El Informe 168/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la aplicación del artículo 21.1 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, en un convenio entre la Consejería de Bienestar Social, Juventud y Vivienda del Gobierno de Canarias y la Sociedad Insular para la Promoción Insular de Personas con Discapacidad, Sociedad Limitada.
El informe comienza aclarando que la Sociedad Insular, aunque de capital íntegramente público, es una entidad de derecho privado y no una Administración Pública. Esto se fundamenta en la Ley 30/1992, que define las Administraciones Públicas y excluye a las entidades de derecho privado, salvo que ejerzan potestades administrativas. Además, el Real Decreto 1720/2007 distingue entre ficheros de titularidad pública y privada, confirmando que la Sociedad Insular no puede ser considerada Administración Pública para la aplicación del artículo 21.1 de la Ley Orgánica 15/1999.
El artículo 21.1 de la Ley Orgánica 15/1999 regula la comunicación de datos entre Administraciones Públicas, permitiéndola solo cuando se trata de una misma competencia o para fines históricos, estadísticos o científicos. Dado que la Sociedad Insular no tiene competencias públicas, no se aplica este artículo.
El informe también analiza la relación entre ambas entidades desde la perspectiva de protección de datos. Según el artículo 3 de la Ley Orgánica 15/1999, la Consejería es la responsable del fichero, ya que decide sobre la finalidad, contenido y uso del tratamiento de los datos. La Sociedad Insular actúa como encargada del tratamiento, limitándose a tratar datos por cuenta de la Consejería.
El artículo 12 de la Ley Orgánica 15/1999 regula la figura del encargado del tratamiento, estableciendo que el acceso de un tercero a los datos para prestar un servicio al responsable no se considera comunicación de datos. Se detallan los requisitos formales y materiales para la prestación de estos servicios, incluyendo la necesidad de un contrato escrito, la destrucción o devolución de los datos una vez cumplida la prestación, y la prohibición de cesión de datos a terceros.
El informe concluye que es necesario incluir en el convenio una cláusula que especifique que la Sociedad Insular es encargada del tratamiento y que se debe complementar el régimen jurídico del encargado del tratamiento con lo establecido en los artículos 20 al 22 del Real Decreto 1720/2007. Esto asegura que la Sociedad Insular actúe conforme a las instrucciones de la Consejería y adopte las medidas de seguridad necesarias para proteger los datos personales.