El Informe 0327/2005 de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre la cesión de datos por parte de una sociedad a un Grupo Parlamentario del Parlamento de Cantabria. La consulta se centra en la conformidad de esta cesión con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.
La sociedad en cuestión pretende ceder al Grupo Parlamentario una relación de personal contratado, incluyendo nombres, apellidos, funciones, salarios, tipo de contrato y copias de los modelos TC2. La AEPD determina que esta cesión constituye una revelación de datos de carácter personal, según el artículo 3 i) de la Ley Orgánica 15/1999.
Para que esta cesión sea conforme a la ley, debe sujetarse al régimen general de comunicación de datos establecido en el artículo 11 de la Ley. Este artículo establece que la cesión solo puede realizarse para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y cesionario, y generalmente requiere el consentimiento previo y suficientemente informado del afectado.
Sin embargo, el artículo 11.2 de la Ley permite la cesión sin consentimiento cuando está habilitada por una norma con rango de Ley estatal o autonómica. En este caso, el artículo 37.1 de la Ley 6/2002 de Cantabria y el artículo 9.1.e) del Estatuto de Autonomía de Cantabria establecen que el Parlamento tiene la facultad de controlar la acción política del Gobierno y examinar, enmendar y aprobar el presupuesto de la Comunidad Autónoma.
El Reglamento del Parlamento de Cantabria, en su artículo 7.1, permite a los diputados recabar informes o documentos que obren en poder de la Administración Pública para el mejor cumplimiento de sus funciones parlamentarias. La AEPD considera que este Reglamento tiene fuerza de ley, según la jurisprudencia del Tribunal Constitucional, y puede habilitar la cesión de datos.
No obstante, la AEPD subraya que la cesión debe ajustarse a los principios de proporcionalidad y justificación, y los datos solo pueden ser utilizados para la finalidad que justifica su cesión. La Mesa de la Asamblea debe pronunciarse sobre la proporcionalidad de los datos a comunicar, y la cesión debe ajustarse a las prescripciones de la Ley Orgánica 15/1999.
En resumen, la AEPD concluye que parece existir cobertura legal para la cesión de datos planteada, siempre y cuando se respeten los principios de proporcionalidad y justificación, y los datos se utilicen únicamente para la finalidad que justifica su cesión.