| Informe | 2024-0020 |
| Enlace | 📋 |
Resumen del Informe Jurídico de la AEPD (Referencia: 2024-0020, N/REF: 0020/2024)
Contexto y Objeto del Informe
La Agencia Española de Protección de Datos (AEPD) emite este informe a instancias de la Comunitat Valenciana (CVA), para aclarar el régimen de protección de datos aplicable a la Guía PROP Electrónica, una herramienta pública que centraliza información administrativa, procedimientos y datos del personal de la Administración Valenciana. La consulta surge por dudas sobre la determinación de los roles en el tratamiento de datos entre distintos órganos de la Administración Pública Valenciana (APV), especialmente en relación con la figura del responsable del tratamiento y la posible corresponsabilidad conforme al Reglamento General de Protección de Datos (RGPD).
Marco Normativo Analizado
El informe evalúa normas autonómicas clave:
Decreto 191/2014: Regula la atención al ciudadano y la Guía PROP Electrónica (art. 15), atribuyendo su competencia a la consellería en materia de atención al ciudadano (Servicio de Atención al Ciudadano y Modernización de la Administración Pública).
Decreto 130/2012: Establece la organización de la seguridad de la información, designando responsables de protección de datos en cada consellería (art. 9). Este decreto, sin embargo, emplea terminología obsoleta («responsable de ficheros de datos de carácter personal»), alineada con la anterior Ley Orgánica 15/1999 (LOPD), pero no con el marco actual del RGPD (que elimina el concepto de «fichero» como eje central).
Problemas Identificados en la Normativa Autonómica
Terminología desactualizada:
Los decretos autonómicos aún mencionan la figura del «responsable del fichero», heredada de la LOPD, término inexistente en el RGPD. La AEPD recuerda que el sistema actual se centra en el «tratamiento de datos» (art. 4.7 RGPD) y no en ficheros, instando a adecuar la normativa autonómica para evitar confusiones.
Se sugiere reemplazar este concepto por el de «responsable del tratamiento» o, en su caso, designar las figuras que correspondan según el RGPD.
Ausencia de corresponsabilidad en la Guía PROP:
La AEPDanaliza si varios órganos de la APV (como los Subsecretarios de las consellerías o la Dirección General de Tecnologías de la Información) podrían ser corresponsables en el tratamiento de datos de la Guía PROP, según el art. 26 del RGPD (que regula la corresponsabilidad cuando dos o más entidades determinan conjuntamente fines y medios del tratamiento).
Conclusión: No existe base legal para atribuir corresponsabilidad. La normativa autonómica no prevé que estos órganos participen de forma conjunta en la determinación de los fines y medios del tratamiento de la Guía PROP. Cada órgano actúa en su ámbito competencial:
Consellería de atención al ciudadano: Responsable del tratamiento de los datos vinculados a la elaboración y publicación de la Guía PROP.
Subsecretarios de cada consellería: Responsables del tratamiento de los datos personales de su personal (ej.: incluir información laboral en la guía).
La AEPD se apoya en sentencias recientes del Tribunal de Justicia de la UE (TJUE):
Sentencia C-40/17 (29 de julio de 2019): Establece que solo hay corresponsabilidad si varios actores determinan juntos fines y medios. No basta con participar en etapas anteriores o posteriores del tratamiento.
Sentencia C-231/22 (11 de enero de 2024): Reafirma que cada responsable del tratamiento responde individualmente de las operaciones que realiza bajo su ámbito, independientemente de su papel en una cadena de tratamientos.
Figuras Clave en el RGPD y su Aplicación
Responsable del tratamiento (art. 4.7 RGPD):
Es quien determina los fines y medios del tratamiento. En el caso de la Guía PROP, estos responsables son:
La consellería de atención al ciudadano (por la gestión de la guía).
Los Subsecretarios de cada consellería (por los datos de su personal).
Cada responsable debe garantizar el cumplimiento de los principios del RGPD (art. 5), como la minimización de datos, exactitud, actualización, y transparencia. También debe poder demostrar el cumplimiento de estas obligaciones (principio de responsabilidad proactiva o accountability*).
Encargado del tratamiento:
Sería la figura que trata datos por cuenta del responsable (ej.: una empresa externa que gestione la plataforma tecnológica de la Guía PROP). Este rol está atribuido a la Dirección General de Tecnologías de la Información (según Decreto 80/2020).
La relación entre responsable y encargado debe formalizarse mediante un contrato (art. 28 RGPD), con cláusulas que regulen las instrucciones, seguridad y posibles transferencias internacionales.
Corresponsabilidad (art. 26 RGPD):
No aplica en este caso, ya que no hay determinación conjunta de fines y medios. Sin embargo, en contextos donde la corresponsabilidad existiera, los corresponsables deberían acordar sus responsabilidades y ponerlas a disposición de los interesados.
Obligaciones Derivadas para los Responsables
Cada responsable debe:
Identificar y registrar sus actividades de tratamiento (art. 30 RGPD).
Garantizar la licitud, transparencia y limitación de la finalidad (art. 5 RGPD).
Minimizar los datos (solo incluir los necesarios para la Guía PROP).
Asegurar la exactitud y actualización de los datos del personal (ej.: evitar incluir datos obsoletos).
Informar a los interesados (art. 13 y 14 RGPD) sobre el uso de sus datos.
Adoptar medidas técnicas y organizativas para proteger los datos (ej.: cifrado, acceso restringido).
Documentar las decisiones tomadas para demostrar el cumplimiento del RGPD.
Conclusiones del Informe
Falta de corresponsabilidad: No existe fundamento legal para considerar que los distintos órganos de la APV sean corresponsables en el tratamiento de datos de la Guía PROP.
Responsables individuales: Cada órgano es responsable dentro de su ámbito competencial, debiendo cumplir con sus obligaciones conforme al RGPD.
Urgencia de adaptación normativa: La AEPD recomienda actualizar la terminología de los decretos autonómicos (eliminar «fichero» y alinear con RGPD) para evitar interpretaciones erróneas.
Cumplimiento del articulo 5 RGPD: Cada responsable debe cumplir y poder demostrar el cumplimiento de los principios del RGPD respecto a las operaciones que realice, incluso si existen cadenas de tratamiento con otros responsables.
Recomendaciones Finales
Revisar los decretos autonómicos 191/2014 y 130/2012 para eliminar terminología obsoleta y alinearlos con el RGPD.
Formalizar contratos de encargo si la gestión de la Guía PROP se externaliza.
Implementar registros de actividades de tratamiento para cada consellería.
Capacitar al personal en protección de datos y RGPD.
Este informe subraya la importancia de una asignación clara de roles en el tratamiento de datos para garantizar la protección efectiva de los derechos de los ciudadanos, en línea con los principios del RGPD.