| Informe | 2025-0063 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD sobre el Memorando de Entendimiento (MOU) entre la APDCAT y la GRA (Informe 0063/2025)
El informe jurídico de la Agencia Española de Protección de Datos (AEPD) analiza el borrador de un Memorando de Entendimiento (MOU) entre la Autoridad Catalana de Protección de Datos (APDCAT) y la Autoridad Reguladora de Gibraltar (GRA) sobre colaboración en materia de privacidad y protección de datos personales.
Naturaleza jurídica del MOU
El documento se considera un Acuerdo Internacional No Normativo (AINN), conforme a la Ley 25/2014, al no ser vinculante y basarse en la cooperación administrativa. Sin embargo, su validez depende de:
La competencia de la APDCAT para firmarlo, regulada en el artículo 56.1 de la LOPDGDD 3/2018, que permite a las autoridades autonómicas de protección de datos suscribir acuerdos internacionales no normativos en su ámbito competencial.
La competencia de la GRA, que, como autoridad de un territorio británico de ultramar, opera bajo la legislación gibraltareña (DPA de Gibraltar, RDPD, etc.), pero su participación en acuerdos con España debe ajustarse a las Declaraciones de España sobre Gibraltar ante el Consejo de Europa, que aclaran que sus competencias son internas y no afectan a la soberanía española.
Requisitos legales para su aprobación
Antes de su firma, el Ministerio de Asuntos Exteriores y Cooperación debe emitir un informe de la Asesoría Jurídica Internacional (artículo 53 de la Ley 25/2014), verificando:
Que ambos firmantes tienen capacidad legal para suscribirlo.
Que no implica transferencia de datos personales entre jurisdicciones distintas, lo que podría interpretarse como un acto de política exterior.
Que se ajusta a la normativa sobre competencia autonómica en protección de datos (artículo 57 de la LOPDGDD).
Observaciones y recomendaciones
El informe señala deficiencias en el borrador:
Falta de claridad en el objeto del acuerdo, que aparece disperso en distintas cláusulas (objetivos, ámbito de cooperación, base legal).
Expresiones confusas, como la referencia a un «marco legal» en un documento no vinculante, lo que podría dar lugar a interpretaciones erróneas.
Duración indeterminada: se sugiere establecer un plazo concreto (ej. 4 años, como en otros convenios similares) en lugar de dejarlo abierto a rescisión unilateral con solo 30 días de preaviso.
Falta de detalles sobre el intercambio de información, incluyendo datos personales, que debe estar claramente delimitado para evitar conflictos con la normativa de protección de datos.
Publicación: Se recomienda registrar el MOU en el Ministerio de Asuntos Exteriores para su inscripción en el registro de acuerdos internacionales no normativos (artículo 48 de la Ley 25/2014).
Competencia en inteligencia artificial (IA)
El borrador menciona acuerdos en materia de IA, pero la AEPD advierte que:
Las competencias autonómicas en IA están limitadas por la Ley 14/2011 y el marco estatal y europeo (Reglamento UE 2024/1689 sobre IA).
La APDCAT debe justificar que el acuerdo se circunscribe a sus competencias en protección de datos y no invada ámbitos reservados al Estado.
Conclusión
El informe exige la presentación del informe del Ministerio de Asuntos Exteriores y la justificación detallada de la competencia de la APDCAT para avalar la validez del MOU. Además, recomienda ajustar su redacción para evitar ambigüedades y asegurar que el intercambio de información cumpla con la normativa aplicable, especialmente en materia de datos personales y IA.
En definitiva, aunque el MOU no es vinculante, su formalización debe respetar escrupulosamente la distribución de competencias y la normativa internacional para evitar conflictos jurídicos.