El Informe 0420/2013 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la conformidad de un sistema de bastanteo de poderes con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su Reglamento de desarrollo. Este sistema permite a las entidades adheridas acceder a información codificada sobre las facultades otorgadas a un apoderado, evitando así la necesidad de realizar múltiples bastanteos del mismo poder.
El informe destaca que la información codificada sobre las facultades atribuidas a un apoderado se considera datos de carácter personal, ya que se refiere a personas físicas identificadas o identificables. Por lo tanto, esta información está sujeta a la Ley Orgánica 15/1999. La transmisión de estos datos a terceras entidades se considera una cesión de datos, lo que requiere el consentimiento del interesado o una base legal que justifique dicha cesión.
La AEPD se refiere a un informe anterior (de 5 de junio de 2004) sobre un sistema similar del Consejo General del Notariado, donde se concluyó que el acceso a la información del bastanteo por terceras entidades constituía una cesión de datos. Según el artículo 11.1 de la Ley Orgánica 15/1999, los datos solo pueden ser comunicados a un tercero con el previo consentimiento del interesado, salvo en casos específicos como aquellos amparados por una norma con rango de Ley o cuando el tratamiento responde a una relación jurídica libremente aceptada.
En el caso planteado, la cesión de datos podría estar justificada por el artículo 11.2 c) de la Ley Orgánica 15/1999, que permite la cesión cuando el tratamiento es necesario para el desarrollo, cumplimiento y control de una relación jurídica. Sin embargo, la cesión debe limitarse a los datos estrictamente necesarios para el bastanteo del poder y solo para la finalidad que la justifique.
El informe también aborda la necesidad de clarificar el rol de la entidad responsable del fichero común. Si la entidad consultante es encargada del tratamiento, la cesión de datos estaría amparada por el artículo 6.2 de la Ley Orgánica. Si, por el contrario, es responsable del fichero, sería necesario el consentimiento del apoderado y del poderdante, y se deberían diferenciar claramente las figuras del responsable del fichero y del tratamiento.
Además, se menciona la importancia de informar adecuadamente a los interesados sobre el tratamiento de sus datos, incluyendo la identificación de las terceras entidades que podrían acceder a la información y los derechos que les asisten. También se sugiere la implementación de un sistema de alertas para gestionar la revocación de poderes o la otorgación de nuevos poderes con facultades distintas.
En resumen, el informe concluye que el sistema de bastanteo de poderes propuesto puede ser conforme con la Ley Orgánica 15/1999, siempre y cuando se cumplan ciertos requisitos legales y se implementen mecanismos adecuados para garantizar la protección de los datos personales.