| Informe | 2023-0051 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD (2023-0051)
El informe analiza una propuesta normativa para crear un Registro de Seguridad de Presas y Embalses en España, regulando su funcionamiento. La AEPD evalúa el tratamiento de datos personales asociado a este registro bajo el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD).
Contexto y base legal
La propuesta se enmarca en el Texto Refundido de la Ley de Aguas (Real Decreto Legislativo 1/2001), que obliga a las administraciones a registrar la seguridad de presas y embalses.
La Dirección General del Agua (dependiente del Ministerio para la Transición Ecológica) sería el responsable principal del tratamiento de datos, mientras que las Confederaciones Hidrográficas podrían actuar como corresponsables en aspectos técnicos.
Los datos incluyen información identificativa de los titulares (nombre, domicilio, correo electrónico, teléfono, etc.).
Cuestiones clave y observaciones de la AEPD
Base jurídica del tratamiento:
La AEPD señala que el tratamiento se legitima por el artículo 6.1.e del RGPD, al tratarse de una misión de interés público (seguridad de infraestructuras críticas) y ejercicio de poderes públicos conferidos al Estado.
No puede basarse en el consentimiento (art. 6.1.a) ni en el interés legítimo (art. 6.1.f), ya que la relación con los titulares no es contractual ni equilibrada.
Obligaciones del responsable:
La AEPD aclara que la base jurídica del tratamiento no es la obligación legal (art. 6.1.c), sino la misión de interés público, tal como se detalla en la normativa hidráulica.
Se recomienda ajustar la información básica sobre protección de datos (Anexo I de la propuesta) para reflejar correctamente la base jurídica (art. 6.1.e).
Corrección de errores formales:
El artículo 8 de la propuesta menciona incorrectamente el «fichero» como base legal, concepto obsoleto tras el RGPD (que se centra en los tratamientos).
Se recomienda eliminar referencias al antiguo sistema de notificación a la AEPD (derogado en 2016) y actualizar el texto para alinearlo con el RGPD:
Eliminar referencias a «fichero» y sustituirlas por «tratamiento».
Incluir una mención explícita al cumplimiento del RGPD y la LOPDGDD.
Añadir que la seguridad de los datos se garantizará mediante un análisis de riesgos y, si es necesario, una evaluación de impacto (art. 35 RGPD).
Recomendaciones adicionales:
Publicar un inventario de actividades de tratamiento (art. 30 RGPD y 31 LOPDGDD) accesible electrónicamente.
Garantizar la aplicación del Esquema Nacional de Seguridad (Real Decreto 11/2022) para los sistemas de información que gestionen datos personales.
Conclusiones
El informe concluye que la propuesta es en general conforme con la normativa de protección de datos, pero deben corregirse errores formales y actualizarse referencias normativas. La AEPD subraya la importancia de:
Clarificar el rol de responsables y corresponsables.
Asegurar que los tratamientos de datos cumplan con los principios del RGPD (licitud, transparencia, minimización, exactitud, etc.).
Incluir las medidas técnicas y organizativas necesarias para garantizar la seguridad de la información.
Se propone una redacción revisada para el artículo 8 que refleje estos aspectos, eliminando ambigüedades y asegurando la plena adecuación a la normativa vigente.