| Informe | 2023-0075 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD (2023-0075)
El informe jurídico de la Agencia Española de Protección de Datos (AEPD) analiza el proyecto de orden que regula los procedimientos para la adquisición y pérdida de la condición de Punto de Atención al Emprendedor (PAE) y las Entidades Colaboradoras, según lo establecido en la Ley 14/2013 de apoyo a emprendedores y su internacionalización.
Ámbito de aplicación y tratamientos de datos personales
El informe destaca que el proyecto implicará procesos de tratamiento de datos personales, tanto de representantes legales de personas jurídicas (empresas u organismos) como de terceros (trabajadores adscritos a los PAE o incluidos en documentos de verificación).
Datos afectados:
Representantes legales de entidades solicitantes.
Personal de los PAE (cumplimiento de perfiles técnicos).
Terceros cuyos datos puedan incluirse en trámites (ej.: DUE, Documento Único Electrónico).
El Reglamento General de Protección de Datos (RGPD) y la LOPDGDD son de aplicación, dado que se trata datos de personas físicas identificadas o identificables.
Base jurídica para el tratamiento
El tratamiento se legitima bajo el artículo 6.1.e) RGPD (interés público) y artículo 8.2 LOPDGDD, ya que:
La normativa de apoyo al emprendimiento tiene objetivos de interés público (facilitar la creación de empresas).
La Dirección General de Industria y de la PYME (DGIPYME) actúa como responsable del tratamiento, cumpliendo misiones encomendadas por ley.
Principios del RGPD aplicables
El informe recuerda los principios clave del RGPD que deben respetarse:
Licitud, lealtad y transparencia (artículo 5.1.a): Informar claramente a los afectados sobre el tratamiento (objetivos, base legal, plazos, derechos).
Se recomienda implementar un sistema de información por capas (información básica + acceso a detalles).
Limitación de la finalidad: Los datos solo podrán usarse para los fines establecidos (trámites administrativos, asesoramiento).
Minimización de datos: Recoger solo la información estrictamente necesaria.
Exactitud y conservación limitada: Datos precisos y retenidos solo el tiempo indispensable.
Identificación de roles: responsable y encargado del tratamiento
El informe aclara que:
Responsable del tratamiento: DGIPYME (gestionar el sistema CIRCE y los procedimientos).
Encargado del tratamiento:
Los PAE (que acceden a datos de emprendedores para gestionar el DUE).
Entidades Colaboradoras (que prestan servicios en la Red PAE).
Se detectó un error en el artículo 8 del proyecto, donde no se explicitaba claramente la figura de responsable. Se propone modificar el texto para definir:
«Se considera responsable del tratamiento a la DGIPYME y encargado del tratamiento a las entidades que adquieran la condición de PAE».
Además, se regulan obligaciones específicas para los PAE como encargados:
Uso exclusivo de datos para la tramitación del DUE o contacto con compradores/vendedores.
Seguridad y confidencialidad: Cifrado, contratos de confidencialidad con el personal, notificación de brechas de seguridad.
Colaboración con la AEPD: Permitir auditorías e inspecciones.
Devolución/supresión de datos tras perder la condición de PAE.
Diligencia al elegir encargados: En caso de subcontratar servicios, el PAE debe asegurar que cumplan con el RGPD.
Recomendaciones finales
Transparencia:
Incluir en la orden un apartado específico sobre información a los afectados (deberes del responsable según artículos 13 y 14 del RGPD).
Especificar plazos de conservación de datos y derechos de los interesados (acceso, rectificación, supresión).
Minimización de datos:
Asegurar que los formularios y trámites solo recojan datos esenciales.
Forma jurídica entre responsable y encargado:
Documentar la relación PAE-DGIPYME mediante un contrato o acto jurídico que cumpla con el artículo 28.3 RGPD (instrucciones, seguridad, auditorías).
Formación y accountability:
Los PAE deben designar un delegado de protección de datos si su núcleo de actividad implica tratamiento a gran escala (artículo 37 RGPD).
Registrar actividades de tratamiento (artículo 30 RGPD, obligatorio para encargados si aplicable).
Conclusión
El proyecto de orden cumple con el marco legal en protección de datos, siempre y cuando se introduzcan las enmiendas propuestas para:
Aclarar roles (responsable/encargado).
Garantizar transparencia en la información a los afectados.
Reforzar la seguridad y la minimización de datos.
Documentar formalmente la relación DGIPYME-PAE.
La AEPD considera que, con estas mejoras, el texto será conforme al RGPD y la LOPDGDD, protegiendo los derechos de los ciudadanos mientras se facilita el emprendimiento.
Fuente: AEPD, Informe Jurídico 2023-0075, Gabinete Jurídico.