| Informe | 2021-0044 |
| Enlace | 📋 |
El informe jurídico de la Agencia Española de Protección de Datos (AEPD) con referencia 0044/2021 aborda la posición jurídica de una entidad que realiza tratamientos de datos personales en el contexto de la prestación de servicios de instalación y lectura de contadores de agua, emisión de liquidaciones de consumo y mantenimiento de contadores para particulares y comunidades de propietarios. Este análisis se enmarca en el nuevo régimen establecido por el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales.
El informe destaca que, bajo el RGPD, el responsable del tratamiento debe cumplir con los principios de protección de datos, incluyendo el de responsabilidad proactiva. Esto implica que el responsable debe valorar los riesgos asociados al tratamiento de datos y adoptar las medidas necesarias para mitigar dichos riesgos. Además, se subraya la importancia del delegado de protección de datos (DPD), cuya designación es obligatoria en ciertos casos y cuya función es asegurar el cumplimiento de la normativa de protección de datos.
El DPD debe participar en todas las cuestiones relativas a la protección de datos, supervisar el cumplimiento de la normativa y actuar como punto de contacto con la autoridad de control. En caso de dudas jurídicas, el DPD puede elevar consultas al Gabinete Jurídico de la AEPD, siempre y cuando estas consultas tengan un alcance general y contribuyan a la seguridad jurídica.
En el caso específico planteado, el DPD de la consultante solicitó la ratificación de un criterio aplicado, pero la consulta carecía de un análisis detallado y motivado. La AEPD señala que, para pronunciarse sobre la consulta, es indispensable que el DPD desarrolle todos los aspectos de la misma, analizando las cláusulas contractuales y la legislación específica aplicable al sector. Además, debe justificarse el alcance general de la consulta, ya que el Gabinete Jurídico no informa sobre casos concretos, sino que establece criterios generales.
El informe concluye que la calificación como responsable o encargado del tratamiento debe evaluarse en función de las actividades concretas de procesamiento de datos, y no solo de la designación formal en un contrato. Por lo tanto, es crucial que el DPD realice una evaluación fáctica detallada y motivada, conforme a la normativa de protección de datos y los criterios del Comité Europeo de Protección de Datos (CEPD).