El Informe 0547/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre si una entidad puede acceder al padrón municipal para aplicar las tasas aprobadas por las Ordenanzas Municipales, utilizando la figura del encargado del tratamiento regulada en el artículo 12 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD).
El informe comienza recordando que las tasas son tributos cuyo hecho imponible consiste en la utilización privativa o el aprovechamiento especial del dominio público, la prestación de servicios o la realización de actividades en régimen de derecho público. La imposición de tasas es competencia exclusiva de los poderes públicos, y la entidad consultante solo puede facilitar la gestión de dicho tributo impuesto por el Ayuntamiento, sin utilizar la información para beneficio propio.
El informe distingue entre la cesión de datos y la realización de actividades reguladas por el artículo 12 de la LOPD. Existe cesión de datos cuando quien recibe los datos puede aplicarlos a sus propias finalidades, convirtiéndose en responsable del tratamiento. En cambio, la figura del encargado del tratamiento se aplica cuando la entidad receptora de los datos se limita a efectuar determinadas operaciones sobre los mismos, sin decidir sobre su finalidad, y los restituye al responsable una vez concluida la prestación contratada.
En el caso planteado, el Municipio facilita el padrón municipal al concesionario para llevar a cabo la prestación de servicios, sin que pueda utilizarlo para ninguna otra finalidad y debiendo devolverlo al Ayuntamiento una vez concluida la prestación. Esta actividad encaja en la figura del encargado del tratamiento, regulada en el artículo 12 de la LOPD.
El informe subraya que para que una entidad sea considerada encargada del tratamiento, es necesario cumplir con el régimen establecido en el artículo 12 de la LOPD, que exige la celebración de un contrato por escrito o en cualquier otra forma que permita acreditar su celebración y contenido. Este contrato debe especificar las circunstancias previstas en los apartados 2 y 3 del citado precepto, como seguir las instrucciones del responsable del tratamiento, no utilizar los datos para un fin distinto, no comunicarlos a otras personas, estipular las medidas de seguridad del artículo 9 de la LOPD, y destruir los datos o proceder a su devolución al responsable del tratamiento una vez cumplida la prestación.
El régimen jurídico aplicable a la entidad consultante es el derivado del artículo 12 de la LOPD y del Capítulo III del Título II del Reglamento que la desarrolla. Este régimen impone requisitos formales y especiales, como la limitación de la actuación del encargado del tratamiento a la prestación de los servicios objeto de la contratación, la necesidad de un contrato por escrito, la destrucción o devolución de los datos una vez cumplida la prestación, y la posibilidad de subcontratación bajo ciertas condiciones.
En resumen, el informe concluye que la entidad consultante puede acceder al padrón municipal para aplicar las tasas municipales, siempre y cuando actúe como encargada del tratamiento conforme a lo establecido en el artículo 12 de la LOPD y cumpla con los requisitos y garantías exigidos por la normativa de protección de datos.