| Informe | 2023-0062 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD sobre la modificación del padrón municipal
La Agencia Española de Protección de Datos (AEPD) ha emitido un informe jurídico (2023-0062) sobre el Proyecto de Real Decreto que modifica el Reglamento de Población y Demarcaciones Territoriales, destacando varias incongruencias con el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD).
Principales observaciones:
Base jurídica del tratamiento de datos:
La AEPD señala que el tratamiento de datos en el padrón municipal se basa en un interés público (art. 6.1.e RGPD), no en el consentimiento del interesado, ya que este último no es válido ante posibles desequilibrios de poder con la Administración (Considerando 43 RGPD).
La Ley 7/1985 (LBRL) menciona el consentimiento, pero la AEPD considera que esta mención es obsoleta tras la entrada en vigor del RGPD.
Derechos de los interesados:
El proyecto limita los derechos de los empadronados a acceso y rectificación (art. 53.3), excluyendo otros como supresión, limitación del tratamiento u oposición, fundamentales en el RGPD. La AEPD exige modificar este artículo para incluir todos los derechos reconocidos en el marco legal vigente.
Datos voluntarios en el padrón:
El texto propone recoger datos como número de teléfono o correo electrónico de manera voluntaria (art. 57.2), lo que la AEPD considera inconstitucional y contrario al RGPD:
No existe habilitación legal explícita para incluir estos datos voluntarios.
Vulneraría los principios de limitación de finalidad y minimización de datos (art. 5.1 RGPD), ya que no son necesarios para la gestión padronal.
La cesión de estos datos a otras administraciones sin consentimiento explícito incumpliría el RGPD.
Falta de análisis de impacto:
La AEPD reprocha que el proyecto no incluya un Análisis de Riesgos ni una Evaluación de Impacto en la Protección de Datos (EIPD), obligatorios según el RGPD (art. 35) y el Esquema Nacional de Seguridad (Real Decreto 311/2022). Esto impide evaluar los riesgos asociados al tratamiento de datos personales, especialmente en un sistema de interconexión en tiempo real con el INE.
Inconsistencias en la redacción:
Existe una discordancia entre el art. 16.2 LBRL y el Reglamento, que la AEPD atribuye a un error de técnica legislativa. Se sugiere alinear ambos textos para evitar confusiones.
Conclusión:
La AEPD concluye que el proyecto no se ajusta al RGPD ni a la LOPDGDD, recomendando:
Modificar el art. 53.3 para incluir todos los derechos reconocidos en el RGPD.
Eliminar la recogida voluntaria de datos (teléfono, correo electrónico) por falta de base legal.
Realizar una EIPD y un análisis de riesgos para garantizar la protección de datos desde la fase de creación de la norma.
La AEPD insiste en que el prelegislador debe asegurar el cumplimiento del marco normativo de protección de datos, evitando tratamientos innecesarios o desproporcionados que afecten a los derechos fundamentales de los ciudadanos.