| Informe | 2022-0102 |
| Enlace | 📋 |
### **Resumen del informe jurídico de la AEPD sobre el anteproyecto de ley de transparencia y grupos de interés (N/REF: 0102/2022)**
La Agencia Española de Protección de Datos (AEPD) ha emitido un informe jurídico sobre un anteproyecto de ley que busca regular la relación entre los grupos de interés y las autoridades públicas para garantir la transparencia en la toma de decisiones y prevenir conflictos de interés. Este informe analiza los aspectos relacionados con el tratamiento de datos personales que implicaría el registro obligatorio de estos grupos.
#### **1. Base jurídica y licitud del tratamiento**
La AEPD señala que el tratamiento de datos en este registro se justifica bajo el **artículo 6.1.c del RGPD**, al cumplir una obligación legal. No obstante, recomienda que la ley especifique claramente los datos que se recabarán (identificativos, de contacto, profesionales y financieros), excluyendo las categorías especiales de datos (art. 9.1 RGPD) como salud, orientación sexual o creencias.
Además, advierte que **el consentimiento de los afectados no es válido** como base jurídica para un tratamiento obligatorio por parte de la Administración, ya que no puede considerarse «libre» en este contexto. En su lugar, se debe garantizar la **información previa** a los interesados sobre el tratamiento y su publicidad, según el **artículo 13 del RGPD**.
#### **2. Principios clave del tratamiento**
La AEPD insiste en el cumplimiento de los principios del **artículo 5 del RGPD**:
– **Minimización de datos**: Solo deben recabarse datos necesarios para la finalidad perseguida.
– **Exactitud**: Los datos deben actualizarse periódicamente (ej.: información financiera anual).
– **Limitación del plazo de conservación**: Los datos caducados deben permanecer accesibles solo durante un plazo razonable (se propone **5 años** tras la caducidad).
– **Integridad y confidencialidad**: Deben aplicarse medidas de seguridad reforzadas, como establecen el **RGPD** y el **Esquema Nacional de Seguridad** (Real Decreto 311/2022).
#### **3. Responsable del tratamiento**
La **Oficina de Conflictos de Intereses (OCI)**, adscrita al registro, será la **responsable del tratamiento**, según el artículo 5.2 del anteproyecto. La AEPD recomienda que esto se refleje explícitamente en la norma.
#### **4. Acceso público y protección de datos**
– El registro es **público**, pero ello puede aumentar los riesgos para los derechos fundamentales. Por ello, deben aplicarse **limitaciones** (ej.: no publicar datos como el DNI completo o información sensible).
– Para evitar riesgos, se propone que los datos no públicos solo puedan accederse bajo los supuestos del **RGPD** (ej.: derechos de acceso, rectificación o supresión).
#### **5. Medidas adicionales**
La AEPD recomienda:
– Realizar una **Evaluación de Impacto (EIPD)** previa, integrada en la memoria del anteproyecto (según el **artículo 35 del RGPD** y el **Real Decreto 931/2017**).
– Incluir en la ley una **disposición adicional específica** que regule el tratamiento de datos, similar a otras normas como la Ley de Memoria Democrática o la Ley Orgánica del Deporte.
—
### **Conclusión**
El informe destaca la **proporcionalidad** del tratamiento, pero exige ajustes para garantir que los derechos fundamentales no se vean perjudicados. Las recomendaciones se centran en:
1. Excluir categorías especiales de datos.
2. Establecer plazos de conservación.
3. Garantizar la información y derechos de los afectados.
4. Formalizar un marco de seguridad y evaluaciones de impacto.
Si no se subsanan estas cuestiones, el anteproyecto podría vulnerar el **RGPD** y la jurisprudencia del **Tribunal Constitucional** y el **TJUE**.