| Informe | 2024-0024 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD sobre el Registro Electrónico de Apoderamientos (Orden 2024-0024)
La Agencia Española de Protección de Datos (AEPD) analiza en este informe la Orden que regula el Registro Electrónico de Apoderamientos del Organismo Estatal Inspección de Trabajo y Seguridad Social. El texto establece un marco normativo para gestionar apoderamientos digitales en procedimientos sancionadores y trámites administrativos, alineándose con la Ley 39/2015 (Procedimiento Administrativo Común) y otros reglamentos sectoriales. Sin embargo, la AEPD identifica deficiencias en su adecuación al Reglamento General de Protección de Datos (RGPD – UE 2016/679) y la LOPDGDD 3/2018, proponiendo ajustes clave para garantizar el derecho fundamental a la protección de datos.
Aspectos críticos destacados por la AEPD
Falta de una cláusula general de protección de datos
La AEPD señala que la Orden no incluye una referencia normativa explícita y genérica a las disposiciones del RGPD para todo tipo de tratamientos de datos vinculados al registro. Aunque se menciona la base jurídica del artículo 6.1.e) RGPD (interés público) para legitimizar el tratamiento, la redacción es incompleta y ambigua.
Recomendación: Incluir al inicio del artículo 3 una cláusula que indique:
«Todos los tratamientos de datos personales se regirán por lo dispuesto en el RGPD (UE 2016/679) y la normativa nacional aplicable».
Principios del RGPD insuficientemente desarrollados
El proyecto menciona el principio de protección de datos de forma genérica, sin detallar los principios concretos del artículo 5 RGPD:
Licitud, lealtad y transparencia.
Minimización de datos (evitar recopilar más información de la necesaria).
Limitación de la finalidad (los datos solo deben usarse paraegistrar el apoderamiento).
Exactitud, integridad y confidencialidad.
Responsabilidad proactiva (el organismo debe demostrar el cumplimiento normativo).
La AEPD sugiere reemplazar la referencia imprecisa por una enumeración clara de estos principios.
Base jurídica: confusión en la legitimación del tratamiento
La Orden se fundamenta en el artículo 6.1.e) RGPD (interés público) y en los artículos 5 y 6 de la Ley 39/2015. No obstante:
El RGPD exige que el tratamiento sea «necesario» para cumplir una misión pública atribuida por ley. La AEPD recuerda que la Administración solo puede actuar cuando exista una habilitación legal expresa (doctrina de la vinculación positiva).
Ejemplo: Si el tratamiento de datos para gestionar un apoderamiento no es estrictamente necesario para el interés público, podría incumplir el principio de minimización de datos (artículo 5.1.c RGPD).
Riesgo: Tratamientos innecesarios que carezcan de base jurídica suficiente.
Ausencia de análisis de riesgos y Evaluación de Impacto (EIPD)
La AEPD detecta que el documento no incluye:
Un análisis específico de riesgos para los tratamientos de datos (más allá del Esquema Nacional de Seguridad).
Una Evaluación de Impacto en Protección de Datos (EIPD) obligatoria en casos de alto riesgo (según artículo 35 RGPD), especialmente al tratar datos sensibles o crear perfiles.
Guía de la AEPD: La AEPD remite a su guía «Orientaciones para la realización de una EIPD en el desarrollo normativo», destacando que es prioritario realizar este análisis cuando una norma implique nuevos tratamientos de datos.
Limites del interés legítimo (artículo 6.1.f RGPD)
La AEPD aclara que las Administraciones públicas no pueden usar el «interés legítimo» (artículo 6.1.f) como base jurídica, ya que este mecanismo está reservado para particulares. Solo pueden ampararse en el interés público cuando haya una hablitación legal expresa.
Conclusiones y recomendaciones finales
La AEPD considera que la Orden cumple parcialmente con el RGPD, pero requiere modificaciones sustanciales:
Incorporar una cláusula general de protección de datos que aluda explícitamente a la normativa europea y española.
Explicitar los principios del artículo 5 RGPD y su aplicación al caso concreto.
Garantizar que solo se traten datos estrictamente necesarios para el propósito del registro, evitando tratamientos adicionales.
Realizar un análisis de riesgos y EIPD con carácter previo, siguiendo la guía de la AEPD, especialmente si el registro implica perfiles de riesgo (ej.: acceso a datos laborales o de seguridad social).
Clarificar la base jurídica del tratamiento para evitar solapamientos entre el interés público, la ley de procedimiento administrativo y el RGPD.
Impacto práctico
Este informe subraya la importancia de que las Administraciones públicas integren la protección de datos desde el diseño (privacy by design) y la Ubicación de Negocio (privacy by default) en sus proyectos normativos. La falta de cumplimiento podría llevar a sanciones por parte de la AEPD, además de generar inseguridad jurídica en los ciudadanos afectados.
Fuente: Informe jurídico 2024-0024, Gabinete Jurídico de la AEPD (500 palabras).