Una de las cuestiones que puede generar dudas en materia de responsabilidad de datos es que figura asume las empresas que gestionan servicios municipales directamente con el ciudadano, es decir, cuando actúan como contratistas de la administración pública.
En estos casos se trata de una gestión indirecta de servicios públicos, regulada a través del Real Decreto Legislativo 3/2011, de 14 de noviembre, por el que se aprueba el texto refundido de la Ley de Contratos del Sector Público (LCSP).
¿Qué figura asume: responsable del fichero o encargado del tratamiento?
Para que el contratista pueda prestar determinados servicios en nombre del ayuntamiento y siempre bajo los parámetros de la concesión administrativa, puede disponer de acceso a la base de datos del padrón municipal. Incluso, en determinadas situaciones, existe la particularidad que pueda firmar contratos directamente con el ciudadano o facturar bajo su propio CIF, como sucede para servicios con la gestión del agua o la recogida de basuras.
Siguiendo el literal del artículo 20 del Reglamento de la LOPD, en el momento en el que se establece un nuevo vínculo entre quien accede a los datos y el afectado, no estaría considerado como un encargo de tratamiento, sino como una cesión o comunicación de datos personales. Este hecho sucede en servicios que pueden prestarse directamente al ciudadano por parte de la contratista.
De forma concreta, el artículo 20 del mencionado Reglamento queda redactado de la siguiente manera:
“(…) No obstante, se considerará que existe comunicación de datos cuando el acceso tenga por objeto el establecimiento de un nuevo vínculo entre quien accede a los datos y el afectado”.
Por tanto, en el momento en que el contratista establece este nuevo vínculo contractual con los usuarios del servicio, podría considerarse que asume la figura de responsable del fichero, y no la de encargo de tratamiento como podría considerarse en un primer momento.
Así lo ha determinado la Agencia Española de Protección de Datos en su Informe Jurídico 0541/2008, en el que establece la consideración del contratista como responsable del fichero al prevalecer ese nuevo vínculo entre quién accede a los datos y el afectado:
“En consecuencia, es posible que la celebración de un contrato administrativo genere una relación directa entre el adjudicatario y el administrado, lo que otorgará a aquél la condición de responsable del tratamiento, produciéndose una cesión de datos de la Administración contratante al adjudicatario, que tendrá su fundamento en la propia naturaleza del contrato descrita en la Ley de Contratos del Sector público y, por ende, en el artículo 11.2 a) de la Ley Orgánica 15/1999.
Para delimitar los supuestos en los que el adjudicatario tendrá la condición de responsable o encargado del tratamiento deberá partirse, precisamente, de la propia naturaleza del contrato y de las consecuencias de su celebración, en el sentido de determinar si de la adjudicación se derivará el nacimiento de una relación directa entre quien gestiona el servicio público y el administrado que hace uso de tal servicio.
(…) de forma que, teniendo en cuenta las modalidades previstas en el artículo 253 de la citada Ley, el adjudicatario facturará directamente y en su propio nombre al administrado el servicio prestado, no apareciendo tal facturación vinculada al ejercicio de potestades públicas ni encontrándose sometida al derecho administrativo, teniendo en consecuencia el administrado la condición de “cliente” del servicio prestado por la entidad adjudicataria. En estos casos, cabrá considerar que dicha entidad que gestiona el servicio público tiene la condición de responsable del fichero y no de encargada del tratamiento.
Así sucederá en el ejemplo al que se refiere documentalmente la consulta, en que la empresa adjudicataria de la gestión de servicios de suministro de agua mantendrá, en principio, una relación directa con los vecinos, siendo responsable de los ficheros relacionados con la prestación de ese servicio”.
Este criterio permite considerar que el contratista actuará como responsable de la base de datos a la que tenga acceso (normalmente el padrón municipal), y se le exigirán todas las responsabilidades en este sentido.
¿Siempre es aplicable esta figura?
No, este criterio nos servirá solamente para aquellos servicios del contratista en el que se cree un nuevo vínculo con el usuario en base al mencionado artículo. En otros casos, podremos considerar que se trata de un encargado de tratamiento.
Así, de forma concreta la propia LCSP incluye en su Disposición Adicional Vigésima Sexta sobre Protección de Datos de Carácter Personal que se asumirá esta figura cuando el tratamiento sea responsabilidad de la entidad contratante, es decir, de la Administración Pública:
“1. (…)
2. Para el caso de que la contratación implique el acceso del contratista a datos de carácter personal de cuyo tratamiento sea responsable la entidad contratante, aquél tendrá la consideración de encargado del tratamiento.”
Iván Ontañón Ramos
Consultor de Seguridad
Áudea Seguridad de la Información