El Informe Jurídico 0541/2008 de la Agencia Española de Protección de Datos (AEPD) aborda la aplicación del artículo 12 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal en la gestión de servicios municipales por entidades privadas o Diputaciones Provinciales. Este informe se centra en distinguir entre los conceptos de «responsable» y «encargado del tratamiento» de datos personales, según la normativa vigente.
El responsable del tratamiento es la persona o entidad que decide sobre la finalidad, contenido y uso de los datos, mientras que el encargado del tratamiento es quien procesa los datos en nombre y por cuenta del responsable. La delimitación entre ambos roles es crucial para determinar la responsabilidad en la protección de datos.
El informe analiza la gestión de servicios administrativos, como el suministro de agua o la recogida de basuras, y cómo se aplican las disposiciones de la Ley 30/2007 de Contratos del Sector Público. Esta ley define el contrato de gestión de servicios públicos y establece que una Administración Pública puede encomendar la gestión de un servicio a una entidad privada, siempre que no implique el ejercicio de potestades públicas.
La disposición adicional trigésimo primera de la Ley 30/2007 especifica que, en caso de que la contratación implique el acceso a datos personales, la entidad contratante será considerada responsable del tratamiento, a menos que la entidad adjudicataria tenga una relación directa con los administrados, en cuyo caso podría ser considerada responsable del tratamiento.
El informe concluye que, en la gestión de servicios públicos como el suministro de agua, la entidad adjudicataria mantiene una relación directa con los vecinos y, por lo tanto, es responsable de los ficheros relacionados con la prestación de ese servicio. Sin embargo, si la misma entidad se encarga de actividades como la recaudación de tasas municipales, actuaría como encargada del tratamiento, ya que estas actividades están vinculadas al ejercicio de potestades públicas por parte de la Administración.
En resumen, el informe subraya la importancia de distinguir entre responsable y encargado del tratamiento en la gestión de servicios municipales, dependiendo de la naturaleza del contrato y la relación directa con los administrados. Esta distinción es esencial para garantizar el cumplimiento de la normativa de protección de datos y determinar las responsabilidades en el tratamiento de datos personales.