| Informe | 2023-0037 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD (AEPD 2023-0037) sobre el Anteproyecto de Ley que modifica el RDLeg 8/2004 en relación con la protección de datos
El informe jurídico de la AEPD analiza el Anteproyecto de Ley que transpone la Directiva (UE) 2021/2118 y actualiza el sistema de valoración de indemnizaciones por accidentes de tráfico, desde la perspectiva del derecho fundamental a la protección de datos personales (art. 18.4 CE y RGPD). La AEPD identifica graves deficiencias en el proyecto normativo que vulneran el marco legal de protección de datos, destacando los siguientes puntos clave:
Tratamiento de datos personales sensibles: riesgo para los derechos fundamentales
El Anteproyecto regula tratamientos masivos de datos de salud (categorías especiales según el art. 9 RGPD), como:
Lesiones, secuelas o historiales médicos de víctimas de accidentes.
Intercambio de información entre aseguradoras, el Consorcio de Compensación de Seguros (CCS), OFESAUTO, peritos médicos e Institutos de Medicina Legal.
Posibles transferencias internacionales de datos a terceros países fuera de la UE/EEE.
La AEPD recuerda que los datos de salud (incluyendo riesgos futuros de enfermedades) son especialmente sensibles, requiriendo garantías reforzadas (STC 76/2019, STJUE Schrems 2). Sin embargo, el proyecto no especifica:
Las bases jurídicas que legitiman el tratamiento (art. 6 y 9.2 RGPD), como:
Cumplimiento de una obligación legal (art. 6.1.c) o misión de interés público (art. 6.1.e).
Excepciones al art. 9.1 RGPD (ej. consentimiento explícito o protección de intereses vitales).
Las medidas adecuadas y específicas para mitigar riesgos (art. 35.7.d RGPD y Considerando 56 RGPD).
La prohibición de remisiones genéricas a normas inferiores para definir garantías (STC 76/2019).
Ejemplo: El art. 7.1 del Anteproyecto obliga a entregar atestados con datos de salud a terceros (aseguradoras, CCS) sin analizar riesgos ni establecer salvaguardas, violando el principio de proporcionalidad y especificidad legal.
Ausencia de Evaluación de Impacto (EIPD) y Análisis de Riesgos
La AEPD subraya que, al regular tratamientos masivos de datos sensibles, debería haberse realizado:
Análisis de riesgos (art. 24 RGPD), que identifique vulnerabilidades en:
Accesos indiscriminados a datos (ej. art. 2.2 del Anteproyecto sobre consulta de datos del CCS).
Comunicación de datos entre autoridades (ej. art. 11.1 sobre cesión de datos al CCS para sanciones).
Transferencias internacionales (art. 27 sobre acuerdos con terceros países).
Evaluación de Impacto (EIPD) (art. 35 RGPD), obligatoria por la escala y sensibilidad de los tratamientos. La AEPD remite a su Guía para evaluaciones de impacto en desarrollo normativo (abril 2023), que exige:
Finalidad clara del tratamiento.
Bases jurídicas precisas (art. 9.2 RGPD).
Medidas técnicas y organizativas (ej. cifrado, acceso restringido).
Plazos de conservación proporcionales.
Transparencia hacia los interesados.
Conclusión: La falta de EIPD impide conocer los riesgos reales y las medidas para mitigarlos, incumpliendo el principio de responsabilidad proactiva (art. 24.1 RGPD) y la doctrina del TC y TJUE (STC 76/2019, STJUE La Quadrature du Net).
Violaciones específicas del RGPD en artículos concretos
La AEPD denuncia incumplimientos normativos en varios artículos del Anteproyecto:
| Artículo | Problema identificado | Requerimiento de la AEPD |
|——————–|—————————————————————————————————————————————————————————————————————————————————————————————————–|—————————————————————————————————————————————————————————————————————————————————————————————————–|
| Art. 2.2 | Acceso masivo y sin motivación a datos del CCS (ej. historial de aseguramiento) por terceros. | Exigir motivación expresa, proporcionalidad y contenido limitado (STC 17/2013). |
| Art. 2.4 | Tratamiento de datos para combatir vehículos sin seguro sin especificar medidas de protección garantistas (ej. conservación breve, finalidad exacta). | Incluir en la ley las medidas de seguridad exigidas por la Directiva 2021/2118 (art. 4.2), no solo delegarlas en autoridades. |
| Art. 7.1 | Obligatoriedad de entregar atestados con datos de salud, lesiones o delitos a aseguradoras y CCS sin base jurídica clara ni garantías. | Determinar en la ley:
Base jurídica (ej. art. 9.2.g) RGPD: gestión de seguros.
Garantías sectoriales: restricción a datos estrictamente necesarios, plazos de conservación, confidencialidad «desde el diseño». |
| Art. 11.1 | Cesión de datos del CCS a cualquier autoridad sancionadora (ej. tráfico, sanitaria, transportes) sin delimitar finalidades ni límites ni evaluar necesidad. | Añadir objetivos concretos del art. 23.1 RGPD que justifiquen la cesión y categorías de datos permitidas. |
| Art. 27 | Transferencias internacionales a terceros países sin especificar bases del Capítulo V RGPD (arts. 44-49). | Establecer en la ley supuestos específicos, mecanismos de protección equivalentes (art. 46 RGPD) y supervisor de transferencia. |
Propuestas de la AEPD para subsanar las deficiencias
La AEPD solicita al legislador:
Incluir en el Anteproyecto:
Análisis de riesgos (art. 24 RGPD) y EIPD (art. 35 RGPD) como parte de la Memoria del Análisis de Impacto Normativo (MAIN).
Preceptos detallados sobre:
Finalidades de cada tratamiento (ej. indemnización, lucha contra fraude).
Bases jurídicas concretas (art. 6 y 9.2 RGPD).
Medidas de seguridad (confidencialidad, integridad, transparencia) desde el diseño (art. 25 y 32 RGPD).
Plazos de conservación y protocolos de acceso (ej. motivación expresa).
Guarniciones frente a abusos (ej. limitación de derechos de interesados solo por ley).
Referencias a jurisprudencia consolidada: STC 76/2019, STJUE Schrems 2, Facebook Ireland.
Tomar como modelo otras leyes recientes que regulan tratamientos sensibles con garantías:
Ley 11/2021 (antidopaje).
Ley 2/2023 (protección de denunciantes).
Ley 3/2023 (bienestar animal).
Conclusión final
El informe de la AEPD considera urgente modificar el Anteproyecto para:
Garantizar la legalidad de los tratamientos, evitando ilegítimas injerencias en el derecho a la protección de datos.
Alcanzar el nivel de protección europeo, especialmente en datos de salud, con exigencias como las del Esquema Nacional de Seguridad (ENS) (art. 12.1.f).
Evitar sanciones por incumplimiento del RGPD (hasta 4% de la facturación global de las aseguradoras, art. 83.5 RGPD).
En resumen: El proyecto, tal como está redactado, no cumple con los principios de necesidad, proporcionalidad y protección por diseño, y requiere una revisión profunda antes de su aprobación. La AEPD ofrece colaboración técnica (ej. guías, DPD) para subsanar estas lagunas.
Fuente: Agencia Española de Protección de Datos (AEPD), Informe Jurídico 2023-0037, abril 2023.