| Informe | 2025-0067 |
| Enlace | 📋 |
Resumen del informe jurídico de la Agencia Española de Protección de Datos (AEPD) sobre el Real Decreto del Sistema Central de Registros de Protección Animal (SICERPA)
La AEPD analiza el proyecto de Real Decreto que desarrolla la Ley 7/2023 sobre protección de los derechos y bienestar de los animales, centrando su evaluación en el cumplimiento del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD).
Contexto y objeto del proyecto
El Real Decreto regula el Sistema Central de Registros de Protección Animal (SICERPA), que integra varios registros (animales de compañía, criadores, entidades protectoras, etc.). Su finalidad es coordinar información entre administraciones públicas (comunidades autónomas y ciudades de Ceuta y Melilla) para garantizar la protección animal, pero implica tratamientos de datos personales que deben ajustarse al RGPD.
Principales observaciones sobre protección de datos
a) Necesidad de Evaluación de Impacto (EIPD)
La Memoria de Análisis de Impacto Normativo (MAIN) del proyecto concluyó que no era necesaria una Evaluación de Impacto (EIPD) por protección de datos. Sin embargo, la AEPD discrepa:
Los registros incluyen datos sensibles (como inhabilitaciones administrativas o penales), catalogados como categorías especiales según el artículo 10 del RGPD.
El tratamiento abarca a millones de interesados (ej.: 5 millones en el registro de animales de compañía) y combina datos de diferentes registros, lo que aumenta el riesgo.
La AEPD considera que deben realizarse EIPDs antes de implementar estos tratamientos, dado el alto riesgo para los derechos fundamentales.
b) Cumplimiento de la licitud del tratamiento
El proyecto justifica los tratamientos bajo el artículo 6.1.e del RGPD (misión de interés público). La AEPD acepta esta base, pero señala que:
Debe especificarse claramente qué datos se tratan, cómo se acceden y quiénes son los responsables.
Las ciudades de Ceuta y Melilla no están explícitamente mencionadas en la Ley 7/2023 para estos registros, lo que podría carecer de habilitación legal suficiente.
c) Medidas de seguridad y conservación de datos
Falta de plazos de conservación: El proyecto no especifica cuánto tiempo se mantendrán los datos, incumpliendo el principio de limitación en el tiempo (artículo 5.1.e RGPD).
Falta de mecanismos de cancelación: No se detalla cómo se eliminarán los datos cuando ya no sean necesarios.
Confusión entre derechos y deberes: El artículo 19.4 del proyecto confunde el derecho de acceso (solicitud del interesado) con el deber de información (que debe proporcionarse al recoger datos).
d) Tratamiento de inhabilitaciones penales y administrativas
Los artículos 31 y 32 del proyecto prevén el acceso a datos de inhabilitaciones para verificar requisitos de inscripción en los registros. La AEPD considera que:
Las inhabilitaciones administrativas pueden considerarse de naturaleza penal según jurisprudencia europea (STJUE C-439/19).
El tratamiento de estos datos requiere una habilitación legal expresa, que la Ley 7/2023 no desarrolla suficientemente. Se sugiere que la comprobación individual (artículo 28 LPACAP) sería más proporcional que la creación de un repositorio central.
e) Recogida de datos por vendedores (artículo 39.4)
El proyecto permite a los vendedores de animales solicitar información personal a los compradores para evaluar su idoneidad. La AEPD rechaza esta medida:
Carencia de base legal: No existe una ley que autorice a los particulares a recabar datos personales con este fin.
Violación del principio de proporcionalidad: Podría ser menos invasivo exigir certificados de aptitud o realizar preguntas objetivas en lugar de datos personales sin garantías.
Conclusiones y recomendaciones
La AEPD emite un informe negativo condicionado al Real Decreto y recomienda:
Realizar Evaluaciones de Impacto (EIPDs) antes de implementar los registros.
Especificar claramente los datos tratados, los plazos de conservación y los mecanismos de cancelación.
Aclarar la habilitación legal para las ciudades autónomas y para el tratamiento de inhabilitaciones.
Suprimir el artículo 39.4, que permite a los vendedores recabar datos personales sin base legal suficiente.
Corregir errores formales, como la confusión entre derechos y deberes en la información al interesado.
En resumen, aunque el proyecto persigue un interés público legítimo, la AEPD considera que incumple requisitos esenciales de protección de datos, requiriendo modificaciones sustanciales para ajustarse al RGPD y la normativa española.