| Informe | 2023-0011 |
| Enlace | 📋 |
**Resumen del informe jurídico de la AEPD sobre el Registro Centralizado de Técnicos Competentes**
El informe jurídico de la Agencia Española de Protección de Datos (AEPD) analiza un proyecto normativo que contempla la creación de un **Registro Administrativo Centralizado de Técnicos Competentes** para la certificación de eficiencia energética en edificios. El objetivo es actualizar el sistema actual basado en titulaciones hacia uno fundamentado en conocimientos y cualificaciones profesionales.
—
### **Principales aspectos destacados por la AEPD**
1. **Tratamiento de datos personales**
– El proyecto establece que los técnicos competentes deberán inscribirse en un registro, proporcionando datos como nombre, NIF/NIE, domicilio fiscal, correo electrónico y título académico.
– La AEPD considera que se trata de un **tratamiento de datos personales** conforme al Reglamento General de Protección de Datos (RGPD), ya que implica operaciones como la recolección, consulta y difusión de información.
2. **Falta de base jurídica clara**
– El proyecto no especifica la **base jurídica** que legitima este tratamiento. Según el RGPD, las posibles bases serían:
– **Cumplimiento de una obligación legal** (art. 6.1.c RGPD).
– **Interés público** (art. 6.1.e RGPD).
– La AEPD señala que la base jurídica podría encontrarse en la **Directiva (UE) 2010/31**, que exige a los Estados miembros publicar registros de expertos cualificados. Sin embargo, el proyecto no detalla cuáles son los datos necesarios ni su finalidad concreta.
3. **Principio de minimización de datos**
– La AEPD critica que el proyecto no delimita con precisión los datos que deben incluirse en el registro. El texto del proyecto menciona que se podrán incluir «otros datos que se consideren necesarios», lo que vulnera el principio de **minimización de datos** (art. 5.1.c RGPD), ya que no garantiza que solo se recojan los datos imprescindibles.
4. **Falta de análisis de riesgos y Evaluación de Impacto en Protección de Datos (EIPD)**
– La AEPD destaca que el proyecto carece de un **análisis de riesgos** y una **EIPD**, esenciales para evaluar los riesgos para los derechos de los interesados.
– Según el **Real Decreto 311/2022** (Esquema Nacional de Seguridad), cuando un sistema de información trate datos personales, el responsable debe realizar un análisis de riesgos y, en su caso, una EIPD. El proyecto no incluye estos requisitos.
5. **Recomendaciones de la AEPD**
– **Incorporar una base jurídica clara:** El proyecto debe especificar la base legal del tratamiento, ya sea por cumplimiento de una obligación legal o por interés público.
– **Delimitar los datos personales necesarios:** Se debe definir con exactitud qué datos se recogen y evitar la inclusión de información superflua.
– **Realizar un análisis de riesgos y una EIPD:** Es necesario evaluar los riesgos asociados al tratamiento de datos y definir medidas para mitigarlos.
– **Incluir garantías adicionales:** El proyecto debe incorporar medidas técnicas y organizativas para proteger los datos, como la revisión periódica del registro o restricciones de acceso.
– **Mencionar el RGPD y la LOPDGDD en el texto normativo:** Aunque no es obligatorio, sería recomendable para clarificar el marco aplicable.
—
### **Conclusión**
La AEPD considera que el proyecto, aunque alinea con la normativa europea, requiere ajustes significativos para garantizar el cumplimiento del RGPD. Es fundamental que se defina con precisión la base jurídica, se delimiten los datos personales necesarios y se realice un análisis de riesgos para proteger eficazmente los derechos de los interesados.
El informe subraya la importancia de integrar desde el diseño (**privacy by design**) las garantías necesarias para cumplir con los principios de protección de datos y evitar riesgos para los derechos fundamentales de los ciudadanos.