| Informe | 2025-0031 |
| Enlace | 📋 |
Resumen del Informe Jurídico de la AEPD (Informe 031/2025)
El informe de la Agencia Española de Protección de Datos (AEPD) analiza el Anteproyecto de Ley (APL) para la transposición de la Directiva (UE) 2022/2557, que refuerza la resiliencia de las entidades críticas (sectores como energía, transporte, sanidad, etc.). Desde la perspectiva de protección de datos, el informe destaca que, aunque la Directiva no modifica el RGPD ni la Directiva 2002/58/CE, sí introduce tratamientos específicos, como la verificación de antecedentes penales para personal en entidades críticas (art. 14).
Principales observaciones y advertencias de la AEPD:
Falta de claridad en la transposición:
El APL remite a normativas sectoriales sin especificar si los tratamientos de datos se regulan bajo el RGPD/LOPDGDD o la LO 7/2021 (datos penales), generando inseguridad jurídica.
La DA 3ª mezcla tratamientos bajo regímenes distintos (RGPD y LO 7/2021), sin distinguir objetivos ni bases legales, lo que dificulta el cumplimiento para los interesados y entidades.
Tratamiento de datos sensibles sin garantías suficientes:
El APL permite comprobaciones de antecedentes penales sin detallar qué datos exactos se podrán tratar ni bajo qué condiciones, incumpliendo la STC 76/2019 y el art. 9.2.g) RGPD (requisito de garantías adecuadas).
La DA 5ª (tratamiento INCOA) incluye términos vagos como «al menos» para delimitar datos biométricos o penales, lo que podría vulnerar el principio de especificidad legal (requerido por el TC y el TJUE).
Biometría en entidades críticas (DA 7ª):
El uso de datos biométricos (identificación/autenticación) sin evaluación de impacto previa (EIPD, art. 35 RGPD) ni análisis de proporcionalidad, incumple el RGPD. El APL no justifica suficientemente el interés público esencial (art. 9.2.g) ni regula medidas de protección específicas, como exige la jurisprudencia.
Limitaciones a derechos sin base legal clara:
La DA 3ª apartado 4 limita derechos (ej. acceso) sin especificar si aplica el RGPD (art. 23) o la LO 7/2021 (art. 24), generando contradicciones con normas orgánicas de rango superior.
Falta de evaluaciones complementarias:
El APL no incluye EIPD ni informes del Delegado de Protección de Datos (DPD), incumpliendo el art. 35 RGPD y la STC 76/2019 (requisito de seguridad jurídica).
Conclusión:
La AEPD recomienda reelaborar el APL, clarificando:
La normativa aplicable a cada tratamiento (RGPD vs. LO 7/2021).
La lista concreta de datos a tratar (no genéricos como «al menos»).
Las garantías específicas para datos sensibles (especialmente biométricos).
La eliminación de remisiones ambiguas a la DA 5ª en el art. 9 para evitar incertidumbre.
El informe subraya que cualquier tratamiento de datos en entidades críticas debe respetar el principio de proporcionalidad, con una regulación exhaustiva que cumpla los estándares constitucionales y europeos.
Nota: Este resumen sintetiza las críticas clave de la AEPD al APL, destacando su preocupación por la protección de datos frente a los objetivos de seguridad nacional.