El Informe Jurídico 0146/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre la conformidad de la solicitud de acceso a datos personales por parte de una empresa privada contratada por un Ayuntamiento para la gestión, inspección y recaudación de impuestos. La consulta se enmarca en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y su Reglamento de desarrollo, aprobado por el Real Decreto 1720/2007.
El informe establece que el Ayuntamiento es el responsable del tratamiento de los datos de los contribuyentes, mientras que la empresa privada actúa como encargada del tratamiento. Según la LOPD, el encargado del tratamiento es quien procesa datos personales por cuenta del responsable del tratamiento, y su actividad debe estar limitada a la prestación del servicio contratado.
El acceso a los datos por parte de la empresa privada no se considera una comunicación de datos siempre que se cumplan las condiciones establecidas en el artículo 12 de la LOPD y en la Disposición adicional trigésimo primera de la Ley 30/2007 de Contratos del Sector Público. Esto implica que el acceso debe ser necesario para la prestación del servicio y que el encargado del tratamiento debe actuar bajo las instrucciones del responsable.
El informe detalla varios requisitos formales y operativos que deben cumplirse:
1. **Limitación de la actuación**: La empresa privada solo puede tratar los datos para la prestación del servicio contratado.
2. **Contrato escrito**: La relación entre el Ayuntamiento y la empresa debe estar regulada por un contrato escrito que especifique las condiciones del tratamiento de datos.
3. **Destrucción o devolución de datos**: Una vez cumplido el contrato, los datos deben ser destruidos o devueltos al Ayuntamiento.
4. **Subcontratación**: Si la empresa privada subcontrata parte del servicio, debe obtener el consentimiento del Ayuntamiento y asegurarse de que el subcontratista cumpla con las mismas condiciones.
5. **Medidas de seguridad**: La empresa privada debe adoptar las mismas medidas de seguridad que el Ayuntamiento.
6. **Ejercicio de derechos**: Los afectados pueden ejercer sus derechos de acceso, rectificación, cancelación y oposición ante el Ayuntamiento, que es el responsable del tratamiento.
7. **Responsabilidad**: Si la empresa privada utiliza los datos para otra finalidad o los comunica sin autorización, será considerada responsable del tratamiento y podrá ser sancionada.
El informe concluye que la transmisión de datos a la empresa privada es posible si esta actúa como encargada del tratamiento y cumple con todas las condiciones establecidas por la LOPD. En caso contrario, se requeriría el consentimiento de los afectados para la cesión de datos. La doctrina de la Audiencia Nacional también se menciona para aclarar que el encargado del tratamiento debe limitarse a la prestación del servicio sin generar ningún vínculo adicional con los afectados.