El informe jurídico de la Agencia Española de Protección de Datos (AEPD) sobre el proyecto de real decreto que regula el acceso a ayudas económicas para víctimas de violencias sexuales, conforme al artículo 41.3 de la Ley Orgánica 10/2022, destaca varios aspectos clave relacionados con la protección de datos personales.
El proyecto de real decreto busca garantizar el derecho de acceso a ayudas económicas para víctimas de violencias sexuales, un procedimiento que será regulado por las administraciones competentes de las Comunidades Autónomas. La AEPD ya había informado sobre el proyecto de ley que derivó en la Ley Orgánica 10/2022, señalando que la acreditación de violencias sexuales puede realizarse mediante documentos judiciales o informes de servicios sociales, entre otros. Sin embargo, se observó que no existían garantías adecuadas para los derechos y libertades de los interesados en el tratamiento de datos personales, sugiriendo la inclusión de una disposición adicional que estableciera dichas garantías.
En el proyecto actual, se ha incluido una Disposición Adicional que regula los tratamientos de datos personales necesarios para otorgar las ayudas, lo cual la AEPD valora positivamente. La Memoria de Análisis Normativo (MAIN) del proyecto incluye un análisis de riesgos en materia de protección de datos, utilizando la herramienta EVALÚA_RIESGO RGPD v2 de la AEPD. Este análisis es crucial, ya que los tratamientos de datos se basan en obligaciones legales y misiones de interés público, conforme al artículo 6.1.c) y e) del RGPD.
La AEPD recomienda que el prelegislador realice un análisis de riesgos y, en su caso, una evaluación de impacto relativa a la protección de datos (EIPD) como parte de una evaluación de impacto general. En este caso, el prelegislador ha realizado dicho análisis y ha plasmado los resultados en la MAIN y en la Disposición Adicional del proyecto. Sin embargo, la AEPD sugiere que la Disposición Adicional se acompase más fielmente con el cuadro de «información básica sobre el tratamiento de datos» contenido en la MAIN, incluyendo detalles específicos como los responsables del tratamiento, la base jurídica completa, los destinatarios de los datos y las categorías de datos personales que serán tratados.
Además, se recomienda incluir en la Disposición Adicional que no están previstas transferencias internacionales de datos y especificar los derechos de los interesados frente a los tratamientos, así como las medidas técnicas y organizativas adecuadas. La MAIN ya ha previsto algunas medidas técnicas y organizativas, como la seudonimización de los datos y la asignación de un identificador a las víctimas, aunque estas medidas no se han incorporado explícitamente en la norma.
Finalmente, la AEPD sugiere actualizar el texto de la MAIN para reflejar la existencia de la Disposición Adicional y reitera su opinión favorable al análisis realizado por el prelegislador en colaboración con el Delegado de Protección de Datos, destacando la importancia de garantizar la protección de datos personales en el procedimiento de otorgamiento de ayudas a víctimas de violencias sexuales.