| Informe | 2025-0047 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD sobre el Proyecto de Decreto de servicios digitales de Aragón
El informe jurídico de la Agencia Española de Protección de Datos (AEPD) analiza el Proyecto de Decreto por el que se regula la prestación de servicios digitales en la Administración de la Comunidad Autónoma de Aragón, destacando vulneraciones de la normativa de protección de datos (RGPD y LOPDGDD) y exigiendo mayor rigor en su tramitación.
Cuestiones clave del informe:
Falta de base legal suficiente para los tratamientos de datos
El proyecto se basa en el consentimiento del interesado (art. 6.2) como base jurídica para tratamientos automatizados (perfilado, recomendaciones personalizadas), pero la AEPD considera que no es una base válida para la Administración pública, ya que existe un desequilibrio de poder entre el ciudadano y la Administración (STC 49/1999, Considerando 43 RGPD).
La AEPD exige que los tratamientos se amparen en una ley con rango suficiente (art. 6.3 RGPD y 8.2 LOPDGDD), no en un reglamento, especialmente cuando se usan datos personales a gran escala o categorías especiales (salud, género, etc.).
Ausencia de Evaluación de Impacto en Protección de Datos (EIPD)
El proyecto no incluye un análisis de riesgos ni una EIPD previa, pese a que el Real Decreto 311/2022 (ENS) y el RGPD (art. 35) lo exigen para tratamientos automatizados que puedan afectar derechos fundamentales.
La AEPD recomienda incorporar estos análisis en la Memoria Justificativa, siguiendo su Guía para Evaluaciones de Impacto en el Desarrollo Normativo.
Incertidumbre sobre el alcance del tratamiento y el consentimiento
El art. 6.2 exige el «consentimiento informado» para el perfilado, pero su redacción es ambigua: no se especifica qué datos se usarán, para qué fines ni cómo se protegerán.
La AEPD advierte que el consentimiento debe ser libre, específico e informado (RGPD, art. 4.11), pero el proyecto no garantiza que el ciudadano pueda negarse sin consecuencias a estos tratamientos.
Riesgos en la gobernanza de datos y el «perfilado masivo»
El proyecto crea una Plataforma de Gobernanza de Datos (art. 5) que centraliza información de los ciudadanos, pero no delimita claramente:
Quiénes tendrán acceso a los datos.
Limitaciones en su uso (¿podrían usarse datos de un trámite sanitario para publicidad de servicios sociales?).
Garantías de intervención humana en decisiones automatizadas (RGPD, art. 22).
La AEPD señala que el «perfilado predictivo» (usando IA) requiere mayor transparencia sobre la lógica aplicada y derechos de oposición (art. 21 RGPD).
Falta de concreción en la finalidad del tratamiento
La normativa exige que los datos se usen «solo para la finalidad concreta» (principio de limitación, art. 5.1.b RGPD), pero el proyecto permite un uso posterior difuso (ej.: datos de un trámite pueden usarse para ofrecer otros servicios no relacionados).
Recomendaciones de la AEPD:
✅ Revisar la base legal: Sustituir el consentimiento por una ley autonómica que regule estos tratamientos, con aclaración de finalidades y limites.
✅ Realizar una EIPD: Incluir un análisis de riesgos previo al perfilado y decisiones automatizadas.
✅ Mejorar la transparencia: Detallar en la norma:
Qué datos se tratan, por qué y con qué fines.
Mecanismos de objección a los tratamientos (art. 21 RGPD).
Garantías para evitar discriminación (ej.: si se usan categorías especiales como salud o origen étnico).
✅ Limitar el acceso a datos: Evitar que cualquier órgano administrativo acceda a datos personales sin justificación legal clara.
Conclusión
El proyecto avanza en transformación digital, pero incumple principios esenciales del RGPD: seguridad jurídica, proporcionalidad y protección de datos desde el diseño. La AEPD insta a la Administración aragonesa a reformular el texto para garantizar el derecho fundamental a la protección de datos, especialmente en tratamientos automatizados y perfilado predictivo.
Informe completo disponible en:www.aepd.es.