El Informe 303/2006 de la Agencia Española de Protección de Datos (AEPD) aborda la figura jurídica adecuada para regular la relación entre una entidad prestadora de servicios y una Administración Pública en el contexto de la concesión indirecta de servicios públicos. La consultante solicita claridad sobre si existe cesión de datos o acceso a datos por cuenta de terceros cuando recibe datos personales del Ayuntamiento para realizar su actividad.
El informe comienza recordando que, según el artículo 12.1 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD), no se considera comunicación de datos el acceso de un tercero a los datos cuando dicho acceso es necesario para la prestación de un servicio al responsable del tratamiento. Esta situación se refiere a la figura del «encargado del tratamiento», definido en el artículo 3.g) de la LOPD como la persona o entidad que trata datos personales por cuenta del responsable del tratamiento.
Para determinar si se trata de una cesión de datos o de una realización de actividades reguladas por el artículo 12 de la LOPD, es necesario analizar las circunstancias específicas de cada caso. Existe cesión cuando quien recibe los datos puede utilizarlos para sus propias finalidades, convirtiéndose en responsable del tratamiento. Por el contrario, la figura del encargado del tratamiento se aplica cuando la entidad receptora de los datos solo realiza operaciones específicas sobre los mismos, sin decidir sobre su finalidad, y los restituye al responsable una vez concluida la prestación contratada.
En el caso planteado, cuando el Municipio facilita el Padrón municipal al concesionario para la prestación de servicios, sin que este pueda utilizarlo para otras finalidades y debiendo devolverlo al Ayuntamiento una vez concluida la prestación, se encuadra en la figura del encargado del tratamiento. Esto se debe a que el Municipio es el titular de la actividad y decide sobre la finalidad, contenido y uso del tratamiento, según el artículo 155.2 del Texto Refundido de la Ley de Contratos de las Administraciones Públicas.
Para que una entidad sea considerada encargada del tratamiento, es necesario cumplir con el régimen establecido en el artículo 12 de la LOPD, que exige un contrato por escrito o en forma que permita acreditar su celebración y contenido. Este contrato debe especificar las circunstancias previstas en los apartados 2 y 3 del citado precepto, como seguir las instrucciones del responsable, no utilizar los datos para fines distintos, no comunicarlos a terceros, estipular medidas de seguridad y destruir o devolver los datos una vez cumplida la prestación.
El régimen jurídico derivado del artículo 12 de la LOPD impone requisitos formales y de contenido para el contrato entre el responsable y el encargado del tratamiento. Además, establece que los datos deben ser destruidos o devueltos al responsable una vez cumplida la prestación contractual y que no procederá la cesión de datos a terceros.
La AEPD considera que será posible la subcontratación de servicios siempre que se cumplan ciertos requisitos acumulativos, como que los servicios a subcontratar estén previstos en la oferta o contrato, que el contenido del servicio y la empresa subcontratista consten en la oferta o contrato, y que el tratamiento de datos por parte del subcontratista se ajuste a las instrucciones del responsable del fichero.
En cuanto a las medidas de seguridad, quienes realicen trabajos de tratamiento de datos por cuenta de tercero deben adoptar las mismas medidas que las impuestas al responsable del fichero. Finalmente, si el encargado del tratamiento destina los datos a otra finalidad, los comunica o los utiliza incumpliendo las estipulaciones del contrato, será considerado responsable del tratamiento y sujeto al régimen sancionador establecido en la LOPD.
En conclusión, el concesionario tiene la consideración de encargado del tratamiento, por lo que no se trata de una cesión de datos. La entrega de los datos al terminar la concesión no requiere el consentimiento del interesado, y la devolución de los datos al responsable del tratamiento se ordena en el artículo 12.3 de la LOPD.