| Informe | 2025-0008 |
| Enlace | 📋 |
Resumen del Informe Jurídico de la AEPD sobre el Real Decreto de Sistemas Inteligentes de Transporte (SIT)
El informe jurídico de la Agencia Española de Protección de Datos (AEPD), con referencia 2025-0008, analiza el Proyecto de Real Decreto que modifica el marco legal español para adaptarlo a la Directiva (UE) 2023/2661, que actualiza la Directiva 2010/40/UE sobre sistemas inteligentes de transporte (SIT) en el sector de la carretera. El objetivo principal es garantizar la interoperabilidad y compatibilidad de estos sistemas en la UE, priorizando áreas como la movilidad multimodal, gestión del tráfico, seguridad vial y movilidad conectada.
Contexto y Obligaciones Legales
La Directiva 2010/40/UE fue transpuesta en España mediante el Real Decreto 662/2012, pero la nueva Directiva (UE) 2023/2661 exige su actualización para incluir:
Especificaciones técnicas obligatorias elaboradas por la Comisión Europea mediante actos delegados.
Tratamiento de datos, incluyendo datos personales, especialmente en servicios críticos como alertas de frenazos o gestión de incidentes.
El Supervisor Europeo de Protección de Datos (SEPD) advirtió en un informe de 2022 que algunos datos generados por los SIT (como información en tiempo real de vehículos) podrían considerarse datos personales bajo el RGPD, por lo que deben aplicarse garantías de privacidad (anonimización, seudonimización o minimización de datos).
Principales Observaciones de la AEPD
Tratamiento de Datos en el Proyecto de Real Decreto:
La Disposición Adicional Primera (DA 1ª) del Proyecto regula el tratamiento de datos personales, pero la AEPD considera que su redacción no es suficientemente clara respecto al principio de minimización (art. 5.1.c del RGPD), que exige que los datos solo se traten si son estrictamente necesarios.
La AEPD recomienda ajustar el texto para reflejar fielmente el art. 10 de la Directiva, que establece que los datos personales se tratarán únicamente cuando sean indispensables para los fines previstos (seguridad vial, gestión del tráfico o incidentes).
Falta de Precisión en la Necesidad de Datos Personales:
Algunos Reglamentos Delegados de la UE (como el Reglamento Delegado (UE) 2024/490) ya establecen que no siempre son necesarios datos personales para cumplir los objetivos de los SIT, y que incluso en esos casos, deben anonimizarse antes de compartirse.
La AEPD señala que el Proyecto de Real Decreto no recoge esta distinción, lo que podría llevar a un tratamiento excesivo o innecesario de datos personales.
Adecuación a Otras Normativas de Protección de Datos:
El Proyecto de Real Decreto no menciona explícitamente la Directiva 2002/58/CE (ePrivacy), a pesar de que el art. 10 de la Directiva 2010/40 sí la incluye.
La AEPD recomienda incorporar esta referencia para garantizar la protección de la intimidad en las comunicaciones electrónicas, en línea con el art. 95 del RGPD.
Garantías y Medidas Recomendadas:
Priorizar la anonimización de datos cuando sea técnicamente posible.
Si la anonimización no es viable, aplicar seudonimización.
Limitar el tratamiento de datos a lo estrictamente necesario y cumplir con los plazos de conservación establecidos en el RGPD.
Asegurar que las especificaciones técnicas españolas no exijan tratamientos de datos personales no previstos en los actos delegados de la UE.
Conclusiones y Propuestas de Mejora
La AEPD concluye que el Proyecto de Real Decreto debe modificarse para:
Alinear su redacción con la Directiva: Incluir expresamente que los datos personales solo se tratarán si son imprescindibles para los fines de los SIT.
Incorporar referencias claras a la Directiva 2002/58/CE y al RGPD.
Garantizar que los tratamientos de datos personales estén expresamente previstos en los actos delegados de la UE, evitando interpretaciones ampliadas.
Reflejar las medidas técnicas (anonimización/seudonimización) como obligatorias cuando sea técnicamente factible.
La AEPD propone una redacción alternativa para la DA 1ª que integre estos principios y asegure el cumplimiento riguroso del marco legal de protección de datos.
Impacto y Recomendaciones Finales
El Real Decreto debe evitar la recolección innecesaria de datos personales, especialmente en servicios donde la anonimización sea posible.
Se recomienda que las autoridades competentes (Ministerio del Interior y Ministerio de Transportes) evalúen los riesgos asociados al tratamiento de datos antes de implementar las especificaciones técnicas.
La AEPD insiste en que las normas españolas no pueden ampliar el alcance de los tratamientos permitidos por la normativa europea, para evitar violaciones del RGPD.
Este informe subraya la importancia de combinar innovación tecnológica con el respeto a los derechos fundamentales, en este caso, la protección de datos personales, en el desarrollo de los sistemas inteligentes de transporte.