la información adecuada a los interesados sobre los fines del tratamiento y sus derechos.
En resumen, la AEPD considera que la comunicación de datos de verificación tipo semáforo por parte de la DGT a empresas de uso compartido de vehículos no se ajusta a las bases jurídicas de legitimación del RGPD. Para proceder con dicha comunicación, sería necesario modificar la normativa vigente y realizar una evaluación de impacto en la protección de datos.