| Informe | 2024-0009 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD sobre la Plataforma Cooper@
La Agencia Española de Protección de Datos (AEPD) ha emitido un informe jurídico sobre el proyecto de Orden ministerial que crea la Plataforma Digital de Colaboración entre Administraciones Públicas (Cooper@). El objetivo principal de esta plataforma es facilitar las relaciones y el soporte electrónico de los órganos de cooperación administrativa, en cumplimiento de la Ley 40/2015 y otras disposiciones legales.
Aspectos clave del informe
Base legal y cumplimiento del RGPD
La plataforma realizará tratamientos de datos personales (identificativos y de contacto de los participantes), así como datos de terceros contenidos en documentos intercambiados.
La AEPD valora positivamente que el proyecto incluya un artículo específico (Art. 5) sobre protección de datos, alineado con el Reglamento General de Protección de Datos (RGPD) y la LOPDGDD.
Se destaca la necesidad de que la Memoria del Análisis de Impacto Normativo (MAIN) incluya un análisis de riesgos y, en su caso, una Evaluación de Impacto en Protección de Datos (EIPD), como exige el art. 35.10 RGPD.
Falta de análisis de riesgos en la MAIN
La AEPD señala que, aunque el proyecto menciona el impacto en protección de datos en la MAIN, no desarrolla su contenido.
Se recomienda realizar una EIPD para evaluar riesgos y adoptar medidas de seguridad proporcionales al nivel de riesgo.
Propuestas de mejora en el artículo 5
Reorganización del artículo: Se sugiere estructurarlo para clarificar el régimen jurídico aplicable, los principios de tratamiento (licitud, minimización, conservación) y las figuras del responsable y encargado del tratamiento.
Ampliación de los datos tratados: Incluir explícitamente la posibilidad de tratar datos de terceros presentes en documentos (borradores de actas, notas sucintas, etc.).
Precisión en las figuras del responsable y encargado:
El responsable será la Secretaría de Estado de Política Territorial.
Los encargados podrán ser personas físicas o jurídicas, públicas o privadas, que accedan a datos para prestar servicios.
Se debe garantizar que las relaciones con los encargados se regulen mediante contratos que cumplan el art. 28 RGPD (instrucciones, seguridad, etc.).
Medidas de seguridad:
Se critica la redacción ambigua sobre el cifrado de comunicaciones.
Se propone que las medidas de seguridad para los encargados se remitan directamente al art. 28.3 RGPD (ya incluye obligaciones de seguridad).
Base jurídica del tratamiento
La plataforma se ampara en el art. 6.1.c) y e) RGPD (cumplimiento de una obligación legal y misión de interés público).
Se incorpora la referencia a la Disposición Adicional Trigésima de la Ley 40/2015 y al art. 142 para delimitar las finalidades (facilitar relaciones electrónicas entre administraciones).
Principios de protección de datos aplicables
Minimización de datos: Solo se recogerán los datos necesarios.
Conservación: Los datos se almacenarán durante el tiempo necesario para su finalidad o por exigencias legales.
Derechos de los afectados: Se garantiza el ejercicio de derechos (acceso, rectificación, supresión).
Seguridad: Se exigirán medidas proporcionales según el Esquema Nacional de Seguridad (ENS) y el análisis de riesgos.
Conclusiones y recomendaciones
La AEPD aprueba la iniciativa, pero exige que se complemente la MAIN con un análisis de riesgos y EIPD.
El art. 5 de la Orden debe reformularse para clarificar responsabilidades, ampliar los datos tratados y precisar las medidas de seguridad.
Se recuerda que, al tratarse de un tratamiento de datos con base legal (interés público), los responsables y encargados deberán aplicar las medidas de seguridad derivadas del análisis de riesgos, evitando así la duplicidad de evaluaciones (EIPD).
En definitiva, el informe busca garantizar que la plataforma Cooper@ cumpla con el RGPD, minimizando riesgos para los derechos y libertades de los ciudadanos.