| Informe | 2025-0048 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD sobre la disposición adicional cuarta del proyecto de decreto (N/REF: 0048/2025)
Este informe jurídico analiza la Disposición Adicional Cuarta de un proyecto de decreto de la Comunidad Autónoma de Canarias, que atribuye a la Dirección General de Transformación Digital de los Servicios Públicos (DGTDSP) la condición de encargada de tratamiento en diversos procesos de datos personales gestionados por otros órganos de la Administración canaria.
Contexto y objeción planteada
La Delegada de Protección de Datos de la Consejería de Turismo y Empleo se opone a esta disposición, argumentando que la DGTDSP no debería ostentar la condición de encargada porque:
Ejerce funciones propias de responsable: Al ser el órgano encargado de telecomunicaciones y tecnologías de la información en Canarias, determina los fines y medios de múltiples tratamientos, participando activamente en políticas, seguridad y gestión de infraestructuras.
Imposibilidad ontológica: El RGPD exige que el encargado actúe por cuenta y bajo instrucciones del responsable, pero aquí la DGTDSP parece autogestionarse, lo que vulneraría su independencia funcional.
Riesgo de doble rol: La misma entidad estaría definida simultáneamente como responsable (por definir medios y fines) y encargada (por ejecutar tratamientos por cuenta ajena), lo que el RGPD prohíbe para un mismo tratamiento.
Marco legal y doctrina aplicable
El informe recurre a:
Artículo 4 del RGPD: Define responsable (quien determina fines y medios) y encargado (quien trata datos por cuenta del responsable).
Artículo 26 RGPD: Regula la corresponsabilidad cuando varias entidades determinan conjuntamente fines y medios.
Directrices 07/2020 del CEPD y jurisprudencia del TJUE (sentencias C-210/16 y C-231/22): Insisten en que la calificación debe basarse en hechos concretos, no en formalidades. Una misma entidad puede ser responsable en unos tratamientos y encargada en otros, siempre que se analice cada caso por separado.
Artículo 28.3 RGPD: Permite que la condición de encargado emane de normas jurídicas (como un decreto), pero exige que la designación sea clara y respete las funciones de cada figura.
Análisis de la disposición
El conflicto radica en que la Disposición Adicional Cuarta asigna automáticamente a la DGTDSP el rol de encargada para múltiples tratamientos (copias de seguridad, desarrollo de aplicaciones, plataformas inteligentes, etc.), sin diferenciar:
Tratamientos donde la DGTDSP es responsable (por definir medios y fines).
Tratamientos donde actúa como encargada (ejecutando instrucciones ajenas).
El informe destaca que:
No es viable que un órgano sea al mismo tiempo responsable y encargado del mismo tratamiento, ya que esto anula la naturaleza del encargado (actuar por cuenta ajena).
La corresponsabilidad requeriría que varias entidades participaran conjuntamente en la definición de fines y medios, lo que no parece ser el caso en la disposición analizada.
La DGTDSP podría ser encargada en tratamientos concretos (ej: gestión de servidores bajo instrucciones documentadas), pero no en todos los enumerados, donde su papel parece ser de responsable.
Conclusiones y recomendación
La AEPD concluye que:
La disposición no respeta la distinción entre responsable y encargado establecida en el RGPD.
No se acredita que la DGTDSP actúe por cuenta ajena en todos los tratamientos citados, lo que exigiría una revisión caso por caso.
Debe aclararse el rol de la DGTDSP en cada tratamiento específico: si es responsable, debe cumplir sus obligaciones como tal; si es encargada, debe actuar bajo instrucciones documentadas y sin conflicto de intereses.
Corresponde al Gobierno de Canarias revisar el texto para:
Eliminar la atribución genérica de encargada.
Especificar en qué tratamientos la DGTDSP ejerce cada rol.
Asegurar que, cuando actúe como encargada, lo haga estrictamente por cuenta de otros responsables, sin interferir en la determinación de fines y medios.
Criterio final
La AEPD no rechaza la posibilidad de que la DGTDSP sea encargada, pero exige que:
Se delimiten claramente las actividades donde actúa como tal (ejecutando tratamientos por instrucción de otros órganos).
Se evite la superposición de roles en un mismo tratamiento, garantizando el cumplimiento del RGPD y los derechos de los interesados.
La disposición, tal como está redactada, vulneraría los principios de responsabilidad proactiva y accountability, ya que no permite demostrar quién asume efectivamente las obligaciones legales en cada tratamiento. Se recomienda su modificación para ajustarse a la normativa de protección de datos.