| Informe | 2024-0031 |
| Enlace | 📋 |
Resumen del Informe Jurídico de la AEPD sobre el Proyecto de Real Decreto del Estatuto de la AECID (Informe 2024-0031)
El informe jurídico de la Agencia Española de Protección de Datos (AEPD) evalúa el Proyecto de Real Decreto por el que se aprueba el Estatuto de la Agencia Española de Cooperación Internacional para el Desarrollo (AECID), destacando tanto aspectos formales como suplementos necesarios en materia de protección de datos.
Contexto y cumplimiento de principios generales
El proyecto de Estatuto busca reorganizar la AECID para mejorar su eficacia en la cooperación internacional, alineándose con la Ley 1/2023 de Cooperación para el Desarrollo Sostenible. La AEPD reconoce que el texto cumple con los principios de necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia exigidos por la Ley 39/2015 de Procedimiento Administrativo Común, dado que se trata de una norma de carácter organizativo interno, sin que requiera consulta pública previa según la Ley 50/1997.
Adecuación al marco de protección de datos (RGPD y LOPDGDD)
Aunque el Estatuto es una norma organizativa, la AEPD advierte que la AECID, en el ejercicio de sus funciones, realizará tratamientos de datos personales (recogida, almacenamiento, cesión, etc.), lo que exige el cumplimiento del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD). Sin embargo, el texto proyectado no incluye referencia alguna a esta normativa.
Para subsanar esta omisión, la AEPD propone:
Añadir un artículo específico (Art. 38: «Tratamiento de datos personales») que consagre el cumplimiento del RGPD y la LOPDGDD en todos los tratamientos que realice la AECID, invocando sus artículos 6.1.e) (interés público o ejercicio de poderes públicos) y 6.1.c) (obligaciones legales) como bases legítimas del tratamiento.
Garantizar la transparencia sobre los tratamientos, especialmente en actividades internacionales (transferencias de datos fuera de la UE), reguladas en el Capítulo V del RGPD.
Necesidad de designar un Delegado de Protección de Datos (DPD)
La AEPD subraya que, al ser la AECID un organismo público que podría manejar grandes volúmenes de datos, incluyendo categorías especiales (salud, étnicas, etc.), debe designar un Delegado de Protección de Datos (DPD), conforme al artículo 37 del RGPD.
Aunque la figura del DPD no necesita incluirse en el Estatuto con rango de puesto concreto (puede ser interno o externo), la AEPD recomienda:
Incluir en las funciones del Consejo Rector (Art. 10.6.o) la designación del DPD, asegurando su independencia y dotación de recursos para ejercer sus funciones de supervisión.
Conclusión
El informe insiste en la urgencia de incorporar un precepto explícito sobre protección de datos en el Estatuto y en fomentar la figura del DPD, alineando la norma con el modelo de responsabilidad proactiva que impone el RGPD. Estas modificaciones asegurarían el cumplimiento legal y reforzarían la credibilidad de las políticas de cooperación española en materia de privacidad.
Fuente: Informe Jurídico AEPD 2024-0031 (Expediente 0031/2024).