El Informe 405/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda dos cuestiones principales relacionadas con la gestión de datos personales en el contexto de una cooperativa inmobiliaria. La primera cuestión se centra en determinar si la entidad consultante, que presta servicios de gestión para la cooperativa, es responsable del fichero y del tratamiento de datos personales de los socios. La segunda cuestión se refiere a si la entidad puede comunicar el listado de socios a otros socios que lo soliciten o si debe remitir esta solicitud al Consejo Rector de la cooperativa.
En cuanto a la primera cuestión, el informe concluye que la entidad consultante actúa como encargada del tratamiento de datos por cuenta de la cooperativa. Esto se basa en la definición de «encargado del tratamiento» según la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y el Real Decreto 1720/2007. La entidad realiza trámites necesarios para la adquisición de la condición de socio y la adjudicación de viviendas, pero no decide sobre la finalidad del tratamiento de datos, lo que corresponde a la cooperativa. Por lo tanto, la cooperativa es la responsable del fichero y del tratamiento de datos, mientras que la entidad consultante es la encargada del tratamiento.
Respecto a la segunda cuestión, el informe establece que la entidad debe reconducir las peticiones del listado de socios al responsable del fichero, es decir, la cooperativa. El Consejo Rector de la cooperativa está facultado para facilitar el listado de socios a cualquier socio que lo solicite, sin necesidad de autorización expresa del resto de los socios. Sin embargo, la revelación de datos personales de unos socios a otros implica una cesión o comunicación de datos, que debe estar amparada en la ley o en la aceptación de una relación jurídica que implique la conexión del tratamiento con ficheros de terceros.
El informe también subraya la importancia de que cualquier cesión de datos se ajuste a las finalidades determinadas, explícitas y legítimas para las que fueron obtenidos, y que los datos no se utilicen para fines incompatibles con aquellos para los que fueron recogidos. Además, se menciona que la inscripción del fichero con los datos de los socios en el Registro General de Protección de Datos corresponde a la cooperativa, y que es imprescindible un contrato entre la entidad consultante y la cooperativa que regule el tratamiento de datos por cuenta de terceros, conforme a lo establecido en la LOPD y su reglamento de desarrollo.
En resumen, el informe aclara los roles de responsable y encargado del tratamiento de datos en el contexto de una cooperativa inmobiliaria y establece las condiciones bajo las cuales se puede comunicar el listado de socios, siempre respetando la normativa vigente en materia de protección de datos.