| Informe | 2024-0012 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD (Referencia: 2024-0012)
El Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) emitió este informe para evaluar la conformidad con el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD) de un proyecto normativo que regula los cursos de sensibilización y reeducación vial en España, desarrollado por el Ministerio del Interior.
Contexto y Marco Legal
El proyecto se enmarca en la Ley de Seguridad Vial (LSV) y su Real Decreto 818/2009, que regulan la gestión del Registro de Conductores e Infractores, incluyendo datos sensibles como condenas judiciales y sanciones administrativas. La AEPD analiza si los tratamientos de datos personales derivados de esta norma cumplen con el RGPD (artículos 6, 9, y 22) y la LOPDGDD (artículos 10 y 27), especialmente en lo relativo a:
Derechos de los interesados (transparencia, minimización de datos).
Tratamiento de datos biométricos (control de asistencia).
Perfilado de infractores para personalizar cursos.
Formación online y verificación de identidad.
Participación de víctimas de accidentes en los cursos.
Principales aspectos evaluados
Tratamiento de datos personales
La AEPD identifica varios tratamientos de datos derivados de la orden ministerial:
Registro de conductores e infractores: Incluye datos de infracciones graves/muy graves y puntos.
Inscripción de alumnos: Datos personales y seguimiento de asistencia (firma en partes de presencia).
Perfilado de infractores: Clasificación por tipos de infracciones (velocidad, alcohol, distracciones, etc.).
Formación online: Verificación de identidad mediante sistemas de autenticación.
Participación de víctimas: Tratamiento de datos sensibles (ej. salud) de víctimas voluntarias.
Bases jurídicas aplicables:
Art. 6.1.e) RGPD: Tratamiento necesario para el interés público (DGT).
Art. 6.1.b) RGPD: Ejecución de un contrato (centros de formación).
Art. 6.1.c) RGPD: Cumplimiento de obligación legal (control de identidad).
Control de asistencia y verificación de identidad
El proyecto propone el uso de partes de firmas u otros sistemas para verificar asistencia, pero excluye expresamente el control biométrico (huella dactilar, reconocimiento facial), lo que la AEPD valora positivamente:
El biometrismo está prohibido al no existir base legal específica (art. 9 RGPD) ni justificación de necesidad proporcional.
Incluso con consentimiento, no sería válido por falta de libertad real (el alumno no puede optar por otro sistema sin perjuicio).
Se recomienda la Evaluación de Impacto (EIPD) si se plantease su uso en el futuro, aunque no parece necesario en este caso.
Perfilado de infractores
El proyecto clasifica a los alumnos por perfiles (ej. “alcohol”, “velocidad”) para adaptar el contenido formativo:
La AEPD considera este perfilado como una simple clasificación (no automatizada), basada en datos ya existentes en el registro de la DGT.
No requiere EIPD, siempre que:
Se limiten a los datos del registro.
No se usen para decisiones automatizadas sin intervención humana (art. 22 RGPD).
Se exige informar a los afectados sobre la lógica del perfilado (art. 13.2.f RGPD), aunque el proyecto no lo detalla explícitamente.
Formación online y autenticación
Se permite la formación no presencial si:
La plataforma registra conexiones y actividad.
Se usa autenticación de doble factor (no se especifica si incluye biométricos).
La AEPD advierte que si el doble factor implica datos biométricos, debería excluirse por los riesgos ya mencionados.
Participación de víctimas de accidentes
Las víctimas que participen de forma voluntaria en los cursos:
Pueden prestar consentimiento (art. 9.2.a RGPD).
Sus datos son manifiestamente públicos (art. 9.2.e RGPD) por su condición de víctimas.
La AEPD considera que su tratamiento está justificado si se limita a fines educativos y con las garantías adecuadas.
Conclusiones y recomendaciones de la AEPD
El proyecto cumple con el RGPD y la LOPDGDD siempre que:
Se respeten los principios de minimización, licitud y proporcionalidad.
Se evite el uso de biometría en el control de asistencia.
Se informe claramente a los participantes sobre el perfilado y su finalidad.
La formación online no implique riesgos para los datos personales.
La participación de víctimas sea voluntaria y con consentimiento explícito.
Recomendaciones adicionales:
Incorporar en el proyecto información detallada sobre los tratamientos de datos (ej. lógica del perfilado).
Garantizar que cualquier autenticación digital no viole la privacidad.
Asegurar que las entidades externas (centros de formación) cumplan con el RGPD.
Exclusiones:
El uso de datos biométricos queda descartado por falta de base legal adecuada.
El perfilado no debe derivar en decisiones automatizadas sin supervisión humana.
Resumen final
El informe de la AEPD aprueba el proyecto en su estructura general, pero exige mitigar riesgos en áreas como la autenticación digital y el perfilado, promoviendo alternativas menos invasivas que protejan los derechos de los ciudadanos. La transparencia, la minimización de datos y el respeto al RGPD son pilares clave para su implementación legal.