| Informe | 2011-0163 |
| Enlace | 📋 |
El informe jurídico 0163/2011 de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre la conformidad con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) de la comunicación de datos de un ciudadano británico, obtenidos del Padrón municipal de habitantes, al Consulado británico.
La AEPD recuerda que la transmisión de datos de un ciudadano extranjero a su representación diplomática implica una cesión o comunicación de datos personales, definida en el artículo 3 i) de la LOPD. Además, en ciertos casos, esta comunicación puede constituir una transferencia internacional de datos, según el artículo 5.1 s) del Reglamento de desarrollo de la LOPD.
Para que la transmisión de datos sea conforme a la LOPD, debe cumplir con las normas reguladoras de la cesión de datos y, en caso de transferencia internacional, con las normas que establecen el régimen de las mismas. En este caso, la comunicación se efectúa a un país miembro de la Unión Europea, por lo que no se considera una transferencia internacional.
El artículo 11 de la LOPD establece que la cesión de datos solo puede realizarse con el consentimiento previo del interesado, salvo en casos excepcionales, como cuando la cesión está autorizada por una ley. La consulta plantea si el Consulado británico, al ser una administración pública, puede solicitar estos datos sin consentimiento previo.
La AEPD concluye que la referencia a las Administraciones Públicas en el artículo 16.3 de la Ley 7/1985 de Bases del Régimen Local solo incluye a las Administraciones Públicas españolas, excluyendo a las representaciones diplomáticas extranjeras. Por lo tanto, la cesión de datos al Consulado británico no puede ampararse en dicho precepto.
Sin embargo, la cesión sería posible si existiera un convenio o tratado internacional ratificado por España, o una norma de derecho comunitario que habilite dicha comunicación. En este caso, la consulta sugiere que la solicitud se relaciona con la investigación de un posible fraude de prestaciones de Seguridad Social.
La AEPD menciona los Reglamentos (CE) No 883/2004 y No 987/2009 del Parlamento Europeo y del Consejo, que regulan la coordinación de los sistemas de seguridad social y permiten la restitución de prestaciones otorgadas indebidamente. Estos reglamentos habilitan la comunicación de datos entre instituciones de diferentes Estados miembros para el cobro de créditos relacionados con cotizaciones o prestaciones pagadas indebidamente.
En conclusión, la comunicación de los datos solicitados por el Consulado británico, basada en normas comunitarias, resultaría conforme a la LOPD. La AEPD subraya la importancia de que el solicitante especifique la finalidad concreta de la comunicación de datos para evaluar si está habilitada por las normas mencionadas.