El Informe 0124/2014 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre si la transmisión de datos por parte de un sindicato a una sociedad mercantil y a una fundación constituida por el mismo sindicato constituye una cesión de datos según la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su Reglamento de desarrollo.
La Ley Orgánica 15/1999 define la cesión de datos como «toda revelación de datos realizada a una persona distinta del interesado». Según este marco legal, la transmisión de datos a una entidad distinta del responsable del tratamiento y del propio afectado se considera una cesión de datos, independientemente de la relación institucional entre las partes. Esta interpretación ha sido reiteradamente confirmada por la AEPD, la Audiencia Nacional y el Tribunal Supremo.
Para que esta cesión sea legítima, debe estar amparada por las causas de legitimación establecidas en el artículo 11 de la Ley Orgánica 15/1999, o en su artículo 7 si se trata de datos especialmente protegidos, como podría ser el caso de un sindicato. La única excepción a esta regla sería si la transmisión se realiza a un encargado del tratamiento, definido como una persona física o jurídica que trate datos personales por cuenta del responsable del tratamiento.
Sin embargo, la condición de encargado del tratamiento no se puede determinar únicamente por la relación existente entre la transmisora y la destinataria. Debe cumplirse con todos los requisitos legales establecidos en el artículo 12 de la Ley Orgánica y en los artículos 20 a 22 de su Reglamento de desarrollo.
En cuanto a la segunda cuestión planteada, la AEPD señala que, sin conocer el contenido del contrato específico, no es posible determinar si se trata de una cesión de datos o de la prestación de servicios por parte de un encargado del tratamiento. Esto subraya la importancia de revisar y cumplir con los requisitos legales específicos para cada tipo de transmisión de datos.
En resumen, el informe concluye que la transmisión de datos por parte del sindicato a otras entidades debe ser considerada una cesión de datos, salvo que se cumplan estrictamente las condiciones para ser considerada una prestación de servicios por parte de un encargado del tratamiento. La AEPD enfatiza la necesidad de cumplir con las normativas vigentes para garantizar la protección de los datos personales.