| Informe | 2024-0061 |
| Enlace | 📋 |
Resumen del Informe Jurídico de la AEPD sobre el Proyecto de Modificación del Real Decreto 95/2009 (SIRAJ)
La Agencia Española de Protección de Datos (AEPD) ha emitido un informe jurídico sobre el proyecto de modificación del Real Decreto 95/2009, que regula el Sistema de Registros de Apoyo a la Administración de Justicia (SIRAJ). El informe se centra en las modificaciones que afectan al tratamiento de datos personales, especialmente los de naturaleza penal, y evalúa su cumplimiento con el RGPD (Reglamento General de Protección de Datos), la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales) y la Ley Orgánica 7/2021, que regula los tratamientos para fines de prevención y enjuiciamiento penal.
Marco jurídico aplicable
El SIRAJ integra varios registros, como el Registro Central de Penados, el Registro Central de Delincuentes Sexuales y otros relativos a violencia de género, menores y rebeldía civil. Estos registros tratan datos personales ordinarios y datos penales, cuya regulación depende de la finalidad del acceso:
Si los datos se usan para prevención, investigación o enjuiciamiento penal, se aplica el RGPD (art. 2.2.d y art. 10) o la LO 7/2021.
Si se usan para otros fines, debe basarse en una norma con rango de ley (LOPDGDD, art. 10.2).
El informe destaca que el RGPD no se aplica a tratamientos por autoridades competentes (como jueces, fiscalías o cuerpos de seguridad) cuando actúan en estos fines, pero sí exige garantías adecuadas para los derechos de los afectados.
Evaluación de las modificaciones
El informe analiza varias enmiendas al RD 95/2009:
a) Accesos ampliados a policías locales y autonómicas (art. 6.g)
Favorable para los apartados e) y f) (acceso a policías locales de grandes ciudades y fuerzas autonómicas dentro de sus competencias judiciales).
Desfavorable para el apartado g), que permite acceso genérico a otras policías sin delimitar claramente las circunstancias o la finalidad. La AEPD considera que esta redacción es ambigua y viola el principio de limitación de la finalidad (RGPD, art. 5.1.b), ya que no especifica cuándo o por qué motivos se accederá a los datos.
b) Comunicación de datos a Organismos Públicos (art. 6.3)
Favorable, siempre que la cesión se base en una norma con rango de ley y se limite a lo necesario para la finalidad administrativa.
c) Modificaciones en el Registro Central de Protección a Víctimas (art. 8.c)
Favorable: añadir la fecha del atestado o la convivencia con la víctima mejora la exactitud de los datos (RGPD, art. 5.1.d).
d) Inclusión de datos por resolución administrativa (art. 8.e)
Desfavorable: permitir que un órgano administrativo decida qué datos incluir sin base legal clara vulnera el principio de minimización de datos (RGPD, art. 5.1.c) y la jurisprudencia del TC (STC 292/2000).
e) Prohibiciones derivadas de suspensiones penales (art. 9.l)
Favorable: añadir información sobre deberes judiciales mejora la exactitud del registro.
f) Tutela de derechos (art. 26)
Favorable, pero se sugiere simplificar la mención a derechos específicos, ya que el RGPD y la LO 7/2021 regulan otros (como portabilidad o limitación).
g) Consentimiento para acceso al Registro Central de Penados (Disposición Adicional 2ª)
Desfavorable: el informe considera que el consentimiento no es la base jurídica válida para que las unidades de armas o pasaportes accedan a datos penales, ya que estas competencias están amparadas por el interés público (art. 6.1.e RGPD). La AEPD propone eliminar el requisito de consentimiento o reformularlo conforme a la ley.
h) Certificaciones negativas para acceso a profesiones con menores (Disposición Adicional 5ª)
Favorable, siempre que el acceso se realice con consentimiento previo del interesado y no por terceros (empleadores). Esto alinea con la Ley Orgánica 8/2021 y la jurisprudencia del TC.
Recomendaciones sobre seguridad y evaluación de impacto
El informe critica que el RD 95/2009 aún remite al obsoleto RD 1720/2007 (derogado por el RGPD), que establecía un sistema estático de seguridad basado en niveles de datos. En su lugar, la AEPD exige:
Análisis de riesgos proactivo (RGPD, art. 24 y 32).
Evaluación de impacto (EIPD) si el tratamiento implica datos penales a gran escala (RGPD, art. 35.3.b).
Cumplimiento del Esquema Nacional de Seguridad (ENS) mediante el RD 311/2022.
Conclusión general
La AEPD valora positivamente las modificaciones que actualizan denominaciones, mejoran la exactitud de los datos o refuerzan el marco legal, pero rechaza aquellas que:
✅ No delimitan claramente la finalidad del tratamiento (ej. acceso genérico de policías).
✅ Basan el acceso en consentimiento cuando la ley ya prevé el interés público como base jurídica.
✅ Permiten inclusión de datos sin base legal concreta.
El informe destaca la necesidad de adaptar el SIRAJ al RGPD, reemplazando el enfoque de seguridad obsoleto por un modelo de responsabilidad proactiva, con evaluaciones de impacto y medidas técnicas organizativas actualizadas.