El Informe 0667/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda varias cuestiones relacionadas con la comunicación de datos personales en el contexto de denuncias voluntarias por infracciones en el estacionamiento de vehículos. La consulta se centra en la necesidad de que los denunciados puedan conocer la identidad de sus denunciantes, conforme al artículo 75.3 del Real Decreto Legislativo 339/1990.
El Ayuntamiento contratante requiere a la empresa concesionaria que le proporcione un listado del personal que realiza las funciones de «controladores» para poder notificar a los denunciados el nombre y apellidos del controlador. Esta comunicación de datos constituye una cesión de datos de carácter personal, definida en el artículo 3.i) de la Ley Orgánica 15/1999 de Protección de Datos.
Según el artículo 11.1 de dicha ley, los datos personales solo pueden ser comunicados a un tercero con el consentimiento del interesado, salvo en los supuestos contemplados en el artículo 11.2, que permite la cesión inconsentida cuando una norma con rango de ley así lo disponga. En este caso, la Ley de Contratos del Sector Público (Ley 30/2007) habilita al Ayuntamiento a exigir la relación nominal de los trabajadores encargados de ejecutar el servicio contratado, lo que justifica la cesión de datos.
El informe también analiza la relación entre el Ayuntamiento y la entidad consultante, señalando que se trata de una gestión indirecta mediante la concesión de un servicio público. La disposición adicional trigésimo primera de la Ley 30/2007 establece que, en caso de acceso del contratista a datos personales de los administrados, este tendrá la consideración de encargado del tratamiento. Sin embargo, en este caso, el Ayuntamiento sigue siendo el responsable del fichero, ya que ostenta la potestad sancionadora en el ámbito municipal.
En conclusión, la comunicación de datos personales por parte de la empresa concesionaria al Ayuntamiento está justificada por la Ley de Contratos del Sector Público y la Ley Orgánica de Protección de Datos. Se recomienda formalizar un contrato entre ambas partes para cumplir con la disposición adicional trigésimo primera de la Ley 30/2007, asegurando así que la entidad consultante actúe como encargada del tratamiento y no como responsable del fichero.