| Informe | 2024-0027 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD (Expediente: 2024-0027)
El informe, emitido por el Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD), evalúa la incorporación de observaciones previas en el Proyecto de Real Decreto relacionado con la Agencia Estatal de la Administración Digital (AAD). Dada la urgencia de la consulta, se limita a verificar que las sugerencias del informe anterior (de 13 de marzo de 2023) se hayan reflejado en el texto definitivo, sin analizar otras posibles modificaciones.
Observaciones incorporadas y su cumplimiento:
Inclusión de fines regulatorios (Artículo 2.b):
Se recomendó añadir en el apartado b) del artículo 2 la mención expresa a la normativa de protección de datos personales y los Esquemas Nacionales de Seguridad e Interoperabilidad, junto a la prestación de servicios digitales públicos.
Resultado: La redacción ajustada se incorporó, aunque con un orden distinto, sin afectar a su validez.
Tratamientos de datos en medidas de seguridad (Observación 2):
Se subrayó que, si los tratamientos de datos derivan de medidas de seguridad con fines distintos (ej.: continuidad de procesos o seguridad física), deben cumplir íntegramente el RGPD. El Considerando 49 exige analizar si son «estrictamente necesarios y proporcionados», con asesoramiento del Delegado de Protección de Datos (DPD).
Resultado: No se incluye un desarrollo específico en el texto, pero se mantiene la obligación genérica de cumplir con el RGPD en estos supuestos.
Colaboración con la AEPD y la Agencia Española de Supervisión de IA:
Se propuso un artículo 6 específico para garantizar la colaboración temprana entre la AAD, la AEPD y la Agencia de Supervisión de Inteligencia Artificial, especialmente en tratamientos de datos personales y sistemas de IA.
Resultado: La colaboración se incluyó en el artículo 5 (Colaboración administrativa), incorporando párrafos específicos que mencionan tanto a la AEPD como a la Agencia de IA, cumpliendo el objetivo aunque sin separarse en un artículo autónomo.
Régimen jurídico de la AAD como encargado del tratamiento:
Se solicitó una disposición adicional que clarificara la posición de la AAD como encargada del tratamiento cuando gestione datos personales para otras administraciones públicas (consideradas responsables del tratamiento), detallando obligaciones como confidencialidad, asistencia en ejercicios de derechos o devolución de datos (art. 28.3 RGPD y art. 33.5 LOPDGDD).
Resultado: Esta disposición se incorporó como Disposición Adicional Octava, con una redacción casi literal que recoge todas las exigencias.
Conclusión:
El informe valora positivamente que las observaciones clave hayan sido incluidas en el Proyecto de Real Decreto, aunque algunas se integraran de manera diferente a la propuesta original. El texto final cumple con los requisitos del RGPD y la LOPDGDD en aspectos críticos como la colaboración interinstitucional y el marco de protección de datos en la administración digital. No se evalúan otras modificaciones ajenas a las observaciones previas, manteniéndose el análisis dentro de los límites establecidos.
(Resumen ajustado a ~500 palabras).