El Informe 0290/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la relación que debe mantener una entidad que presta servicios de control de acceso a un edificio con la propietaria del mismo, en cumplimiento de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su Reglamento de Desarrollo, el Real Decreto 1720/2007.
La consulta se centra en determinar la naturaleza de la relación entre la entidad consultante y la propietaria del edificio, especialmente en cuanto al tratamiento de datos personales. La AEPD explica que la entidad consultante actuará como encargada del tratamiento, ya que prestará un servicio de control de acceso utilizando datos personales proporcionados por la propietaria del edificio. Esta relación se define claramente en la legislación, donde el responsable del tratamiento es quien decide sobre la finalidad, contenido y uso de los datos, mientras que el encargado del tratamiento es quien procesa los datos por cuenta del responsable.
El informe subraya la importancia de celebrar un contrato entre ambas partes, conforme al artículo 12 de la Ley Orgánica 15/1999, que regule el tratamiento de datos. Este contrato debe especificar que el encargado del tratamiento solo procesará los datos conforme a las instrucciones del responsable y no los utilizará para fines distintos a los acordados. Además, una vez cumplida la prestación contractual, los datos deben ser destruidos o devueltos al responsable.
El informe también hace referencia a la Instrucción 1/1996 de la AEPD, que establece que los datos obtenidos para controlar el acceso a edificios no pueden ser utilizados para otros fines ni cedidos, salvo en casos excepcionales y con el consentimiento del interesado. Los datos deben ser destruidos un mes después de ser recabados, en cumplimiento del principio de proporcionalidad y calidad de datos.
En resumen, la entidad consultante debe actuar como encargada del tratamiento, procesando los datos personales según las instrucciones de la propietaria del edificio y cumpliendo con las normativas vigentes sobre protección de datos. Es esencial que ambas partes firmen un contrato que regule esta relación y que los datos sean manejados de manera segura y conforme a la finalidad establecida.