| Informe | 2025-0018 |
| Enlace | 📋 |
Resumen del Informe Jurídico de la AEPD sobre el Anteproyecto de Ley de Transposición de la Directiva (UE) 2023/977
El informe de la Agencia Española de Protección de Datos (AEPD) analiza el Anteproyecto de Ley (APL) que transpone la Directiva (UE) 2023/977, relativa al intercambio de información entre servicios de seguridad y aduanas de los Estados miembros para combatir la delincuencia organizada transnacional. Desde la perspectiva de protección de datos, la AEPD destaca lo siguiente:
Objeto y ámbito de aplicación
El APL regula el intercambio de información con fines de prevención, detección o investigación de infracciones penales, lo que lo sitúa dentro del ámbito de la Ley Orgánica 7/2021 (LO 7/2021), que desarrolla la Directiva (UE) 2016/680 sobre protección de datos en este sector. Aunque el texto menciona también el RGPD y la LOPDGDD, la AEPD aclara que estas normas no son aplicables, ya que los tratamientos de datos en este marco quedan excluidos del ámbito del RGPD (Art. 2.2.d RGPD).
Principales observaciones y recomendaciones
a) Definiciones y redacción
Art. 2.e (información disponible): Se sugiere ajustar la redacción para evitar interpretaciones erróneas, siguiendo el modelo de la Directiva.
Art. 3 (ámbito de aplicación): Se recomienda clarificar los sujetos de la oración para evitar ambigüedades en los apartados 1, 2 y 3.
Art. 7 (canales de intercambio): Existe una incongruencia con el Art. 13.1 de la Directiva, que exige el uso de SIENA (Europol) como único canal seguro. El APL debe alinearse con este precepto.
Art. 12 (denegación de información): Se propone añadir el adverbio «únicamente» para reflejar que la lista de casos de denegación es cerrada. Además, se sugiere definir el término «autoridades competentes» para evitar confusiones, ya que en el APL se usa de manera distinta a la Directiva.
b) Sistema de gestión de casos (Art. 18)
La AEPD objeta el plazo de conservación de 5 años para los datos en el sistema de gestión de casos, ya que la Directiva exige que los datos se eliminen tan pronto como ya no sean necesarios (Considerandos 23 y 34, Art. 16.3 y 16.4). Además, se recomienda:
Especificar que el sistema se gestionará en la Secretaría de Estado de Seguridad y que esta será la responsable del tratamiento (LO 7/2021, Art. 3.8).
Añadir un registro de accesos y operaciones de tratamiento para garantizar la transparencia y trazabilidad (Art. 18.1.h y Art. 33 LO 7/2021).
Realizar revisiones periódicas (cada 6 meses) para garantizar que los datos no se almacenen más tiempo del necesario.
c) Protección de datos personales (Art. 19)
Art. 19.1: La AEPD critica la referencia al RGPD y a la normativa de materias clasificadas, ya que estos no son aplicables en este contexto. Se recomienda eliminar estas menciones y circunscribir el artículo exclusivamente a la LO 7/2021.
Art. 19.3: Las restricciones a los derechos de los interesados (información, acceso, rectificación, supresión, etc.) deben regirse por el Art. 24 de la LO 7/2021, no por una regulación específica en el APL, ya que este no tiene rango suficiente para modificar una ley orgánica.
Garantías en el intercambio de datos personales: El APL no recoge las obligaciones específicas de la Directiva para garantizar la exactitud, integridad y actualización de los datos personales intercambiados (Art. 10 Directiva 2023/977). La AEPD considera necesario incluir estos requisitos.
Evaluación de la Memoria de Análisis de Impacto Normativo (MAIN)
La AEPD cuestiona varias afirmaciones de la MAIN:
Eficacia de la norma: Se señala que el APL no es aplicable a intercambios regulados por otros actos jurídicos de la UE (Art. 1.2 Directiva), por lo que la afirmación sobre su eficacia debe ajustarse.
Impacto en la protección de datos: La AEPD rechaza la descripción del impacto como «positivo», ya que toda norma que regula tratamientos de datos personales afecta al derecho fundamental a la protección de datos. Se recomienda reescribir esta sección para reflejar adecuadamente las garantías establecidas.
Obligación de realizar Evaluaciones de Impacto (EIPD): La AEPD insiste en que, aunque el APL derive de una norma europea, no exime de la obligación de realizar una EIPD cuando sea procedente, según el Art. 35 de la LO 7/2021, especialmente si los tratamientos implican alto riesgo para los derechos de los interesados.
Conclusión
La AEPD emite un informe desfavorable parcial y recomienda:
Alinear el APL con la Directiva 2023/977 en todos sus aspectos, especialmente en lo relativo a la protección de datos.
Eliminar referencias innecesarias al RGPD y a materias clasificadas.
Garantizar plazos de conservación proporcionales y revisiones periódicas en el sistema de gestión de casos.
Revisar la MAIN para ajustar sus afirmaciones sobre eficacia e impacto en la protección de datos, y colaborar con el Delegado de Protección de Datos en su redacción.
Este informe subraya la importancia de armonizar la transposición con el marco legal europeo en materia de protección de datos, evitando interpretaciones ambiguas y garantizando los derechos de los ciudadanos.