| Informe | 2024-0003 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD (Agencia Española de Protección de Datos) sobre el Proyecto de Real Decreto de expedición del DNI
El informe jurídico de la AEPD, con referencia 2024-0003, analiza la adecuación del Proyecto de Real Decreto que regula la expedición del Documento Nacional de Identidad (DNI) en sus versiones física y digital, en relación con la normativa de protección de datos, especialmente el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Principales puntos del informe
Necesidad de actualización normativa:
El Proyecto busca derogar el Real Decreto 1553/2005 para adaptar la regulación del DNI a cambios legales recientes, como el Reglamento (UE) 2019/1157 (que refuerza la seguridad de los documentos de identidad en la UE) y la Ley 20/2011 del Registro Civil.
La AEPD destaca la importancia de actualizar la normativa para garantizar la protección de datos personales, especialmente los datos biométricos (imagen facial y huellas dactilares), que se incluyen en el nuevo DNI.
Doctrina del Tribunal Constitucional y el TJUE:
La AEPD recuerda la jurisprudencia del Tribunal Constitucional (STC 76/2019) y del Tribunal de Justicia de la Unión Europea (TJUE), que exige que las normas que limiten derechos fundamentales, como el derecho a la protección de datos, cumplan con:
Habilitación legal clara: La norma debe establecer de manera expresa y detallada las condiciones y límites del tratamiento de datos.
Reglas precisas: Debe especificar los fines del tratamiento, las categorías de datos afectadas, los plazos de conservación y las garantías para proteger los derechos de los ciudadanos.
Medidas de seguridad: La norma debe incluir garantías específicas para minimizar los riesgos derivados del tratamiento de datos sensibles.
Evaluación de Impacto en Protección de Datos (EIPD):
La AEPD señala que el Proyecto no incluye una Evaluación de Impacto en Protección de Datos (EIPD), a pesar de que los tratamientos de datos biométricos requieren este análisis según el art. 35.3 del RGPD.
La AEPD recomienda que se realice una EIPD para identificar los riesgos y establecer las medidas necesarias para garantizar el cumplimiento del RGPD.
Tratamiento de datos biométricos:
El Reglamento (UE) 2019/1157 exige que los Estados miembros almacenen datos biométricos en el DNI físico, pero no regula el DNI digital. La AEPD advierte que el Proyecto no aclara si el DNI digital contendrá dichos datos biométricos ni la base jurídica para su tratamiento.
Además, el Reglamento prohíbe mantener los datos biométricos más allá de 90 días tras la expedición del DNI, salvo que exista otra base jurídica que lo justifique.
Falta de claridad en la versión digital del DNI:
El Proyecto no especifica claramente las finalidades, los datos tratados y las medidas de seguridad para el DNI digital. La AEPD sugiere que se regule de manera más precisa para evitar riesgos innecesarios para los derechos de los ciudadanos.
Recomendaciones finales:
La AEPD recomienda que se revise el Proyecto para incluir:
Una EIPD en la Memoria de Análisis de Impacto Normativo (MAIN).
Reglas claras sobre el tratamiento de datos biométricos y su conservación.
Garantías específicas para proteger los derechos de los interesados.
Separación física o lógica de los datos biométricos y los datos para servicios electrónicos o identificación digital.
En conclusión, la AEPD considera que el Proyecto tiene una incidencia significativa en el derecho fundamental a la protección de datos y que la ausencia de una EIPD y la falta de claridad en varios aspectos lo hacen incompatible con la normativa vigente. La Agencia sugiere modificaciones para garantizar el cumplimiento del RGPD y la LOPDGDD.