El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la cuestión de si las entidades concesionarias administrativas de servicios públicos, que actúan como «encargadas del tratamiento» en la gestión municipal, deben seguir siendo consideradas como tales o si pueden ostentar la condición de responsables del tratamiento de datos personales. La consulta se basa en el artículo 33.2 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDDD).
El informe comienza recordando las definiciones de «responsable del tratamiento» y «encargado del tratamiento» según el Reglamento General de Protección de Datos (RGPD). El responsable del tratamiento es quien determina los fines y medios del tratamiento de datos, mientras que el encargado lo hace por cuenta del responsable, siguiendo sus instrucciones. La LOPDDD también establece que el encargado del tratamiento no puede utilizar los datos para fines propios y debe destruir o devolver los datos al finalizar la prestación del servicio.
La AEPD destaca que, según la Ley 9/2017, de Contratos del Sector Público, los contratistas de la Administración Pública que acceden a datos personales en el marco de un contrato de concesión de servicios tienen la consideración de «encargados del tratamiento». Esto se ajusta a lo dispuesto en el RGPD, que permite a las normativas nacionales especificar las condiciones del tratamiento de datos en ciertos casos.
El informe concluye que, en el ámbito de la gestión municipal, las entidades concesionarias administrativas deben ser consideradas «encargadas del tratamiento» en virtud del contrato administrativo suscrito. Esto implica que la Administración Pública, como responsable del tratamiento, determina los fines y medios del tratamiento de datos, mientras que la entidad concesionaria actúa por cuenta de la Administración, siguiendo sus instrucciones y sin utilizar los datos para fines propios.
En resumen, el informe jurídico de la AEPD aclara que las entidades concesionarias administrativas en el ámbito municipal deben ser consideradas «encargadas del tratamiento» de datos personales, en línea con la normativa vigente y las definiciones establecidas en el RGPD y la LOPDDD. Esta interpretación asegura que el tratamiento de datos se realiza de manera legal y conforme a las instrucciones del responsable del tratamiento, que en este caso es la Administración Pública.