| Informe | 2024-0054 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD sobre el Real Decreto-Ley de ayudas por la DANA (2024-0054)
La Agencia Española de Protección de Datos (AEPD) analiza en este informe un Real Decreto-Ley que establece un marco regulador para la concesión de ayudas de emergencia por los daños causados por la Depresión Aislada en Niveles Altos (DANA) entre el 28 de octubre y el 4 de noviembre de 2024. El principal punto de controversia desde la perspectiva de la protección de datos es la creación de un Registro de personas afectadas por la DANA, previsto en el Capítulo II del proyecto normativo.
Problemas identificados en el Registro de afectados
Carácter voluntario vs. necesidad de tratamiento de datos
La AEPD cuestiona la creación de este Registro, ya que su finalidad (tramitar ayudas con mayor eficacia) podría lograrse con otros medios que no impliquen el tratamiento de datos personales.
La voluntariedad del Registro (art. 5) entra en conflicto con el principio de necesidad (art. 9.2 RGPD), que exige que el tratamiento de datos, especialmente los datos de salud (fallecimientos, lesiones incapacitantes), sea indispensable. La AEPD señala que, al ser voluntario, no es estrictamente necesario, por lo que su justificación legal debe reforzarse.
Tratamiento de datos especialmente protegidos (salud)
El Registro recopila datos relativos a la salud (categoría especial según art. 9.1 RGPD), cuyo tratamiento está prohibido salvo excepciones.
La AEPD considera que no se cumple ninguna de las causas del art. 9.2 RGPD que permitirían levantar la prohibición, salvo las letras g) (interés público esencial) o b) (cumplimiento de obligaciones en protección social).
Para ello, el texto debe:
Explicitar claramente el interés público esencial que justifica el Registro.
Establecer medidas proporcionales que respeten los derechos fundamentales (ej. limitación temporal de los datos, seguridad reforzada).
Definir responsabilidades (el art. 5.3 del proyecto vincula el Registro a la Secretaría de Estado de Política Territorial, que debería aparecer como responsable del tratamiento según el RGPD).
Falta de garantías para los interesados
El proyecto no aclara qué ocurre con quienes no se inscriben: seguirían teniendo derecho a solicitar ayudas, pero el Registro no sería la única vía.
La AEPD advierte que el texto parece condicionar la concesión de ayudas a la inscripción en el Registro (art. 7.5 y 10.4), lo que vulneraría la voluntariedad y desincentivaría la participación.
Se recomienda eliminar cualquier vinculación obligatoria entre la inscripción y la obtención de ayudas.
Transmisión y cesión de datos (art. 4)
El proyecto (art. 4) regula la transmisión de datos a terceros (administraciones, entidades colaboradoras), pero la AEPD pide:
Acotar específicamente qué organismos pueden recibir datos y para qué fines concretos, evitando una enumeración abierta.
Garantizar la licitud del tratamiento según el RGPD (art. 6.1 c y e) y la LOPDGDD (art. 8).
Incluir medidas de seguridad adicionales (art. 8.2 LOPDGDD) para datos sensibles.
Conclusiones y recomendaciones de la AEPD
El Registro debe justificarse con un interés público «esencial»
La AEPD sugiere basarse en el art. 9.2.g) RGPD (interés público esencial) o en el art. 9.2.b) RGPD (protección social), pero exigiendo que la norma detalle:
Por qué el Registro es indispensable (no basta con la mera eficiencia administrativa).
Qué datos se recopilan y por qué son necesarios (evitando datos superfluos).
Medidas de protección reforzadas (ej. anonimización, minimización).
Garantizar la proporcionalidad
El tratamiento debe ser estrictamente necesario, con plazos de conservación limitados y cancelación automática cuando finalice la emergencia.
Clarificar la voluntariedad
La inscripción no debe ser un requisito indirecto para acceder a las ayudas, para evitar que se perciba como una obligación encubierta.
Definir responsabilidades y contratos de encargado de tratamiento
La Secretaría de Estado de Política Territorial debe asumir explícitamente el rol de responsable del tratamiento.
Las entidades colaboradoras que accedan a los datos deben firmar contratos de encargo (art. 28 RGPD).
Valoración final
La AEPD no se opone frontalmente al proyecto, pero exige correcciones sustanciales para que cumpla con el RGPD y la LOPDGDD. La clave está en demostrar que el Registro no es una solución arbitraria, sino imprescindible para gestionar las ayudas, y que su diseño protege adecuadamente los derechos de los afectados. La AEPD insta a los redactores del texto a modificar la normativa antes de su aprobación definitiva para evitar vulneraciones de la privacidad.
Fuente: Informe jurídico 054/2024 (AEPD-Gabinete Jurídico). Documento resumido para fines informativos (aprox. 500 palabras).