| Informe | 2023-0068 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD (Agencia Española de Protección de Datos) sobre el Proyecto de Real Decreto para la certificación de proveedores meteorológicos de apoyo a la navegación aérea (Expediente 2023-0068)
El informe jurídico analiza un proyecto de Real Decreto destinado a actualizar la normativa española en materia de certificación y supervisión de proveedores civiles de servicios meteorológicos de apoyo a la navegación aérea. El texto propone derogar la Orden MAM/1792/2006 y adaptar el marco nacional al Reglamento (UE) 2017/373, que regula los requisitos comunes para los proveedores de servicios de gestión del tránsito aéreo y la navegación aérea en la Unión Europea. El objetivo es modernizar los procedimientos de emisión, modificación, suspensión o revocación de certificados, así como establecer un sistema de supervisión continua para garantizar la seguridad y calidad de estos servicios.
El informe destaca que el proyecto implica tratamientos de datos personales, ya que la Autoridad Nacional de Supervisión de Servicios Meteorológicos (ANSMET), dependiente del Ministerio para la Transición Ecológica, será la responsable del tratamiento de datos en el marco de sus competencias. Esto incluye la gestión de ficheros estructurados con datos de personas físicas o jurídicas afectadas por el proceso (proveedores de servicios meteorológicos). La base jurídica para el tratamiento se encuentra en el artículo 6.1.e) del RGPD, al tratarse de una misión de interés público o ejercicio de poderes públicos conferidos a la Administración.
No obstante, el informe señala indefiniciones críticas en el texto:
Falta de precisión en las medidas de seguridad: El artículo 6 del proyecto menciona la confidencialidad y el buen uso de la información, pero no especifica las medidas técnicas y organizativas necesarias para garantizar la protección de datos, como exige el RGPD en sus artículos 24 (medidas técnicas y organizativas) y 32 (seguridad del tratamiento).
Ausencia de referencia explícita al RGPD y la LOPDGDD: Se recomienda incluir un apartado que declare expresamente que los tratamientos se realizarán bajo el cumplimiento estricto de estas normas, junto con una mención al análisis de riesgos (Art. 24 RGPD) y, si es necesario, a la evaluación de impacto en protección de datos (Art. 35 RGPD).
Rol de la ANSMET: La Agencia será responsable del tratamiento, pero el texto no detalla cómo se garantizarán los derechos de los interesados (acceso, rectificación, supresión, etc.), ni cómo se integrarán las medidas del Esquema Nacional de Seguridad (Real Decreto 311/2022).
El informe concluye que, para garantizar la conformidad con el RGPD, el proyecto debe:
Incluir medidas técnicas y organizativas concretas para la seguridad de los datos.
Incorporar una cláusula explícita que reconozca la aplicación del RGPD y la LOPDGDD, y que defina la base jurídica del tratamiento.
Establecer procedimientos transparentes para el ejercicio de los derechos de los afectados, especialmente en contextos donde la información podría difundirse para garantizar la seguridad aérea.
En definitiva, la AEPD considera que el proyecto es lícito en su objetivo, pero requiere ajustes para asegurar la protección de datos personales y evitar incumplimientos del marco normativo europeo y nacional.