| Informe | 2023-0074 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD (2023-0074)
El informe de la Agencia Española de Protección de Datos (AEPD) analiza un proyecto de Orden Ministerial que regula los cursos de conducción segura y eficiente para la recuperación o bonificación de puntos del permiso de conducir, según lo establecido en el Anexo VIII de la Ley de Seguridad Vial (LSV).
Marco legal y objetivos del proyecto
El proyecto se enmarca en la Ley de Seguridad Vial (Real Decreto Legislativo 6/2015) y su Reglamento (Real Decreto 818/2009), que regulan el Registro de Conductores e Infractores de la DGT. El objetivo es desarrollar normativamente los cursos que permiten recuperar o acumular puntos adicionales (hasta 15 puntos en lugar de los 12 iniciales), según el artículo 63.5 LSV.
Tratamiento de datos personales
El proyecto implica varios tratamientos de datos:
Certificaciones de los organismos acreditadores.
Listados de alumnos y certificados de asistencia por parte de los centros de formación.
Registro en la DGT de los puntos obtenidos.
Las bases jurídicas para estos tratamientos son:
Art. 6.1.e) RGPD (interés público) para la DGT.
Art. 6.1.b)RGPD (ejecución de un contrato) o Art. 6.1.c)RGPD (obligación legal) para los centros de formación.
Problema principal: uso de control biométrico
El artículo 8.4 del proyecto permite el control de asistencia mediante sistemas biométricos (huella dactilar, reconocimiento facial), lo que implica el tratamiento de datos biométricos (datos de categorías especiales según el art. 9 RGPD).
La AEPD considera que este tratamiento vulnera varios principios del RGPD:
Falta de base jurídica adecuada: El consentimiento no es libre (el alumno no puede elegir otro método) y no cumple el juicio de necesidad (existen alternativas como firmas electrónicas).
Incumplimiento del principio de minimización (art. 5.1.c RGPD): No es necesario usar biometría si hay otros medios.
Falta de Evaluación de Impacto (EIPD): El tratamiento a gran escala requiere un análisis previo.
Ausencia de norma legal específica: No hay una ley que permita este tratamiento sin garantías adicionales.
Conclusión: Debe eliminarse la referencia al control biométrico en el art. 8.4. Se propone usar firmas u otros sistemas compatibles con la protección de datos.
Otras observaciones
Incongruencia en la duración mínima de los cursos: El proyecto establece 1h 45min para la formación teórica, pero la LSV y sus anexos exigen solo 1h 15min.
Falta de claridad en el «reparto de alumnos»: El término es ambiguo y podría implicar un tratamiento innecesario de datos. Debe definirse su alcance.
Error en el Estatuto de la AEPD: La referencia al Real Decreto 428/1993 está obsoleta; debe corregirse al Real Decreto 389/2021.
Propuesta final
La AEPD recomienda:
Suprimir el control biométrico en el art. 8.4.
Corregir la duración teórica de los cursos.
Aclarar el «reparto de alumnos» para evitar tratamientos excesivos de datos.
Actualizar la referencia legal del Estatuto de la AEPD.
Este informe subraya la importancia de garantizar la protección de datos en la regulación de estos cursos, evitando el uso de tecnologías invasivas sin justificación legal suficiente.