| Informe | 2024-0030 |
| Enlace | 📋 |
Resumen del Informe Jurídico de la AEPD sobre la Política de Protección de Datos de la CAIB
La Agencia Española de Protección de Datos (AEPD) ha emitido un informe favorable, aunque con observaciones y sugerencias, sobre el proyecto de Política de Protección de Datos (PDD) de la Administración de la Comunidad Autónoma de las Illes Balears (CAIB). Este documento busca establecer un marco de gobernanza proactivo para garantizar el cumplimiento del RGPD (Reglamento General de Protección de Datos), la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales) y otras normativas aplicables.
Puntos clave del informe
Valoración general
La AEPD aplaude que la CAIB implemente una Política de Protección de Datos como medida de responsabilidad proactiva, alineada con el art. 24.1 del RGPD, que exige a los responsables aplicar medidas técnicas y organizativas para demostrar el cumplimiento normativo. Sin embargo, realiza sugerencias específicas para mejorar el texto.
Observaciones y recomendaciones
Redacción y contextualización legal
Precisión en competencias autonómicas:
Se recomienda transcribir íntegramente el art. 31.14 del Estatuto de Autonomía de las Illes Balears para delimitar las competencias exclusivas de la CAIB en materia de protección de datos.
Corrección de denominaciones erróneas, como la de la Dirección General de Simplificación Administrativa (antes llamada «Estrategia Digital»).
Base jurídica de los tratamientos:
Debe aclararse que cada tratamiento concreto debe especificar su base jurídica (RGPD arts. 6.1.c o 6.1.e) en el Registro de Actividades de Tratamiento (RAT) y publicarse en el Inventario de Tratamientos.
Tratamientos y finalidades
Test de compatibilidad de finalidades (art. 6.4 RGPD):
Se sugiere suprimir el párrafo 5 del art. 4, ya que la CAIB, al actuar bajo normativa legal, no suele aplicar este test. Además, podría generar confusión al interpretarse como un requisito mecánico sin considerar la base jurídica adicional necesaria.
Inteligencia Artificial (IA):
El art. 4.7 debe actualizarse para incluir el Reglamento UE 2024/1689 (Reglamento de IA), que establece requisitos específicos en protección de datos para sistemas de IA (ej.: minimización de datos, privacidad por diseño).
Minimización de datos:
El art. 10.1 debe reescribirse para reflejar que la minimización es un principio (art. 5.1.c RGPD), no una «medida técnica», y vincularlo al art. 25.1 RGPD (protección por diseño y por defecto).
Derechos de los interesados (art. 7)
Ejercicio de derechos:
Se sugieren modificaciones para alinear el lenguaje con el RGPD, como:
Clarificar que los derechos se ejercen ante los responsables concretos (titulares de consejerías).
Añadir plazos de respuesta (un mes prorrogable) y obligación de informar motivadamente ante denegaciones (art. 12.3 y 12.4 RGPD).
Derecho de supresión («derecho al olvido»):
Evitar confusión con motores de búsqueda (no aplicable a la CAIB) y alinearlo con el art. 15.1 LOPDGDD.
Derecho a la portabilidad:
Se recomienda suprimirlo o adaptarlo al art. 17 LOPDGDD, ya que la CAIB no opera como «responsable» en el sentido tradicional para este derecho.
Delegado de Protección de Datos (DPD) y estructuras internas
Funciones del DPD:
El art. 13.2 debe diferenciar claramente entre el DPD (figura obligatoria según RGPD) y otros asesores (como «coordinadores de protección de datos»).
El art. 16 (estructuración del DPD) debe permitir modelos organizativos colegiados o personalizados, no solo unipersonales.
Notificación de brechas de seguridad:
En el art. 14.2, incluir el plazo de 72 horas para notificar a la AEPD (art. 33.1 RGPD) y en el art. 14.5, especificar cuándo no es necesario notificar al interesado (art. 34.3 RGPD).
Procesos de contratación y acuerdo con encargados de tratamiento
Art. 9 (encargados de tratamiento):
Se sugiere ajustar la redacción para enfatizar que el contrato debe incluir las garantías del art. 28.3 RGPD.
En contratos bajo la Ley de Contratos del Sector Público (LCSP), debe mencionarse el art. 122.2 LCSP, que exige documentar medidas específicas para tratamientos de datos personales.
Centros educativos
Tratamientos comunes y transversales:
Los centros de régimen especial (no universitarios) quedan sin regulación clara en el art. 17.2. Se recomienda extender las normas a estos centros.
Disposiciones finales
Seguridad de la información:
En la Disposición Final 1ª (nuevo art. 20 del Decreto 3/2023), añadir que las contraseñas deben renovarse periódicamente.
Conclusión
La AEPD aprueba el espíritu de la PDD pero recomienda ajustes técnicos, jurídicos y de redacción para garantizar su coherencia con el RGPD, LOPDGDD y normativa sectorial, evitando ambigüedades que puedan comprometer derechos digitales. La CAIB debería incorporar estos cambios antes de la aprobación definitiva.
Enlace al informe completo: Dirigirse a la web de la AEPD.