El Informe 0162/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la cuestión de si una entidad privada que ha sido adjudicataria en un concurso público para la prestación de servicios asistenciales a personas discapacitadas por la Administración Pública Autonómica cumple con la condición de «encargada del tratamiento» de datos de carácter personal, conforme a la Ley Orgánica 15/1999 (LOPD) y su Reglamento de desarrollo.
### Contexto y Definición
La consulta se centra en determinar si la entidad privada, al prestar servicios asistenciales a personas discapacitadas, actúa como encargada del tratamiento de datos personales. Según la LOPD, un encargado del tratamiento es una persona física o jurídica que, por cuenta del responsable del tratamiento, procesa datos personales. Esta figura se define en el artículo 3.g) de la LOPD y en el artículo 5.1 i) del Reglamento.
### Análisis Jurídico
El informe destaca que existe un encargo de tratamiento cuando la transmisión de datos está amparada en la prestación de un servicio que el responsable del tratamiento recibe de una empresa externa. En este caso, la entidad privada actúa como encargada del tratamiento al prestar servicios asistenciales a personas discapacitadas por cuenta de la Administración Pública Autonómica.
### Requisitos y Obligaciones
Para que la entidad privada cumpla con su rol de encargada del tratamiento, debe cumplir con varios requisitos establecidos en la LOPD y su Reglamento:
1. **Limitación de la Actuación**: La entidad debe limitar su actuación a la prestación de los servicios objeto de la contratación, sin establecer nuevos vínculos con los afectados.
2. **Contrato Escrito**: La relación debe estar regulada en un contrato escrito que especifique las instrucciones del responsable del tratamiento y prohíba el uso de los datos para fines distintos a los contratados.
3. **Conservación y Destrucción de Datos**: Una vez cumplida la prestación contractual, los datos deben ser destruidos o devueltos al responsable del tratamiento.
4. **Subcontratación**: Si la entidad subcontrata servicios, debe obtener el consentimiento del responsable del tratamiento y asegurar que el subcontratista cumpla con las mismas obligaciones.
5. **Medidas de Seguridad**: La entidad debe adoptar medidas de seguridad equivalentes a las del responsable del tratamiento.
6. **Responsabilidad**: Si la entidad utiliza los datos para fines distintos a los contratados, será considerada responsable del tratamiento y sujeta al régimen sancionador de la LOPD.
### Conclusión
El informe concluye que la entidad privada actúa como encargada del tratamiento de datos personales de las personas discapacitadas, siempre y cuando el tratamiento se realice conforme a las instrucciones del responsable del tratamiento y se cumplan todos los requisitos legales establecidos en la LOPD. En este caso, no se necesita el consentimiento expreso de los afectados, ya que los datos se recogen para el ejercicio de las funciones propias de la Administración en el ámbito de sus competencias.
Este informe subraya la importancia de que las entidades privadas que prestan servicios asistenciales por cuenta de la Administración Pública cumplan estrictamente con la normativa de protección de datos para garantizar la seguridad y privacidad de los datos personales de las personas discapacitadas.