| Informe | 2025-0064 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD sobre el proyecto de Real Decreto de la Autoridad Independiente para la Igualdad de Trato y la No Discriminación
La Agencia Española de Protección de Datos (AEPD) ha emitido un informe jurídico sobre el proyecto de Real Decreto que desarrolla la estructura y funcionamiento de la Autoridad Independiente para la Igualdad de Trato y la No Discriminación, creada por la Ley 15/2022. El informe, identificado como 2025-0064, analiza aspectos clave relacionados con la protección de datos personales y garantiza su adecuación al Reglamento General de Protección de Datos (RGPD) y a la LOPDGDD.
Contexto y fundamento normativo
El Real Decreto desarrolla los artículos 40 y siguientes de la Ley 15/2022, que regula la creación de la Autoridad Independiente como órgano autónomo encargado de promover la igualdad y prevenir la discriminación.
La AEPD ya había emitido en 2011 (Informe 032/2011) observaciones sobre el anteproyecto de esta ley, destacando la necesidad de garantizar la protección de datos personales en los tratamientos estadísticos y judiciales.
La Ley 15/2022 incorporó parcialmente estas observaciones, pero el informe actual señala carencias en el proyecto de Real Decreto, especialmente en la protección de datos y en la evaluación de impacto en privacidad.
Principales observaciones de la AEPD
a) Necesidad de referencias expresas al RGPD y la LOPDGDD
El proyecto de Real Decreto no incluye menciones claras al RGPD ni a la LOPDGDD, a pesar de que la actividad de la Autoridad Independiente implica tratamientos de datos personales (ej.: gestión de quejas, elaboración de estadísticas, colaboración con administraciones).
La AEPD recomienda añadir un artículo o disposición adicional que establezca explícitamente que:
Todos los tratamientos de datos se regirán por el RGPD y la LOPDGDD.
Se respetarán los principios de protección de datos (licitud, transparencia, minimización, conservación limitada, integridad y confidencialidad).
Se aplicarán las medidas de seguridad del artículo 32 RGPD (protección contra accesos no autorizados, pérdida o daño de datos).
Se designará un responsable del tratamiento que asegure el cumplimiento proactivo (artículo 24 RGPD: «responsabilidad proactiva»).
b) Evaluación de Impacto en Protección de Datos (EIPD)
La AEPD destaca la ausencia de un análisis de riesgos o EIPD en la Memoria de Análisis de Impacto Normativo (MAIN), a pesar de que:
La autoridad manejará datos sensibles (ej.: categorías especiales de datos relacionadas con discriminación).
El artículo 35 del RGPD exige una EIPD cuando los tratamientos entrañen alto riesgo para los derechos fundamentales (ej.: elaboración de perfiles, observación sistemática de zonas públicas).
La AEPD recuerda que, en casos como este, el propio órgano proponente debe realizar la EIPD durante la fase normativa (artículo 35.10 RGPD), incorporando las garantías necesarias para minimizar riesgos.
Se sugiere que el Delegado de Protección de Datos (DPD) del Ministerio de Igualdad participe en este proceso, siguiendo la Guía de la AEPD para EIPD en proyectos normativos.
c) Deber de colaboración y cesión de datos personales
El artículo 33 del proyecto regula la colaboración de administraciones y particulares con la Autoridad Independiente, incluyendo la comunicación de datos personales sin consentimiento cuando sea «estrictamente necesario».
La AEPD valora positivamente la inclusión de un test de proporcionalidad (artículo 6.1.e RGPD: misión de interés público), pero insiste en que la norma debe:
Aclarar que la base jurídica legal (Ley 15/2022) no basta por sí sola para legitimar los tratamientos.
Exigir que la cesión de datos cumpla con los principios de minimización (solo los datos necesarios) y finalidad concreta (exclusivamente para las funciones de la Autoridad).
Se propone modificar el artículo 33 para incluir:
«El deber de colaboración e información incluirá la comunicación de información que contenga datos personales de terceros sin su consentimiento cuando resulte estrictamente necesario para el cumplimiento de las funciones de la Autoridad Independiente para la Igualdad de Trato y la No Discriminación, de conformidad con la legislación de protección de datos de carácter personal y en la Ley 12/1989 de la Función Estadística Pública.»
d) Secreto estadístico y anonimización
La AEPD reitera que los datos obtenidos con fines estadísticos o judiciales deben protegerse mediante:
Secreto estadístico (Ley 12/1989), que impide la difusión de datos personales incluso en informes.
Anonimización o disociación de datos para garantizar la privacidad.
Solo podrán publicarse datos agregados o estadísticas donde no sea posible identificar a las personas afectadas.
Conclusiones y recomendaciones finales
La AEPD concluye la necesidad de:
Incorporar en el Real Decreto una disposición clara sobre la aplicación del RGPD y la LOPDGDD, con referencia expresa a los principios y medidas de seguridad.
Realizar una Evaluación de Impacto en Protección de Datos (EIPD) antes de aprobar la norma, identificando riesgos y garantías específicas (ej.: para tratamientos de datos sensibles o a gran escala).
Modificar el artículo 33 para precisar que la cesión de datos sin consentimiento debe ser proporcional y limitada a lo estrictamente necesario.
Garantizar la confidencialidad mediante un Código Ético que incluya medidas técnicas y organizativas (ej.: cifrado, acceso restringido).
En resumen, el informe de la AEPD subraya que el proyecto de Real Decreto debe reforzar su alineación con el RGPD, incorporar evaluaciones de impacto y aclarar los límites en el tratamiento de datos personales, especialmente en el marco de estatísticas, colaboraciones institucionales y deberes de información. Estas mejoras asegurarán que la Autoridad Independiente cumpla con la normativa de protección de datos desde su diseño operativo.
(Resumen aproximado: 500 palabras).