La AEPD informa desfavorablemente el proyecto de orden sobre identificación no presencial para certificados electrónicos

11-11-2021 — AR/2021/154

El proyecto en cuestión regula el uso de videoconferencia o videoidentificación como sistema de seguridad equivalente en términos de fiabilidad a la presencia física para comprobar la identidad del solicitante de un certificado cualificado.

La Agencia Española de Protección de Datos (AEPD) ha emitido, el 4-11-2021, su informe 0097/2020, desfavorable, para el proyecto de orden del Ministerio de Asuntos Económicos y Transformación Digital sobre los métodos de identificación no presencial para expedir certificados electrónicos.

En este informe, la AEPD identifica, una vez más, los requisitos para el tratamiento de datos biométricos

El proyecto de orden ministerial

El proyecto de orden intenta regular el uso de videoconferencia o videoidentificación como sistema de seguridad equivalente en términos de fiabilidad a la presencia física, para comprobar la identidad del solicitante de un certificado cualificado.

Este borrador lo dicta el ministerio al amparo del reglamento EIDASy la Ley 6/20202 para regular las condiciones y requisitos técnicos mínimos aplicables a la verificación no presencial de la identidad y otros atributos específicos de estos solicitantes.

El proyecto de orden incluye esos medios sin tener en cuenta que el método se admitió en el ordenamiento jurídico de forma temporal durante el estado de alarma de la crisis de la COVID-19.

Conclusiones de la AEPD

La Agencia:

  • parte de la constatación de que el sistema regulado se basa en el tratamiento de datos biométricos, especialmente protegidos por las normas de protección de datos;
  • considera que el proyecto de orden no se adecúa a dicha normativa, y
  • entiende imprescindible que se analicen con detalle las implicaciones que el proyecto de norma tiene para los derechos y libertades de los afectados, en concreto sobre los siguientes aspectos:

Libertad de consentimiento

Es necesario solicitar al interesado su consentimiento de forma diferenciada y ofrecerle, además, alguna alternativa que no suponga una injerencia en su derecho de protección de datos personales, para garantizar la libertad en la opción.

Rango de la norma

Si se pretende imponer el tratamiento de datos biométricos dirigidos a la identificación unívoca de la persona como obligación para la identificación no presencial, la norma que lo establezca debería tener rango de ley.

Este requerimiento lo recoge expresamente el artículo 53.1 de la Constitución y el artículo 8.1 de la LOPDyGDD.3

Además, debe atender a un interés público esencial y establecer las garantías oportunas, de acuerdo con el artículo 9.2.g) del Reglamento General de Protección de Datos (RGPD).

Por tanto, el proyecto de orden carece del rango preciso para establecer limitaciones al derecho fundamental de protección de datos.

Deber de información

Este borrador, según la AEPD, no atiende correctamente las obligaciones de informar al solicitante sobre todos los aspectos definidos en el artículo 13 del RGPD y de las recomendaciones de seguridad aplicables.

Principio de limitación de la finalidad y de minimización de datos

La Agencia recalca que es preciso que la norma valore si los datos que se van a tratar son estrictamente necesarios para la finalidad perseguida y si no existen otras alternativas de tratamientos de datos de carácter personal menos gravosas para el afectado.

Principio de responsabilidad proactiva

El proyecto debería recoger expresamente la necesidad de realizar el análisis de riesgos para las libertades de las personas y la necesidad de realizar un PIA (siglas de privacy impact assestment o evaluación de impacto en la protección de datos).

Ubicación de los supervisores

El artículo 8 del proyecto debería incluir la necesidad de comprobar la ubicación de los servidores, ya que este aspecto podría dar lugar a transferencias internacionales de datos.


1 Reglamento (UE) n.º 910/2014, del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.
2 Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza.
3 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.