| Informe | 2024-0035 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD sobre el Convenio SIUSS
El Informe Jurídico de la Agencia Española de Protección de Datos (AEPD) 2024-0035 evalúa la adecuación al RGPD (Reglamento UE 2016/679) y a la LOPDGDD (Ley Orgánica 3/2018) de la prórroga del Convenio entre el Ministerio de Derechos Sociales y Agenda 2030 y la Comunidad Autónoma de Canarias para la difusión e implantación del SIUSS (Sistema de Información de Usuarios de Servicios Sociales).
Marco jurídico y responsables del tratamiento
El informe reafirma que las Comunidades Autónomas (CCAA) tienen la condición de responsables del tratamiento en el ámbito de sus competencias (servicios sociales), mientras que el Ministerio actúa como encargado del tratamiento, conforme al artículo 28 del RGPD.
Se destaca que:
Las entidades locales (como ayuntamientos) que utilicen SIUSS también ostentarán la condición de responsables del tratamiento en sus propios tratamientos de datos.
El convenio actual omite la referencia expresa a esta distinción, por lo que debe modificarse para incluir:
La posición de las entidades locales como responsables.
La forma en que se llevará a cabo la implantación de SIUSS (mediante acuerdos administrativos, adhesiones o convenios específicos).
Tratamiento de categorías especiales de datos
El SIUSS puede tratarse datos sensibles (salud, origen étnico, convicciones religiosas, etc.) bajo el artículo 9 del RGPD. Por ello:
Las CCAA deben realizar una Evaluación de Impacto (EIPD) antes de iniciar el tratamiento, conforme al artículo 35 del RGPD.
Debe especificarse claramente qué datos se tratan en el convenio (ej.: servicios sociales prestados), evitando ambigüedades.
Cumplimiento del Esquema Nacional de Seguridad (ENS)
El informe recuerda que, aunque el ENS (Real Decreto 311/2022) y el RGPD son marcos distintos, la seguridad de la información y la protección de datos están relacionadas.
El convenio debe alinearse con el ENS, incorporando:
Medidas de seguridad técnicas y organizativas.
Análisis de riesgos y evaluaciones de impacto.
La AEPD insiste en que la seguridad de la información no agota la protección de datos, sino que debe complementarse con principios como la protección desde el diseño y la minimización de datos.
Conclusión
Aunque el informe aprueba la prórroga del convenio, exige su modificación para:
Clarificar la posición de las entidades locales como responsables del tratamiento.
Detallar los datos tratados y garantizar su proporcionalidad.
Incluir referencias al ENS y a las evaluaciones de impacto para datos sensibles.
Asegurar que el Ministerio (encargado) cumpla estrictamente con el artículo 28 del RGPD en cuanto a sus obligaciones contractuales.
En definitiva, la AEPD considera adecuada la prórroga, pero condicionada a que se subsanen las carencias detectadas para garantizar la protección efectiva de los datos personales en el marco de los servicios sociales.