POLÍTICA DE PRIVACIDAD Y PROTECCIÓN DE DATOS

Proyecto Piloto CARTERA DIGITAL

Tanto la estrategia España Digital 2026 (Medida 18. Administración orientada a la ciudadanía) como el Plan de Digitalización de las AAPP 2021-2025 (Medida 4. Nuevo modelo de identidad) incluyen como medida relevante el desarrollo de un Nuevo Modelo de Identidad Digital atendiendo al objetivo último de transformar la relación digital con la ciudadanía y las empresas, mejorando la usabilidad, utilidad, calidad, accesibilidad y seguridad de los servicios públicos al tiempo que el ciudadano se sitúa en el centro del control de sus datos personales.

Para ello se desarrollará un modelo que permitirá disponer de una CARTERA DIGITAL a nivel nacional en la que almacenar credenciales para acreditar la identidad, así como otros atributos personales asociados a esta, por ejemplo, titulaciones académicas, proporcionando a las personas físicas y jurídicas un medio armonizado de identificación electrónica que permitirá autenticar y compartir datos vinculados de su identidad ante las Administraciones Públicas y el Sector Privado.

La CARTERA DIGITAL se desarrollará en todo momento en sincronía con los avances producidos en la Unión Europea en materia de identidad digital. Concretamente en base a lo dispuesto en la normativa europea y nacional, con especial foco en los avances producidos en la evolución del REGLAMENTO (UE) No 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE.

En este contexto, el servicio actual de CARTERA DIGITAL consiste en abordar una experiencia piloto de emisión de credenciales haciendo uso de una aplicación comercial, con alcance limitado a tres universidades tractoras vinculadas a la iniciativa de European Blockchain Services Infrastructure (EBSI por sus siglas en inglés) denominada “Early Adopters” (Universidad Carlos III de Madrid, Universitat Rovira i Virgili y Universidad de Murcia). Los trámites a realizar con estas credenciales en el ámbito universitario estarán expresamente excluidos del ámbito de la Ley 39/2015 del Procedimiento Administrativo Común. El objetivo de esta experiencia piloto es disponer de un onboarding digital 100% y que el usuario pueda acreditar su identidad y otras credenciales en su relación con la Universidad.

Principales actores del proyecto piloto CARTERA DIGITAL

¿Quién es el responsable encargado del tratamiento de sus datos como usuario de Cartera DIGITAL?

El régimen de protección de datos de carácter personal es el previsto en el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, en adelante RGPD) y en la Ley Orgánica 3/2018, de 5 de diciembre, y demás normativa de aplicación en materia de protección de datos.

El reparto de roles y responsabilidades atendiendo a los distintos componentes del servicio piloto de CARTERA DIGITAL es el siguiente:

  1. Aplicación CARTERA DIGITAL: la SGAD será el responsable del tratamiento, siendo la FNMT-RCM el encargado del tratamiento.
  2. Servicio de acreditación de identidad telemático: la FNMT-RCM será el responsable del tratamiento y encargado del tratamiento.
  3. Credenciales verificables emitidas por FNMT-RCM: la FNMT-RCM será el responsable y encargado del tratamiento.
  4. Credenciales verificables emitidas por las universidades: las universidades emisoras serán responsables del tratamiento, siendo la FNMT-RCM el encargado del tratamiento.
  5. Servicios ofrecidos desde el campus de las universidades: las universidades serán responsables y encargadas del tratamiento, siendo FNMT-RCM el encargado del tratamiento de los datos necesarios para el acceso a dichos servicios.

La SGAD le informa sobre la Política de Privacidad respecto del tratamiento y protección de los datos de carácter personal de los usuarios y clientes que puedan ser recabados por la SGAD a través de la aplicación Cartera Digital ofertados directamente o mediante proveedores de servicios, actuando como encargado del tratamiento la FNMT-RCM, garantizando el cumplimiento de la normativa vigente en materia de protección de datos personales conforme a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y de Garantía de Derechos Digitales, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas (RGPD) y resto de normativa relacionada en vigor.

Identidad del responsable:

Identidad del encargado:

Finalidad del tratamiento de datos personales

Al instalar la aplicación Cartera Digital y crearse una cartera, el usuario está facilitando información de carácter personal de la que la SGAD es responsable y la FNMT-RCM es encargada del tratamiento.

Esta información incluye los siguientes datos de carácter personal:

Adicionalmente, para facilitar el acceso a la aplicación Cartera Digital el usuario puede habilitar opcionalmente los mecanismos de autenticación biométricos proporcionados por las distintas plataformas móviles (iOS, Android…) que gestionan y almacenan en su dispositivo móvil sus datos de identificación biométricos, como reconocimiento facial o huella digital.

La finalidad de recopilar estos datos personales consiste en poder habilitar servicios de envío de notificaciones y permitir un mecanismo de seguridad.

Para proteger sus datos personales, la SGAD y los operadores que contrate para realizar servicios de emisión y validación de credenciales, toman todas las precauciones razonables y siguen las mejores prácticas de la industria para evitar su pérdida, mal uso, acceso indebido, divulgación, alteración o destrucción de los mismos.

La SGAD garantiza la seguridad, el secreto y la confidencialidad de tus datos, comunicaciones e información personal y ha adoptado las más exigentes y robustas medidas de seguridad y medios técnicos para evitar su pérdida, mal uso o su acceso sin tu autorización.

Además, nos comprometemos a actuar con rapidez y responsabilidad en el caso de que la seguridad de sus datos pueda estar en peligro, y a informarle si fuese relevante. Se dispone de protocolos de gestión de incidentes de seguridad, que incluyen las notificaciones a las autoridades de supervisión y a los usuarios en los casos previstos en la legislación.

Finalmente, le informamos que tanto el almacenamiento como el resto de las actividades del tratamiento de sus datos estarán siempre ubicados dentro de la Unión Europea.

Legitimación para el tratamiento de datos personales

Los tratamientos de datos personales que se puedan realizar mediante la aplicación Cartera Digital se basan en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento de conformidad con el artículo 6.1e) del RGPD.

Ejercicio de derechos en relación con la protección de datos personales

El usuario del servicio podrá ejercitar en todo momento los derechos otorgados por la normativa vigente en materia de protección de datos personales.

Para ejercitar sus derechos o realizar consultas sobre protección de datos personales puede dirigirse al Responsable de Protección de Datos Personales:

Aparte de todo lo anterior, le asiste en todo momento el derecho para presentar una reclamación ante la Agencia Española de Protección de Datos.

Conservación de datos personales

Los datos personales que proporcione a la SGAD o a los operadores que actúen como encargados del tratamiento por cuenta de ella se conservarán durante el periodo de duración del Proyecto Piloto Cartera Digital o hasta que usted solicite su supresión, con los límites legalmente establecidos. La duración estimada del Proyecto Piloto Cartera Digital es de un año prorrogable por un año adicional (comenzando en mayo de 2023). En el caso de encontrarse dentro de alguna reclamación o proceso judicial, los datos se mantendrán más allá del tiempo indicado, hasta la resolución del mismo.

Para ejecutar las finalidades de tratamiento descritas, podremos hacer uso de subcontratistas autorizados que actúen por cuenta y nombre de la SGAD, en calidad de encargados de tratamiento (p.ej. el proveedor de la Cartera Digital, servicios de internet, etc.) y sujetos contractualmente a nuestras instrucciones, únicamente con las finalidades lícitas descritas y durante el periodo de tiempo estrictamente necesario para ello.