| Informe | 2023-0061 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD (Informe 0061/2023)
El informe 0061/2023 de la Agencia Española de Protección de Datos (AEPD) analiza un Proyecto de Circular de la CNMC sobre el procedimiento para el suministro de datos de abonados en el ámbito de las telecomunicaciones, en desarrollo de la Ley 11/2022 (LGTel). La AEPD identifica varios riesgos y deficiencias en el tratamiento de datos personales, así como incumplimientos del RGPD (Reglamento General de Protección de Datos), y formula recomendaciones para garantizar la protección del derecho fundamental a la privacidad.
Base legal y competencia de la CNMC
La CNMC tiene competencia para suministrar datos de abonados (art. 72 LGTel), pero la AEPD señala que no se definen con precisión los datos concretos que deben facilitarse.
La base jurídica del tratamiento es el art. 6.1.e) RGPD (interés público o ejercicio de poderes públicos), siendo responsable la CNMC.
Falta un Análisis de Riesgos y una Evaluación de Impacto (EIPD), tal como recomienda el art. 35 RGPD y el Real Decreto 931/2017 para tratamientos basados en interés público. La AEPD subraya que la EIPD debería incorporarse al proceso legislativo mediante la «Memoria del Análisis de Impacto Normativo» (MAIN).
Especificidad de los datos y claridad en su suministro
La Circular no define qué datos específicos deben aportar los operadores ni cuáles puede tratar la CNMC para cada finalidad (guías, servicios de emergencia, etc.).
Se detecta confusión entre abonados y usuarios finales:
Abonado: quien contrata el servicio con la operadora (ámbito jurídico).
Usuario final: quien utiliza el servicio sin ser necesariamente el contratante (puede ser distinta persona).
La Circular parece centrada en abonados, pero el derecho a la protección de datos (art. 66.3 LGTel) recae en los usuarios finales, lo que podría generar incumplimientos en el consentimiento si no se aclara.
Principios del RGPD vulnerados
Minimización de datos (art. 5.1.c RGPD): La AEPD critica que el actual sistema exige a la CNMC suministrar todos los datos de abonados a las entidades habilitadas (como servicios de consulta telefónica de números o emergencias), cuando no justifica la necesidad de tantos datos. Propone un sistema de acceso punto por punto a la base de datos (SGDA) para evitar riesgos innecesarios.
Limitación de finalidad (art. 5.1.b RGPD):
Los datos de abonados se recogen para telecomunicaciones, pero podrían usarse para publicidad, lo que es incompatible.
La Circular establece que se consultarán los sistemas de exclusión publicitaria (Listas Robinson), pero la AEPD advierte que esto no basta: si no hay consentimiento expreso, usar los datos para publicidad sería ilegal.
Solución: Los datos solo podrían tratarse para publicidad si el afectado da su consejo previo y específico, incluso aunque figure en guías.
Plazos de actualización y acceso a datos
Plazos de actualización:
La Circular propone reducir el plazo de 10 a 30 días para actualizar datos.
La AEPD considera inadecuado: el RGPD exige actuar «sin dilación indebida» (art. 12.3), por lo que el plazo de 10 días es más acorde con la normativa.
Supuesto conflicto con el RGPD: La AEPD matiza que el art. 12.3 RGPD solo afecta a la información al interesado sobre sus derechos, no a la ejecución material de las actualizaciones.
Otros aspectos controvertidos
Tratamiento por terceros (encargados):
La Circular establece que los abonados deben ejercer sus derechos ante el contratista de la CNMC, lo que incurre en un error: el responsable del tratamiento es la CNMC, y el afectado puede dirigirse a ella.
Uso de datos para prospección comercial:
La AEPD insiste en que no se puede tratar la información de abonados para publicidad sin consentimiento explícito, incluso aunque estos figuren en guías, por vulnerar el principio de limitación de finalidad.
Conclusiones y recomendaciones
La AEPD formula las siguientes recomendaciones clave:
Incluir una EIPD en el proceso normativo, detallando riesgos y medidas de mitigación.
Precisar los datos concretos que deben suministrarse y su finalidad específica.
Clarificar la diferencia entre abonados y usuarios finales para evitar confusiones en la obtención de consentimientos.
Modificar el procedimiento de suministro para que las entidades habilitadas accedan solo a los datos necesarios (evitar descargas masivas).
Exigir consentimiento explícito para tratar datos con fines publicitarios.
Mantener el plazo de 10 días para actualizaciones de datos.
Asegurar que los afectados puedan ejercer sus derechos ante la CNMC, no solo ante el encargado del tratamiento.
En definitiva, el informe de la AEPD alerta sobre vulneraciones de la privacidad y exige mayor precisión y garantías para alinear el tratamiento de datos con el RGPD y la LOPDGDD. La Circular debería rectificarse antes de su aprobación definitiva para evitar sanciones y conflictos legales.