| Informe | 2024-0038 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD (Informe 0038/2024)
El Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) ha emitido un informe favorable, con observaciones, sobre el convenio propuesto entre el Ministerio de Derechos Sociales, Consumo y Agenda 2030 y las Comunidades Autónomas (CCAA), junto con la adhesión de las Entidades Locales, para la implantación del nuevo Sistema de Gestión de Información de Servicios Sociales (SEGISS) y el Sistema de Información Estatal de los Servicios Sociales (SIESS).
Conclusiones principales
Distribución de roles en el tratamiento de datos:
Las CCAA y las Entidades Locales actúan como responsables del tratamiento al decidir los fines y medios del procesamiento de datos personales necesarios para la prestación de servicios sociales.
El Ministerio se configura como encargado del tratamiento en los términos establecidos en el RGPD (artículo 28) y el SIESS, aunque tiene una doble condición en la explotación estadística de datos, donde actuará como responsable en cumplimiento de la Ley de Función Estadística Pública y el RGPD.
Recomendaciones clave:
Clarificar la posición de las Entidades Locales: Aunque el convenio actual ya refleja su condición de responsables, se sugiere definir cómo se implantará SEGISS en ellas.
Corregir errores formales: Eliminar referencias a normativas derogadas (como la LOPD 15/1999) y ajustar el texto para evitar ambigüedades.
Detallar el tipo de datos tratados: Es esencial especificar qué categorías de datos personales se manejarán en SEGISS, especialmente datos especialmente protegidos (salud, discapacidad, etc.), para garantizar el cumplimiento del artículo 9 del RGPD.
Evaluaciones de impacto: Se recomienda que las entidades realicen una Evaluación de Impacto (EIPD) antes de implantar SEGISS, debido a la sensibilidad de los datos.
Cumplimiento del Esquema Nacional de Seguridad: El convenio debe referenciar el Real Decreto 311/2022, que regula la seguridad de los sistemas de información que traten datos personales.
Protección de datos en tratamientos estadísticos:
El Ministerio, al recopilar datos para el SIESS, actúa como responsable del tratamiento estadístico, debiendo aplicar medidas de seudonimización, anonimización y garantizar el secreto estadístico, conforme a la Ley 12/1989 y el artículo 89 del RGPD.
Formación y cumplimiento normativo:
Se exige que el personal que maneje datos reciba formación en la LOPDGDD y normas de secreto profesional, especialmente en el tratamiento de datos sensibles.
Valoración final
El informe aprueba el modelo de convenio, siempre que se incorporen las sugerencias planteadas, como la clarificación de roles, la concreción de los datos tratados y el cumplimiento de medidas de seguridad y evaluación de riesgos. La AEPD subraya la necesidad de transparencia y protección proactiva en el manejo de datos en el ámbito de los servicios sociales.
(Resumen de aproximadamente 500 palabras).