El Informe Jurídico 0644/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la normativa aplicable a una campaña publicitaria realizada por una entidad española de promoción turística, que recaba datos de ciudadanos portugueses para futuras campañas. El informe se centra en determinar la legislación relevante y las obligaciones que deben cumplirse en este contexto.
Según el artículo 3.1 a) del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007, la legislación española es aplicable cuando el tratamiento de datos se realiza en el marco de las actividades de un establecimiento ubicado en territorio español. En este caso, la recogida de datos se realiza en nombre y por cuenta de un organismo público español, lo que sitúa la actividad bajo la jurisdicción española.
La consultante, que se limita a recoger datos y gestionar un sorteo sin incorporar estos datos a sus propios ficheros, es considerada un encargado del tratamiento. Esta figura está definida en el artículo 5.1 i) del citado reglamento como la persona que trata datos personales por cuenta del responsable del tratamiento.
Dado que el tratamiento se realiza en el ámbito de un establecimiento español, la legislación aplicable es la Ley Orgánica 15/1999. Esto implica varias obligaciones:
1. **Consentimiento del interesado**: Es necesario obtener el consentimiento explícito de los ciudadanos portugueses para el tratamiento de sus datos, incluyendo su posible uso en futuras campañas. La mera información no es suficiente.
2. **Deber de información**: Debe cumplirse con el deber de información previsto en el artículo 5.1 de la Ley Orgánica, proporcionando a los afectados todos los detalles sobre el tratamiento de sus datos.
3. **Creación y notificación del fichero**: El responsable del fichero, dado su carácter público, debe adoptar la disposición de creación del fichero y notificarlo al Registro General de Protección de Datos, conforme al artículo 20.1 de la Ley Orgánica.
4. **Relación entre responsable y encargado del tratamiento**: La relación entre el responsable del tratamiento (el organismo público español) y el encargado del tratamiento (la consultante) debe respetar lo dispuesto en el artículo 12 de la Ley Orgánica y sus disposiciones reglamentarias de desarrollo.
En resumen, el informe subraya la importancia de cumplir con la legislación española de protección de datos en este caso, asegurando que se obtenga el consentimiento adecuado, se proporcione la información necesaria, se notifique el fichero y se respeten las relaciones contractuales entre las partes involucradas.