El Informe 0238/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre la comunicación de datos personales entre un Ayuntamiento y una sociedad anónima municipal, creada para realizar actuaciones urbanísticas y de edificación. La consulta plantea si dicha comunicación constituye una cesión de datos o si la sociedad actúa como encargada del tratamiento, según la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.
El informe define al responsable del tratamiento como la entidad que decide sobre la finalidad, contenido y uso del tratamiento de datos, mientras que el encargado del tratamiento actúa bajo las instrucciones del responsable. Para determinar si la sociedad anónima es encargada del tratamiento, se debe evaluar si tiene capacidad de decisión sobre los datos o si actúa únicamente bajo las instrucciones del Ayuntamiento.
El artículo 12.2 de la Ley Orgánica 15/1999 establece que el tratamiento de datos por cuenta de terceros debe estar regulado por un contrato escrito, en el que se especifique que el encargado del tratamiento actuará conforme a las instrucciones del responsable y no utilizará los datos para otros fines.
El Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por el Real Decreto 1720/2007, especifica que el acceso a los datos por parte de un encargado del tratamiento no se considera una comunicación de datos, siempre que se cumpla con la normativa vigente. Sin embargo, se considera una comunicación de datos si el acceso tiene por objeto establecer un nuevo vínculo entre el encargado y el afectado.
El informe concluye que la sociedad anónima municipal será considerada encargada del tratamiento si actúa bajo las instrucciones del Ayuntamiento y no establece una relación directa con los afectados. En caso contrario, se trataría de una cesión de datos, que solo sería válida si está amparada por una norma con rango de Ley o si cuenta con el consentimiento del interesado.
En cuanto a los datos del Padrón y los datos fiscales, el informe señala que su cesión debe estar regulada por normativas específicas. Para los datos del Padrón, la Ley de Bases del Régimen Local permite la cesión a otras Administraciones Públicas sin consentimiento previo, pero no a entidades privadas. Para los datos fiscales, la Ley General Tributaria establece supuestos específicos para la cesión de datos, que no incluyen la comunicación a una sociedad anónima municipal.
En resumen, la comunicación de datos entre el Ayuntamiento y la sociedad anónima municipal será considerada una cesión de datos si la sociedad actúa con autonomía y establece una relación directa con los afectados. En tal caso, la cesión solo será válida si está amparada por una norma legal o si cuenta con el consentimiento de los interesados. Si la sociedad actúa bajo las instrucciones del Ayuntamiento, se trataría de un encargado del tratamiento, y la comunicación de datos debe estar regulada por un contrato escrito.