El Informe 0061/2010 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la conformidad del artículo 7 del Reglamento de Convivencia y Disciplina Social de una entidad con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su Reglamento de Desarrollo.
El artículo 7 en cuestión establece que las medidas cautelares y sanciones ejecutivas se harán públicas en el tablón de anuncios de la entidad, y en caso de sanciones graves, también en la página web y en la revista remitida periódicamente a los socios propietarios. La AEPD analiza si esta práctica es conforme con la legislación vigente en materia de protección de datos.
La AEPD señala que cualquier revelación de datos personales constituye una cesión o comunicación de datos, definida en el artículo 3.i) de la Ley Orgánica 15/1999. Según el artículo 11.1 de la misma ley, los datos personales solo pueden ser comunicados a un tercero con el consentimiento del interesado, salvo en casos excepcionales. Una de estas excepciones, relevante para el caso, es cuando el tratamiento de datos responde a la libre y legítima aceptación de una relación jurídica, como la que se establece al convertirse en socio de una entidad.
La AEPD concluye que la comunicación de datos personales de los socios sancionados está legitimada por el artículo 11.2.c) de la Ley Orgánica 15/1999, siempre y cuando esté expresamente prevista en los Estatutos de la entidad. En este caso, los Estatutos de la entidad consultante permiten la sanción de socios y la elaboración de reglamentos complementarios, incluyendo el Reglamento de Convivencia y Disciplina Social.
Sin embargo, la AEPD establece ciertas garantías para proteger los datos personales. La publicación en el tablón de anuncios debe estar restringida a las instalaciones accesibles solo para socios. La revista debe ser enviada exclusivamente a los socios. En cuanto a la página web, debe ser accesible solo a los socios mediante un usuario y contraseña, para evitar la cesión universal de la información.
Además, la AEPD subraya la importancia del principio de proporcionalidad, según el cual los datos personales deben ser adecuados, pertinentes y no excesivos en relación con las finalidades determinadas. La información debe estar disponible durante un plazo prudencial y no prolongado en el tiempo, cumpliendo con el artículo 4.5 de la Ley Orgánica 15/1999, que establece que los datos deben ser cancelados cuando dejen de ser necesarios o pertinentes para la finalidad para la cual fueron recabados.
En resumen, el informe concluye que la publicación de sanciones a socios es conforme con la legislación de protección de datos, siempre y cuando se cumplan las garantías y principios establecidos, asegurando que la información personal no trascienda del ámbito de los socios y se mantenga durante un plazo adecuado.