| Informe | 2026-0008 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD sobre el Registro Electrónico de Colaboradores de Extranjería
La Agencia Española de Protección de Datos (AEPD) ha emitido un informe jurídico sobre un proyecto normativo que regula la creación del Registro Electrónico de Colaboradores de Extranjería. Este registro tiene como objetivos desarrollar reglamentariamente su funcionamiento, habilitar la representación en procedimientos de extranjería para ciertos grupos y garantizar el control y trazabilidad de los colaboradores. La AEPD destaca que la creación de este registro implica el tratamiento de datos personales, incluyendo posibles categorías especiales de datos, por lo que debe ajustarse al Reglamento General de Protección de Datos (RGPD) y a la Ley Orgánica 3/2018 de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD).
Base legal y legitimación del tratamiento de datos
La AEPD considera que el tratamiento de datos personales en este registro se fundamenta en:
Cumplimiento de una obligación legal (art. 6.1.c RGPD), ya que la creación del registro está prevista en la Ley Orgánica 4/2000 sobre derechos y libertades de los extranjeros y su reglamento.
Misión de interés público (art. 6.1.e RGPD), dado que el registro busca organizar los procedimientos de extranjería y controlar a los intermediarios.
Además, se exige que la norma que habilite el tratamiento de datos sea una ley formal (como la LOPDGDD), garantizando el principio de reserva de ley y proporcionalidad, según jurisprudencia constitucional.
Riesgos y garantías en la protección de datos
El proyecto de Orden Ministerial incluye un artículo dedicado a la protección de datos (art. 10), pero la AEPD señala que no se ha realizado un análisis de riesgos ni una Evaluación de Impacto de Protección de Datos (EIPD) antes de su elaboración. Esto es fundamental porque:
El registro implica tratamientos automatizados intensivos de datos personales, incluyendo categorías especiales (como datos de identificadores fiscales o de contacto de los colaboradores).
La norma proyectada no especifica las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos, como exige el principio de responsabilidad proactiva (art. 24 RGPD) y la protección de datos desde el diseño (art. 25 RGPD).
La AEPD recomienda:
Incorporar una EIPD en la Memoria de Análisis de Impacto Normativo (MAIN), tal como permite el art. 35.10 RGPD, para identificar y mitigar riesgos antes de la entrada en vigor del registro.
Aplicar medidas como la seudonimización, minimización de datos y limitación de accesos, integrándolas en el diseño del sistema.
Designar al Delegado de Protección de Datos (DPD) para supervisar el cumplimiento normativo.
Garantizar la transparencia y proporcionalidad en el acceso a los datos, evitando comunicaciones indiscriminadas.
Conclusiones y recomendaciones
La AEPD valora positivamente que se mencione el marco legal aplicable en la exposición de motivos, pero insiste en que debe reflejarse explícitamente que la norma ha sido informada por la AEPD.
No se han aplicado las garantías necesarias para un tratamiento de datos de esta envergadura, por lo que insta a realizar un análisis de riesgos y una EIPD antes de su aprobación definitiva.
La AEPD remite a su Guía «Orientaciones para la realización de una evaluación de impacto en el desarrollo normativo», que ofrece un marco metodológico para evaluar los riesgos asociados al tratamiento de datos.
En resumen, el informe de la AEPD subraya la necesidad de reforzar las garantías de protección de datos en este proyecto normativo, asegurando que el tratamiento de datos sea lícito, proporcional y seguro, e integrando las medidas desde su diseño inicial.