| Informe | 2025-0016 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD sobre el modelo básico de contrato de adopción internacional (Expediente 2025-0016)
La Agencia Española de Protección de Datos (AEPD) ha emitido un informe jurídico sobre el modelo básico de contrato homologado entre organismos de intermediación en adopción internacional y las personas que se ofrecen para la adopción, exigido por el art. 23.2 del Reglamento de Adopción Internacional (Real Decreto 573/2023). El análisis se centra en las cláusulas relativas al tratamiento y cesión de datos personales, evaluando su conformidad con el Reglamento General de Protección de Datos (RGPD), la Ley Orgánica 3/2018 (LOPDGDD) y la Ley 54/2007 de Adopción Internacional.
Marco legal aplicable
El contrato debe ajustarse a:
Ley 54/2007 de Adopción Internacional, que regula la intermediación en adopción internacional (art. 8) y la protección de datos en el proceso (art. 13), ya modificado para alinearse con el RGPD.
RGPD (Reglamento UE 2016/679) y LOPDGDD, que exigen que el tratamiento de datos personales cumpla principios como licitud (art. 6 RGPD), transparencia y limitación de fines.
Reglamento de Adopción Internacional (RD 573/2023), que homologa el modelo de contrato y exige su adaptación a las normas de protección de datos.
Naturaleza del tratamiento de datos: responsables, no encargados
La AEPD aclara que tanto los organismos acreditados como las entidades públicas actúan como responsables del tratamiento (no como encargados), ya que ambos determinan los fines y medios del tratamiento de datos en el marco de sus funciones legales.
Base jurídica del tratamiento: El art. 6.1.b) RGPD (ejecución de un contrato) legitima el tratamiento de datos necesarios para la intermediación en adopción. No cabe invocar el consentimiento (art. 6.1.a)), ya que los datos no son opcionales, sino esenciales para el cumplimiento del contrato.
Categorías especiales de datos: El contrato debe incluir tratamientos de datos sensibles (ej. salud, antecedentes penales) y especificar la base legal que los permite (ej. art. 9.2.g) RGPD para la protección de menores o art. 10 RGPD para datos judiciales).
Recomendaciones clave al modelo de contrato
Aunque el informe reconoce avances en el borrador presentado, la AEPD realiza cinco observaciones fundamentales para garantizar el cumplimiento del RGPD:
Base de legitimación:
No incluir el consentimiento como base única (el Anexo I menciona erróneamente el consentimiento como base complementaria).
Corregir: La única base válida es la ejecución del contrato (art. 6.1.b RGPD).
Información a los interesados (art. 13 RGPD):
El Anexo I del contrato debe contener información completa sobre:
Finalidad del tratamiento (ejecución del contrato de intermediación).
Derechos (arts. 15-22 RGPD), no solo algunos (ej. derecho de acceso, rectificación).
Destinatarios de los datos:
Transferencias internacionales de datos (objeto central del contrato). El modelo actual omite que sí se ceden datos a autoridades extranjeras (ej. países de origen del menor). Debe especificar:
País destinatario (ej. China, Ucrania).
Mecanismo de transferencia legal (ej. art. 46 RGPD —cláusulas contractuales tipo, decisiones de adecuación, o excepciones como el interés vital del menor).
Excepción errónea: El borrador menciona «no se cederán datos a terceros», lo que incumple el RGPD en adopciones internacionales.
Datos sensibles (art. 9 y 10 RGPD):
La cláusula cuarta obliga a las familias adoptantes a comunicar cambios en su situación laboral, familiar o de salud, incluyendo datos sensibles (ej. embarazo, enfermedad).
Falta en el modelo: No se detalla qué norma permite estos tratamientos (ej. art. 9.2.g) RGPD para la protección de menores) ni las garantías adecuadas (ej. anonimización, acceso restringido).
Reclamaciones por vulneración de derechos:
El contrato debe especificar que las reclamaciones se dirijan al Delegado de Protección de Datos (DPD) del organismo acreditado, sin perjuicio de la competencia de la AEPD.
Actualización de la información:
La política de privacidad vinculada al contrato (Anexo I) debe estar siempre actualizada y, si los datos no se recaban directamente del interesado, incluir las categorías de datos y fuentes.
Conclusión
La AEPD aprueba el modelo básico siempre que se adapte a sus observaciones, especialmente en:
La elusión del consentimiento como base de legitimación.
La precisión en transferencias internacionales de datos (cumpliendo los arts. 46-49 RGPD).
La inclusión de garantías para datos sensibles (salud, antecedentes).
El informe destaca que el modelo debe reflejar que ambos firmantes (organismo y familia) son responsables del tratamiento, cada uno en el ámbito de sus funciones legales, y que las cláusulas de protección de datos deben ser claras, completas y adaptables a cada caso concreto de adopción internacional.
Este informe complementa el Informe de la Delegada de Protección de Datos del Ministerio de Juventud e Infancia, que ya había planteado cuestiones similares, reforzando la necesidad de alinear el contrato con el RGPD y la protección de los derechos de los menores y las familias adoptantes.