| Informe | 2023-0010 |
| Enlace | 📋 |
**Resumen del informe jurídico de la AEPD sobre el Proyecto de Orden Ministerial del RPGR (2023-0010)**
La Agencia Española de Protección de Datos (AEPD) emitió un informe jurídico desfavorable al Proyecto de Orden Ministerial que desarrolla el Registro de Producción y Gestión de Residuos (RPGR), previsto en la Ley 7/2022 de residuos y suelos contaminados para una economía circular. El objetivo del proyecto es definir qué información del RPGR puede hacerse pública, garantizando la confidencialidad de los datos personales y el secreto comercial.
### **Principales aspectos del informe:**
1. **Falta de análisis de riesgos y EIPD**:
La AEPD advierte que el proyecto no incluye un **Análisis de Riesgos** (art. 24 RGPD) ni una **Evaluación de Impacto en Protección de Datos (EIPD)** (art. 35 RGPD), a pesar de que el tratamiento de datos personales en el RPGR podría afectar los derechos fundamentales de los ciudadanos. La AEPD recomienda que, dado que la norma se basa en una obligación legal (art. 6.1.c RGPD), sea el propio órgano proponente quien realice esta evaluación como parte del proceso normativo. Esto permitiría evitar que los responsables del tratamiento deban hacerlo posteriormente de manera redundante.
2. **Confidencialidad y secreto comercial**:
El proyecto excluye del acceso público información sensible como:
– La cantidad de residuos producidos y su clasificación (considerada confidencial).
– La capacidad de tratamiento de las instalaciones.
– Los datos de los representantes legales de personas jurídicas.
Sin embargo, la AEPD señala que no se explican los razonamientos que justifican esta decisión, limitándose la MAIN (Memoria de Análisis Normativo) a mencionar la normativa de protección de datos sin profundizar en los riesgos asociados.
3. **Publicación del NIF/DNI en el RPGR**:
La AEPD se opone a que se haga público el **NIF (DNI) completo** de personas físicas inscritas en el RPGR, al no existir un análisis de riesgos que justifique su publicación. Como alternativa, sugiere que se cumpla con la **Disposición Adicional Séptima de la LOPDGDD**, que regula la identificación de interesados en publicaciones administrativas, proponiendo que se utilicen solo **cuatro cifras aleatorias** del DNI. Además, la dirección asociada a personas físicas debe ser la de su actividad profesional, no su domicilio personal.
4. **Expresión «al menos» en la definición de datos necesarios**:
El proyecto emplea la expresión **»al menos»** en la enumeración de datos personales que se tratarán (art. 6), lo que, según la AEPD, genera **inseguridad jurídica**, ya que no delimita con precisión qué datos son necesarios para cada finalidad.
5. **Seguridad del sistema**:
La AEPD recuerda que, al tratarse de un sistema de información que maneja datos personales, debe aplicarse lo dispuesto en el **Esquema Nacional de Seguridad (ENS)** y en el RGPD. El órgano responsable debe realizar un análisis de riesgos y, si es necesario, una EIPD para garantizar que las medidas de seguridad sean proporcionales a los riesgos identificados.
### **Conclusión y recomendaciones de la AEPD**:
– **Incorporar un análisis de riesgos y una EIPD** en la MAIN, detallando los tratamientos de datos previstos y las medidas adoptadas.
– **Evitar la publicación del NIF/DNI completo** de personas físicas, sustituyéndolo por un identificador parcial.
– **Aclarar cuáles son los datos personales necesarios** para cada finalidad, eliminando ambigüedades en la redacción.
– **Asegurar que las direcciones asociadas a personas físicas corresponden a su actividad profesional**, no a su domicilio privado.
En resumen, la AEPD insta a que el proyecto se revise para cumplir con la normativa de protección de datos, garantizando **transparencia, proporcionalidad y seguridad jurídica** en el tratamiento de información en el RPGR.