El Informe 0269/2013 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre la conformidad de la comunicación de datos de residentes de una residencia de mayores al Ayuntamiento que concedió la explotación de la residencia, según la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.
El informe comienza definiendo los conceptos de «responsable» y «encargado del tratamiento» para determinar si la comunicación de datos constituye una cesión. Según la ley, no se considera comunicación de datos cuando un tercero accede a ellos para prestar un servicio al responsable del tratamiento. El responsable del fichero es quien decide sobre la finalidad, contenido y uso del tratamiento, mientras que el encargado del tratamiento actúa por cuenta del responsable sin decidir sobre la finalidad de los datos.
El informe destaca que la figura del encargado del tratamiento se aplica cuando un tercero realiza operaciones sobre los datos sin decidir sobre su finalidad. Sin embargo, en el caso planteado, la residencia de mayores tiene una relación directa con los usuarios, seleccionándolos y facturándoles, lo que la convierte en responsable del tratamiento. Por lo tanto, la comunicación de datos al Ayuntamiento no se basa en la relación de encargado del tratamiento, sino que constituye una cesión de datos.
Para que esta cesión sea conforme a la ley, debe sujetarse al régimen general de comunicación de datos, que exige el consentimiento previo del interesado, salvo en casos excepcionales. Una de estas excepciones es cuando la cesión está autorizada por una ley. En este caso, el contrato de gestión de servicios públicos y la normativa vigente permiten al Ayuntamiento acceder a los datos para asegurar la correcta prestación del servicio y ejercer sus competencias de control.
El informe concluye que la cesión de datos al Ayuntamiento está amparada por la normativa vigente, siempre y cuando se respeten los principios de proporcionalidad y adecuación establecidos en la Ley Orgánica 15/1999. La comunicación de datos debe ser adecuada a la finalidad para la que se efectúa, en este caso, el control del cumplimiento de las obligaciones contractuales. Además, el Ayuntamiento, al recibir los datos, se obliga a observar las disposiciones de la ley, aunque no necesariamente debe crear un fichero con el mismo nombre que el del cedente.