| Informe | 2024-0026 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD (Expediente 2024-0026)
El informe jurídico del Gabinete Jurídico de la AEPD (Expediente 2026/2024) analiza un «Acuerdo de Colaboración» propuesto por la AEPD con un sujeto de derecho privado, evaluando su adecuación a la normativa vigente, en particular la Ley 40/2015 de Régimen Jurídico del Sector Público (LRJSP). A continuación, se resumen las principales observaciones y recomendaciones realizadas:
Naturaleza del acuerdo y su encaje legal
El documento reconoce que el Acuerdo de Colaboración puede considerarse un «convenio» según el art. 47.1 LRJSP, al ser un acuerdo entre la AEPD (entidad pública) y un sujeto privado para un fin común. Su legalidad dependerá de cumplir con los requisitos establecidos en el art. 47.2 LRJSP, que lo clasifica como convenio entre Administración Pública y sujeto privado (letra c).
Requisitos formales: inscripción y publicación
El art. 48.8 LRJSP exige que los convenios de la Administración General del Estado sean:
Inscritos en el Registro Electrónico de Órganos e Instrumentos de Cooperación del Sector Público Estatal en 5 días hábiles desde su firma.
Publicados en el BOE en 10 días hábiles tras su formalización.
El informe recomienda modificar la cláusula octava (entrada en vigor) para incluir esta obligación y especificar que la vigencia del convenio será de 12 meses desde su publicación en el BOE.
Contenido obligatorio del convenio (art. 49 LRJSP)
El informe destaca la necesidad de incluir los siguientes aspectos, muchos de ellos ausentes en el borrador:
a) Identificación de las partes
Debe quedar claro que la AEPD (como autoridad de protección de datos) y el sujeto privado firman el acuerdo.
La AEPD debe ser representada por su Directora (o persona autorizada).
b) Fundamento legal de las competencias de la AEPD
Se recomienda especificar los preceptos del RGPD (Reglamento General de Protección de Datos) y la LOPDGDD (Ley Orgánica de Protección de Datos Personales y garantía de derechos digitales) que justifican el alcance del acuerdo.
Ejemplo:
«La AEPD, en su labor de autoridad de control (art. 57 RGPD), promueve la sensibilización pública y privada en materia de protección de datos, así como investigaciones sobre su aplicación, en particular en áreas como menores, salud digital y privacidad, según su estrategia 2023-2024.»
c) Objeto y actuaciones
Las cláusulas Primera a Cuarta definen el objeto (ej. un estudio de investigación) y las actuaciones, pero falta especificar la titularidad de los resultados obtenidos, especialmente en estudios conjuntos.
Se sugiere añadir:
«Los resultados del estudio serán de titularidad [conjunta/privativa según corresponda] entre las partes, conforme a lo establecido en el art. 49.c LRJSP.»
d) Memoria justificativa (art. 50 LRJSP)
El borrador no incluye la Memoria Justificativa requerida (contenido detallado del art. 50.1 LRJSP), que debe justificar la necesidad y viabilidad del convenio.
Debe adjuntarse, incluyendo objetivos, impacto esperado, presupuesto y plazo de ejecución.
Extinción del convenio (art. 51 LRJSP)
El informe propone modificar la cláusula octava para detallar las causas de resolución, incluyendo:
Vencimiento del plazo inicial (12 meses) sin prórroga.
Acuerdo unánime de las partes.
Incumplimiento de obligaciones:
Notificación previa con plazo de subsanación (ej. 10 días).
Si persiste el incumplimiento, el convenio se dará por resuelto automáticamente.
Nulidad por decisión judicial.
Otras causas legales.
Esto cubre, además, el requisito del art. 49.e LRJSP sobre consecuencias del incumplimiento.
Otros aspectos a revisar
Faltan nombres concretos en cláusulas como la Quinta o Décimo segunda (deben completarse con los datos del firmante de la AEPD).
Cláusula Décima (Tratamiento de datos personales):
Se debe eliminar la referencia a «normativa local» o «obligaciones regulatorias» como base legal del tratamiento de datos, ya que el RGPD (art. 6) exige leyes o consentimiento para legitimar el tratamiento de datos personales. Estas referencias genéricas son inválidas.
Conclusión
El informe identifica omisiones y deficiencias en el borrador del convenio que podrían hacerlo nulo o ineficaz. Las principales correcciones requeridas son:
Incorporar requisitos formales: inscripción en el registro y publicación en el BOE.
Detallar fundamentos legales de las competencias de la AEPD (RGPD/LOPDGDD).
Añadir la titularidad de los resultados del estudio.
Incluir la Memoria Justificativa (art. 50 LRJSP).
Regular las causas de resolución (art. 51 LRJSP).
Corregir la cláusula de tratamiento de datos para ajustarla al RGPD.
Fuente: Expediente 2024-0026 del Gabinete Jurídico de la AEPD (26/2024).