| Informe | 2025-0004 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD sobre el Anteproyecto de Ley de Ciberseguridad (APL 2025-0004)
El informe jurídico de la Agencia Española de Protección de Datos (AEPD) analiza el Anteproyecto de Ley de Ciberseguridad (APL), que transpone la Directiva (UE) 2022/2555 para reforzar la ciberseguridad en la Unión Europea. La AEPD centra su evaluación en el cumplimiento del Reglamento General de Protección de Datos (RGPD), la Ley Orgánica 3/2018 (LOPDGDD) y, en algunos casos, la Ley Orgánica 7/2021 (tratamiento de datos para fines penales).
Principales aspectos analizados
Ámbito de aplicación y sujetos responsables
El APL introduce un marco institucional con una Autoridad Nacional de Ciberseguridad única, incluyendo:
Autoridades públicas (Centro Nacional de Ciberseguridad, autoridades de control, CSIRT —Equipos de Respuesta a Incidentes—).
Entidades obligadas (proveedores de servicios digitales, operadores críticos, registros de dominios, etc.).
La AEPD destaca que muchos tratamientos de datos personales que se realizarán (ej.: notificación de incidentes, registros de proveedores) deben ajustarse al RGPD y a la LOPDGDD.
Base jurídica para los tratamientos de datos
Autoridades públicas: Su tratamiento se legitima bajo el artículo 6.1.e RGPD (misiones en interés público).
Entidades obligadas: Su tratamiento se basa en el artículo 6.1.c RGPD (obligación legal) o en el artículo 8 LOPDGDD.
Ejemplos de tratamientos: intercambios de información entre CSIRT, elaboración de registros de entidades digitales o de dominios.
Principios clave del RGPD aplicables
La AEPD recuerda que los tratamientos deben respetar los principios de:
Licitud, lealtad y transparencia (art. 5 RGPD).
Limitación de la finalidad (evitar tratamientos ulteriores incompatibles).
Minimización de datos (solo recopilar lo necesario).
Exactitud, integridad y confidencialidad.
Limitación del plazo de conservación (diseño de plazos lógicos).
Cuestionamientos y sugerencias de mejora
Artículo 25 (Autorización para cesión de datos personales): Se valora positivamente la limitación de cesiones solo a casos regulados ex lege (listado cerrado), en consonancia con la reserva de ley del artículo 8 LOPDGDD.
Artículo 27 (Base de datos de registros de dominios): La AEPD cuestiona la publicación indiscriminada de datos (nombre, contacto, teléfono de titulares de dominios), ya que la mayoría pueden ser considerados datos personales. Se sugiere:
Eliminar la ambigüedad en la redacción y especificar qué información puede hacerse pública.
Evitar el derecho de acceso ambiguo para terceros (podría vulnerar el artículo 15 RGPD).
Disposición adicional quinta (Base de datos de incidencias con posible delito):
Se señala que la remisión genérica a «datos identificativos y de contacto» (con el término «al menos») infringe el artículo 11.2 LO 7/2021, que exige enumerar los datos exactos a tratar.
Se critica la referencia ambigua al artículo 13 LO 7/2021 (categorías especiales de datos), sin especificar cuáles se incluirán. La AEPD propone:
Eliminar la mención al artículo 13 o listar las categorías especiales concretas.
Mejorar la información al interesado (artículo 21 LO 7/2021) y los plazos de conservación.
Aclarar que tras el plazo legal, los datos deben suprimirse (no solo «anonimizarse», ya que la seudonimización sigue considerándose dato personal).
Recomendaciones finales
Transparencia: Detallar los tratamientos y sus bases jurídicas con precisión.
Minimización de datos: Evitar la recolección de información innecesaria.
Plazos y conservación: Asegurar que la eliminación o anonimización sea efectiva tras cumplir el fin.
Derechos de los afectados: Garantizar que el ejercicio de derechos (ej.: acceso) no se vea restringido arbitrariamente.
Conclusión
La AEPD reconoce que el APL sienta un marco necesario para la ciberseguridad, pero subraya la necesidad de ajustar sus disposiciones a la normativa de protección de datos. Se enfatiza la importancia de evitar tratamientos excesivos, garantizar derechos y clarificar los límites legales de intercambio y cesión de datos personales, especialmente en bases de datos públicas y registros de dominios. El informe recomienda modificaciones concretas para alinear el texto con el RGPD, la LOPDGDD y la LO 7/2021.