El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda el cumplimiento del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) en el contexto del pago de tributos por terceros no obligados. La consulta se centra en la comunicación de datos personales del obligado tributario al tercero que realiza el pago.
La AEPD destaca que el tratamiento de datos personales, en este caso la comunicación de datos del deudor tributario al tercero pagador, debe ajustarse a los principios de licitud, lealtad y transparencia establecidos en el RGPD. La legitimación para este tratamiento se analiza bajo los apartados c) y e) del artículo 6.1 del RGPD, que permiten el tratamiento de datos cuando es necesario para el cumplimiento de una obligación legal o para el ejercicio de poderes públicos.
El informe subraya que, bajo el RGPD y la LOPDGDD, no basta con la mera habilitación legal; es necesario que exista una obligación legal clara y precisa aplicable al responsable del tratamiento. En este sentido, se concluye que el artículo 1158 del Código Civil, que permite el pago por tercero, no impone una obligación legal al responsable del tratamiento, sino que es una posibilidad que no se aplica directamente a la administración tributaria.
Se analiza también la potestad tributaria de las entidades locales, que está claramente atribuida por ley, y se concluye que el tratamiento de datos derivado del pago por tercero se encuentra legitimado en el ejercicio de esta potestad. La AEPD considera que la base jurídica adecuada para este tratamiento es el artículo 6.1 e) del RGPD, que permite el tratamiento de datos cuando es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos.
El informe recomienda la aplicación de los principios de minimización y limitación de la finalidad, sugiriendo la seudonimización de los datos en los recibos de pago para reducir la cantidad de información personal comunicada. Además, se propone incluir cláusulas informativas sobre la protección de datos en los recibos, para sensibilizar al tercero sobre sus obligaciones y limitaciones en el uso de la información proporcionada.
En resumen, la AEPD concluye que el tratamiento de datos personales en el contexto del pago de tributos por terceros está legitimado por la potestad tributaria de las entidades locales y debe ajustarse a los principios de minimización y transparencia del RGPD. Se recomienda la seudonimización de datos y la inclusión de cláusulas informativas en los recibos para garantizar la protección de los derechos de los interesados.