El Informe Jurídico 362/2008 de la Agencia Española de Protección de Datos (AEPD) aborda la conformidad con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal en un caso específico. La consulta proviene de una entidad dedicada al recobro que desea contratar los servicios de un operador de telecomunicaciones para actualizar los datos telefónicos de sus deudores y facilitar estos datos a la entidad acreedora.
La entidad consultante actúa como encargada del tratamiento en nombre y por cuenta de la entidad acreedora. La actividad que se pretende contratar se considera una modalidad de subcontratación, pero la AEPD señala que esta subcontratación debe cumplir con las reglas establecidas en el artículo 21 del Reglamento de desarrollo de la Ley Orgánica 15/1999. Estas reglas incluyen la necesidad de obtener autorización del responsable del tratamiento, especificar los servicios que pueden ser subcontratados y asegurar que el tratamiento de datos por parte del subcontratista se ajuste a las instrucciones del responsable del fichero.
Sin embargo, la AEPD destaca que la actividad descrita no es una subcontratación de servicios de un encargado del tratamiento, sino una cesión de datos. Los datos que el operador de telecomunicaciones facilitaría constan en sus propias bases de datos, lo que implica una cesión de datos desde los ficheros del operador a los de la entidad que pretende subcontratar el servicio. Esta cesión debe cumplir con lo dispuesto en el artículo 11 de la Ley Orgánica 15/1999, que establece que los datos solo pueden ser comunicados a un tercero con el previo consentimiento del interesado, salvo que los datos consten en fuentes accesibles al público.
La AEPD explica que las guías de servicios de comunicaciones electrónicas son consideradas fuentes accesibles al público, pero los derechos de los abonados incluyen la protección de sus datos personales y el derecho a no figurar en dichas guías. Además, la inclusión en nuevas guías creadas con posterioridad a la Ley 32/2003 exige el consentimiento de los abonados. Por lo tanto, la cesión de datos por parte del operador solo será lícita si los datos se encuentran incluidos en fuentes accesibles al público.
El informe concluye que la obtención de datos por parte del operador implica una cesión que solo será posible si dichos datos se encuentran en fuentes accesibles al público. Cualquier otra cesión de datos sería ilícita, ya que el tratamiento o cesión de datos debe cumplir con las causas establecidas en los artículos 6 y 11 de la Ley Orgánica 15/1999. La AEPD recuerda que el responsable del tratamiento debe asegurar que los datos sean exactos y puestos al día, pero cualquier tratamiento o cesión de datos debe ser lícito y conforme a la ley.