POLÍTICA DE PRIVACIDAD Y PROTECCIÓN DE DATOS

Proyecto Piloto CARTERA DIGITAL

Tanto la estrategia España Digital 2026 (Medida 18. Administración orientada a la ciudadanía) como el Plan de Digitalización de las AAPP 2021-2025 (Medida 4. Nuevo modelo de identidad) incluyen como medida relevante el desarrollo de un Nuevo Modelo de Identidad Digital atendiendo al objetivo último de transformar la relación digital con la ciudadanía y las empresas, mejorando la usabilidad, utilidad, calidad, accesibilidad y seguridad de los servicios públicos al tiempo que el ciudadano se sitúa en el centro del control de sus datos personales.

Para ello se desarrollará un modelo que permitirá disponer de una CARTERA DIGITAL a nivel nacional en la que almacenar credenciales para acreditar la identidad, así como otros atributos personales asociados a esta, por ejemplo, titulaciones académicas, proporcionando a las personas físicas y jurídicas un medio armonizado de identificación electrónica que permitirá autenticar y compartir datos vinculados de su identidad ante las Administraciones Públicas y el Sector Privado.

La CARTERA DIGITAL se desarrollará en todo momento en sincronía con los avances producidos en la Unión Europea en materia de identidad digital. Concretamente en base a lo dispuesto en la normativa europea y nacional, con especial foco en los avances producidos en la evolución del REGLAMENTO (UE) No 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE.

En este contexto, el servicio actual de CARTERA DIGITAL consiste en abordar una experiencia piloto de emisión de credenciales haciendo uso de una aplicación comercial, con alcance limitado a tres universidades tractoras vinculadas a la iniciativa de European Blockchain Services Infrastructure (EBSI por sus siglas en inglés) denominada “Early Adopters” (Universidad Carlos III de Madrid, Universitat Rovira i Virgili y Universidad de Murcia). Los trámites a realizar con estas credenciales en el ámbito universitario estarán expresamente excluidos del ámbito de la Ley 39/2015 del Procedimiento Administrativo Común. El objetivo de esta experiencia piloto es disponer de un onboarding digital 100% y que el usuario pueda acreditar su identidad y otras credenciales en su relación con la Universidad.

Principales actores del proyecto piloto CARTERA DIGITAL

• Secretaría General de Administración Digital (en lo sucesivo SGAD). De acuerdo con lo establecido en el Real Decreto 403/2020, de 25 de febrero, por el que se desarrolla la estructura orgánica básica del Ministerio de Asuntos Económicos y Transformación Digital, la Secretaría General de Administración Digital (en lo sucesivo, SGAD) es el órgano directivo al que corresponde, bajo la autoridad de la persona titular de la Secretaría de Estado de Digitalización e Inteligencia Artificial, la dirección, coordinación y ejecución de las competencias atribuidas al Departamento en materia de transformación digital de la administración. Asimismo, entre otras funciones, corresponde a la SGAD la elaboración de la estrategia en materia de Administración Digital y Servicios Públicos Digitales de la Administración General del Estado y sus Organismos Públicos, así como del proceso de innovación, y el establecimiento de las decisiones y directrices necesarias para su ejecución. Del mismo modo, corresponde a la SGAD la provisión de servicios en materias de tecnologías de la información y comunicaciones a aquellos órganos con los que se acuerde.
• Fábrica Nacional de Moneda y Timbre – Real Casa de la Moneda (en lo sucesivo FNMT-RCM). En calidad de Prestador Cualificado de Servicios Digitales de Confianza, viene prestando servicios técnicos y administrativos necesarios para la identificación y autenticación de los intervinientes en las comunicaciones electrónicas de las Administraciones Públicas a través del uso de certificados de firma electrónica, dirigidos tanto a los interesados en el procedimiento administrativo como a funcionarios y demás empleados públicos. Adicionalmente, la FNMT–RCM ha desarrollado ciertas iniciativas tecnológicas relacionadas con la identificación remota, el uso de técnicas biométricas, el desarrollo de apps móviles o la autenticación fuerte ante servicios de firma centralizada.
• Universidad Carlos III de Madrid (en lo sucesivo UC3M). Creada por Ley 9/1989, de 5 de mayo, se rige por sus Estatutos y la Ley Orgánica 6/2001, de 21 de diciembre de Universidades, siendo una Entidad de Derecho Público, dotada de personalidad jurídica propia, que goza de autonomía conforme a la Constitución y a las Leyes. De acuerdo a sus Estatutos, la UC3M tiene como uno de sus objetivos la colaboración con entidades públicas o privadas, promoviendo la difusión de la ciencia, la cultura, el arte y el conocimiento, contribuyendo al progreso social, económico, y cultural.
• Universidad de Murcia (en lo sucesivo UMU). Es una Institución destinada al Servicio Público de la Educación Superior, dotada de personalidad jurídica propia en cuyos Estatutos contempla una actuación adecuada a los principios de participación, interdisciplinariedad y pluralismo, procurando favorecer la relación con el entorno regional, nacional e internacional, así como la cooperación con otras instituciones de investigación o enseñanza superior.
• Universitat Rovira i Virgili (en lo sucesivo URV). Universidad pública creada en 1991, se rige por sus estatutos aprobados mediante el acuerdo GOV/40/2022, de 8 de marzo, en cuyo artículo 1 reconoce a la URV como institución de derecho público, con personalidad jurídica y patrimonio propios, que actúa en régimen de autonomía. Contempla entre sus misiones impulsar la gestión del cambio basada en la mejora continua y la excelencia para poder satisfacer las nuevas necesidades que vayan surgiendo, tanto de la comunidad universitaria como de la sociedad.

¿Quién es el responsable encargado del tratamiento de sus datos como usuario de Cartera DIGITAL?

El régimen de protección de datos de carácter personal es el previsto en el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, en adelante RGPD) y en la Ley Orgánica 3/2018, de 5 de diciembre, y demás normativa de aplicación en materia de protección de datos.

El reparto de roles y responsabilidades atendiendo a los distintos componentes del servicio piloto de CARTERA DIGITAL es el siguiente:

1. Aplicación CARTERA DIGITAL: la SGAD será el responsable del tratamiento, siendo la FNMT-RCM el encargado del tratamiento.
2. Servicio de acreditación de identidad telemático: la FNMT-RCM será el responsable del tratamiento y encargado del tratamiento.
3. Credenciales verificables emitidas por FNMT-RCM: la FNMT-RCM será el responsable y encargado del tratamiento.
4. Credenciales verificables emitidas por las universidades: las universidades emisoras serán responsables del tratamiento, siendo la FNMT-RCM el encargado del tratamiento.
5. Servicios ofrecidos desde el campus de las universidades: las universidades serán responsables y encargadas del tratamiento, siendo FNMT-RCM el encargado del tratamiento de los datos necesarios para el acceso a dichos servicios.

La SGAD le informa sobre la Política de Privacidad respecto del tratamiento y protección de los datos de carácter personal de los usuarios y clientes que puedan ser recabados por la SGAD a través de la aplicación Cartera Digital ofertados directamente o mediante proveedores de servicios, actuando como encargado del tratamiento la FNMT-RCM, garantizando el cumplimiento de la normativa vigente en materia de protección de datos personales conforme a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y de Garantía de Derechos Digitales, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas (RGPD) y resto de normativa relacionada en vigor.

Identidad del responsable:

• La unidad responsable de la aplicación Cartera Digital es la Secretaría General de Administración Digital, órgano directivo dependiente de la Secretaría de Estado de Digitalización e Inteligencia Artificial del Ministerio de Asuntos Económicos y Transformación Digital.
• Nombre: Ministerio de Asuntos Económicos y Transformación Digital.
• Delegado de Protección de Datos: dpd@mineco.es
• Dirección: Paseo de la Castellana, 162 - 28046 Madrid

Identidad del encargado:

• Titular: Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda
• Domicilio: Calle Jorge Juan 106 - 28009 Madrid
• Correo electrónico: atención a usuarios info@fnmt.es
• Sitio Web: http://www.fnmt.es/

Finalidad del tratamiento de datos personales

Al instalar la aplicación Cartera Digital y crearse una cartera, el usuario está facilitando información de carácter personal de la que la SGAD es responsable y la FNMT-RCM es encargada del tratamiento.

Esta información incluye los siguientes datos de carácter personal:

• Dirección de correo electrónico.
• Identificador de dispositivo.
• Clave pública.

Adicionalmente, para facilitar el acceso a la aplicación Cartera Digital el usuario puede habilitar opcionalmente los mecanismos de autenticación biométricos proporcionados por las distintas plataformas móviles (iOS, Android…) que gestionan y almacenan en su dispositivo móvil sus datos de identificación biométricos, como reconocimiento facial o huella digital.

La finalidad de recopilar estos datos personales consiste en poder habilitar servicios de envío de notificaciones y permitir un mecanismo de seguridad.

Para proteger sus datos personales, la SGAD y los operadores que contrate para realizar servicios de emisión y validación de credenciales, toman todas las precauciones razonables y siguen las mejores prácticas de la industria para evitar su pérdida, mal uso, acceso indebido, divulgación, alteración o destrucción de los mismos.

La SGAD garantiza la seguridad, el secreto y la confidencialidad de tus datos, comunicaciones e información personal y ha adoptado las más exigentes y robustas medidas de seguridad y medios técnicos para evitar su pérdida, mal uso o su acceso sin tu autorización.

Además, nos comprometemos a actuar con rapidez y responsabilidad en el caso de que la seguridad de sus datos pueda estar en peligro, y a informarle si fuese relevante. Se dispone de protocolos de gestión de incidentes de seguridad, que incluyen las notificaciones a las autoridades de supervisión y a los usuarios en los casos previstos en la legislación.

Finalmente, le informamos que tanto el almacenamiento como el resto de las actividades del tratamiento de sus datos estarán siempre ubicados dentro de la Unión Europea.

Legitimación para el tratamiento de datos personales

Los tratamientos de datos personales que se puedan realizar mediante la aplicación Cartera Digital se basan en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento de conformidad con el artículo 6.1e) del RGPD.

Ejercicio de derechos en relación con la protección de datos personales

El usuario del servicio podrá ejercitar en todo momento los derechos otorgados por la normativa vigente en materia de protección de datos personales.

Para ejercitar sus derechos o realizar consultas sobre protección de datos personales puede dirigirse al Responsable de Protección de Datos Personales:

• La unidad responsable de la aplicación Cartera Digital es la Secretaría General de Administración Digital, órgano directivo dependiente de la Secretaría de Estado de Digitalización e Inteligencia Artificial del Ministerio de Asuntos Económicos y Transformación Digital.
• Nombre: Ministerio de Asuntos Económicos y Transformación Digital.
• Delegado de Protección de Datos: dpd@mineco.es
• Dirección: Paseo de la Castellana, 162 - 28046 Madrid

Aparte de todo lo anterior, le asiste en todo momento el derecho para presentar una reclamación ante la Agencia Española de Protección de Datos.

Conservación de datos personales

Los datos personales que proporcione a la SGAD o a los operadores que actúen como encargados del tratamiento por cuenta de ella se conservarán durante el periodo de duración del Proyecto Piloto Cartera Digital o hasta que usted solicite su supresión, con los límites legalmente establecidos. La duración estimada del Proyecto Piloto Cartera Digital es de un año prorrogable por un año adicional (comenzando en mayo de 2023). En el caso de encontrarse dentro de alguna reclamación o proceso judicial, los datos se mantendrán más allá del tiempo indicado, hasta la resolución del mismo.

Para ejecutar las finalidades de tratamiento descritas, podremos hacer uso de subcontratistas autorizados que actúen por cuenta y nombre de la SGAD, en calidad de encargados de tratamiento (p.ej. el proveedor de la Cartera Digital, servicios de internet, etc.) y sujetos contractualmente a nuestras instrucciones, únicamente con las finalidades lícitas descritas y durante el periodo de tiempo estrictamente necesario para ello.