| Informe | 2024-0005 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD sobre el Estatuto de las personas cooperantes (Informe 0005/2024)
La Agencia Española de Protección de Datos (AEPD) ha emitido un informe jurídico sobre el proyecto de Real Decreto que aprueba el Estatuto de las personas cooperantes, desarrollado en cumplimiento de la Ley 1/2023 de Cooperación para el Desarrollo Sostenible y la Solidaridad Global. La norma deroga el anterior Real Decreto 519/2006 y regula aspectos clave como los derechos y obligaciones de los cooperantes, su formación, carrera profesional, homologación de servicios, previsión social y régimen de incompatibilidades.
Figura del cooperante y transferencias de datos
La AEPD destaca que la definición del cooperante en el proyecto se ajusta a la ley, aunque se limita a quienes prestan servicios en países o territorios específicos. También reconoce como cooperantes a ciudadanos de la UE o de países terceros vinculados laboralmente a entidades españolas de cooperación. Sin embargo, advierte que la prestación de servicios en el extranjero implicará transferencias internacionales de datos personales, que deberán cumplir con el Capítulo V del RGPD (Reglamento General de Protección de Datos), garantizando que el nivel de protección no se vea menoscabado.
La AEPD subraya la aplicación extraterritorial de las normas españolas en cuanto a derechos y obligaciones de los cooperantes durante su actividad en el extranjero. En particular, señala la omisión en el proyecto del derecho fundamental a la protección de datos en el artículo 4, que enumera los derechos de los cooperantes. Por ello, recomienda incluir este reconocimiento expresamente.
Responsabilidad en el tratamiento de datos
El informe analiza la falta de claridad en la identificación del responsable del tratamiento de los datos de los cooperantes. Aunque el proyecto menciona obligaciones de las entidades promotoras de cooperación (como el depósito de contratos en registros), no especifica quién asume la responsabilidad en cada tratamiento. La AEPD recuerda que, según el RGPD, el responsable del tratamiento es quien determina los fines y medios del mismo, y que esta figura podría recaer en el Ministerio de Asuntos Exteriores (MAUEC), la AECID o otros órganos, dependiendo del caso.
Además, el informe señala que el proyecto no establece claramente las bases jurídicas que legitiman el tratamiento de datos (artículo 6.1 RGPD), limitándose a indicar que las entidades promotoras cumplirán con el RGPD y la LOPDGDD sin especificar finalidades concretas. La AEPD exige que se definan las bases jurídicas aplicables, como el cumplimiento de una misión en interés público (artículo 6.1.e RGPD) o la ejecución de un contrato (artículo 6.1.b RGPD). También critica la falta de un análisis de riesgos o evaluación de impacto en materia de protección de datos, esencial para garantizar el cumplimiento de principios como la limitación de la finalidad y minimización de datos.
Intercambio de información entre administraciones
La Disposición Adicional Primera del proyecto permite el intercambio de información entre el MAUEC, la AECID y otras administraciones públicas (como comunidades autónomas y entes locales) en relación con los cooperantes. La AEPD advierte que este intercambio debe respetar el principio de limitación de la finalidad (artículo 5.1.b RGPD) y no está justificado por las competencias previstas en la Ley 1/2023. Se señala que las finalidades del tratamiento inicial deben ser compatibles con el nuevo uso de los datos, y que el proyecto no establece bases jurídicas para esta cesión, incumpliendo el deber de transparencia y licitud del RGPD.
Tratamiento de datos sensibles: adscripción religiosa
El artículo 13.5 del proyecto obliga a las personas vinculadas a entidades religiosas a presentar una «declaración responsable de adscripción» para adherirse a un seguro colectivo. La AEPD considera que esto constituye un tratamiento de datos de especial protección (artículo 9 RGPD), ya que la adscripción religiosa puede revelar convicciones filosóficas o religiosas, categorías prohibidas salvo excepciones. El RGPD permite el tratamiento de estos datos en entornos internos de organizaciones sin ánimo de lucro con fines religiosos, pero prohíbe su comunicación fuera de ese ámbito sin consentimiento explícito. El proyecto no justifica esta excepción ni garantiza que la declaración no se utilice para otros fines, por lo que recomienda suprimir el término «adscripción» y referirse solo al «vínculo» con la entidad, similar a lo previsto para voluntarios.
Seguridad de los datos y medidas técnicas
El informe destaca que el proyecto no incluye previsiones sobre las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos (artículos 24 y 32 RGPD). Se hace referencia al Esquema Nacional de Seguridad (Real Decreto 311/2022) y se sugiere la creación de un apartado específico en el Estatuto que regule:
La responsabilidad de los tratamientos.
Las bases jurídicas aplicables.
Las medidas de seguridad, incluyendo la obligación de realizar análisis de riesgos y, en su caso, evaluaciones de impacto (artículo 35 RGPD).
Conclusión y recomendaciones
La AEPD concluye que el proyecto requiere numerosas modificaciones para ajustarse al RGPD y la LOPDGDD. Entre las principales recomendaciones destacan:
Incluir el derecho a la protección de datos en el artículo 4.
Clarificar la figura del responsable del tratamiento.
Especificar las bases jurídicas del tratamiento de datos.
Suprimir la referencia a la «adscripción religiosa» y reemplazarla por el concepto de «vínculo».
Añadir un apartado específico sobre seguridad y tratamiento confidencial de los datos.
Realizar análisis de riesgos y, donde sea necesario, evaluaciones de impacto.
El informe finaliza insistiendo en la necesidad de que el proyecto cuente con el asesoramiento del Delegado de Protección de Datos (DPD) para garantizar su conformidad con la normativa de protección de datos.