Exp.: CN17-022 DICTAMEN Nº D17-024 DICTAMEN RELATIVO AL PROYECTO DE CONVENIO A SUSCRIBIR ENTRE LA DIPUTACIÓN FORAL DE GIPUZKOA Y EL AYUNTAMIENTO DE [ ] PARA LA ACTUALIZACIÓN DE LA BASE DE DATOS DE AGENTES DE GIPUZKOA ANTECEDENTES PRIMERO: Por el Ayuntamiento de [ ] se ha solicitado dictamen de la Agencia Vasca de Protección de Datos, en relación con la cuestión descrita en el encabezamiento. En el escrito de solicitud, entre otras cosas se establece los siguiente: Por parte del Departamento de Gobernanza y Comunicación con la Sociedad de la DFG se propone la suscripción de un convenio cuyo objeto es la cesión a la empresa privada [ ], contratada por dicho Departamento, de una serie de informaciones relativas a los siguientes colectivos: asociaciones, entidades sin personalidad jurídica, establecimientos de hostelería y restauración, profesionales, empresas, centros de enseñanza, comisiones de fiestas, dinamizadores culturales y deportivos, etc., solicitud que incluye la comunicación de datos de carácter personal que se hallan en poder de este Ayuntamiento, en sus distintos archivos: padrones del IAE, licencias de actividad, subvenciones, registro de entidades, etc. Como quiera que dichos datos han sido facilitados a este Ayuntamiento para una finalidades concretas (otorgamiento de subvenciones, concesión de licencias, padrones fiscales, etc.) les formulo la siguiente consulta: A la vista del contenido del convenio y, sobre todo, de la información solicitada por la empresa [ ] obrante en las diapositivas que se acompañan, estaríamos ante una cesión de datos de carácter personal? En caso de que así fuera, necesitaría dicha cesión el consentimiento expreso de sus titulares? En el caso de que la cesión de información fuera posible Qué trámites y garantías debe ofrecer la empresa [ ]. para el tratamiento de los citados datos ante este Ayuntamiento?. El Ayuntamiento adjunta al escrito de consulta un borrador del convenio a suscribir con la Diputación Foral de Gipuzkoa. El objeto del convenio es el siguiente: establecer las condiciones en la que el Departamento de Gobernanza y Comunicación con la Sociedad va a tratar los datos de contacto sobre entidades del municipio que pueda recabar del Ayuntamiento para realizar el contraste de los datos almacenados en su Base de Datos de Agentes de Gipuzkoa, así como el marco de confidencialidad que se debe mantener por parte de este Departamento Foral. En la cláusula segunda, el Departamento de Gobernanza y Comunicación con la Sociedad se obliga a: Recabar el consentimiento expreso de las entidades cuyos datos se van a tratar. c/ Beato Tomás de Zumárraga, 71, 3º - 01008 Vitoria Gasteiz - Tel. 945 016 230 - Fax. 945 016 231 avpd@avpd.eus - www.avpd.eus
Destinar la información a la finalidad descrita en la cláusula primera, no pudiendo proporcionarla a terceros. Cumplir con cualquier obligación que pudiera corresponderle, de conformidad y con estricto respeto al marco normativo vigente y en concreto a la Ley Orgánica de Protección de Datos de Carácter Personal y en su Reglamento de Desarrollo. No comunicar ni revelar la información a ningún tercero, ni siquiera para su conservación Permitir el acceso a esta información únicamente al personal que no pueda cumplir sus funciones sin conocerla. Posteriormente, en la cláusula cuarta establece el convenio que en todo caso, el Departamento de Gobernanza y Comunicación con la Sociedad recabará el consentimiento previo de la entidad interesada para la actualización de los datos de contacto en la Base de Datos de Agentes de Gipuzkoa. Se dejará constancia del consentimiento recabado en el expediente correspondiente. En cuanto a la naturaleza de los datos a tratar, en la cláusula quinta se establece expresamente que los datos objeto del presente convenio se circunscribirán exclusivamente a los datos de contacto de las entidades. Los datos solicitados son básicamente: nombre, CIF, IAE, dirección postal, email, número de teléfono, persona de contacto. Respecto a la metodología por la que se realizara el objeto del convenio, cabe indicar que la empresa [ ], encargada de recabar y contrastar los datos, utilizará exclusivamente sistemas informáticos, tales como SFTP, FTPS o SSL. En todo caso, dichos sistemas deberán cumplir todas las garantías de seguridad, integridad y confidencialidad exigibles por la normativa protectora de datos de carácter personal. También conviene destacar lo dispuesto en la cláusula sexta, según la cual resuelto en convenio por cualquier causa, el Departamento de Gobernanza y Comunicación con la Sociedad deberá, de forma inmediata, proceder a la devolución de toda la información a la que haya tenido acceso como consecuencia de la ejecución del Convenio, con independencia del soporte en el que se encuentre. SEGUNDO: El artículo 17.1 de la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos, en su apartado n) atribuye a la Agencia Vasca de Protección de Datos la siguiente función: Atender a las consultas que en materia de protección de datos de carácter personal le formulen las administraciones públicas, instituciones y corporaciones a que se refiere el artículo 2.1 de esta Ley, así como otras personas físicas o jurídicas, en relación con los tratamientos de datos de carácter personal incluidos en el ámbito de aplicación de esta Ley. Corresponde a esta Agencia Vasca de Protección de Datos, en virtud de la normativa expuesta, la emisión del dictamen en respuesta a la consulta formulada. 2
CONSIDERACIONES I A la vista del escrito de consulta y del proyecto de convenio que se adjunta, podemos resumir la cuestión del siguiente modo: la DFG creó en agosto del presente año un fichero denominado base de datos de agentes de Gipuzkoa. La finalidad declarada del fichero era recopilar datos de contacto de empresas, asociaciones, entidades y en general todos los agentes de interés de Gipuzkoa, para facilitar una comunicación efectiva de los programas, proyectos e iniciativas de la Diputación Foral de Gipuzkoa. En el borrador de convenio remitido se expresa que la alimentación inicial de los datos de contacto de estas entidades agentes se ha realizado a través de la utilización de fuentes públicas de información (registros públicos). La voluntad de la Diputación Foral de Gipuzkoa a través del Convenio es contrastar su base de datos con la información obrante en los Ayuntamientos de Gipuzkoa, a fin de disponer de una información actualizada. Ese traspaso de información entre Ayuntamiento y Diputación Foral se realiza a través de una entidad [ ], que parece actuar por cuenta de la Diputación Foral, asumiendo por tanto la condición de encargada del tratamiento. En primer lugar analizaremos si los tratamientos de datos derivados del convenio están sometidos a la normativa en materia de protección de datos de carácter personal. Si atendemos a la finalidad del fichero de la DFG, ésta no es otra que recopilar datos de contacto de empresas, entidades, asociaciones, y en general de todos los agentes de interés de Gipuzkoa; vista la finalidad declarada, debemos comenzar nuestro análisis por los datos de carácter personal y los datos de contacto. Si bien la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD) considera dato de carácter personal cualquier información concerniente a personas físicas identificadas o identificables, el Real Decreto 1720/2007, de 21 de diciembre, de desarrollo de la LOPD excluye de su ámbito de aplicación a los denominados datos de contacto, definidos en el artículo 2 apartados 2 y 3 de dicha norma reglamentaria: 2. Este reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales. 3. Asimismo, los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal. El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (Reglamento General de Protección de Datos) es muy explícito al disponer en su Considerando 14 que el presente Reglamento no regula el tratamiento de datos personales relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto. 3
Tanto de la lectura del convenio, como de la finalidad declarada del fichero base de datos de Agentes de Gipuzkoa, parece deducirse que los datos que precisa la DFG son meros datos de contacto de personas jurídicas y que, por tanto estarían excluidas de la normativa en materia de protección de datos. Ahora bien, para que operase esta exclusión, sería necesario que los datos objeto de tratamiento fuesen única y exclusivamente los contenidos en el artículo 2.2 del reglamento de desarrollo de la LOPD. El tratamiento de cualquier dato adicional supondría una cesión o comunicación de datos, y por lo tanto se debería recabar el consentimiento de la persona física correspondiente, tal y como exige la LOPD en su artículo 11.1 al preceptuar que los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. Por tanto, la excepción prevista en el art. 2.2 y 2.3 del Reglamento de desarrollo de la LOPD sólo afecta a los datos expresamente mencionados en dicha previsión, por lo que, cualquier tratamiento adicional requerirá en principio consentimiento de los titulares de los datos. Analizado el contenido del convenio no parece aplicable la previsión relativa a los datos de contacto, puesto que se mencionan datos adicionales (IAE) que obran además en ficheros tributarios, sometidos a un régimen estricto en lo tocante a las cesiones. Así, la Norma Foral 2/2005, de 8 de marzo, General Tributaria del Territorio Histórico de Gipuzkoa declara expresamente el carácter reservado de los datos con trascendencia tributaria regulando en su artículo 92 aquellos supuestos en los que es posible la comunicación de esta información, supuestos en los que no tiene encaje el tratamiento de datos que nos ocupa. Por todo ello, al no ser aplicable la excepción prevista para los datos de contacto, los tratamientos que derivan de la aplicación del convenio están plenamente sometidos a la normativa en materia de protección de datos de carácter personal. II Una vez expuesta la conclusión anterior, es obligado determinar cuál es la base jurídica que legitima los tratamientos previstos, que a nuestro juicio no es otra que el consentimiento de los afectados; de igual modo parece entenderlo también la Diputación Foral de Gipuzkoa al asumir expresamente la obligación de recabar dicho consentimiento. Así, en la cláusula segunda del texto remitido, se menciona expresamente que el Departamento de Gobernanza y Comunicación con la Sociedad se obliga a recabar el consentimiento expreso de las entidades cuyos datos se van a tratar. Este consentimiento que la Diputación Foral se obliga a recabar, debe ser previo al tratamiento de los datos, y por tanto debiera aportarse al Ayuntamiento correspondiente pues constituye la base jurídica que legitima ese tratamiento. Debe mencionarse que estamos ante un cesión o comunicación de datos, a la que es de aplicación la regla general contenida en el artículo 11.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD) que exige el consentimiento de los interesados. Siendo ello así, dicho sea con las cautelas propias de quien solo posee la información que le ha sido remitida para elaborar el dictamen, parece que la recogida de los datos podría 4
hacerse en ese momento de solicitud de consentimiento, actualizándose los datos directamente de las entidades, empresas o asociaciones afectadas, sin necesidad de recurrir a ficheros de terceros. Por otra parte, no se comprende bien el sentido de la previsión incluida en la cláusula sexta, según la cual resuelto el convenio por cualquier causa, el Departamento de Gobernanza y Comunicación con la Sociedad deberá, de forma inmediata, proceder a la devolución de toda la información a la que haya tenido acceso como consecuencia de la ejecución del Convenio, con independencia del soporte en el que se encuentre. Esta previsión carece de sentido a nuestro juicio, ya que el convenio no se constituye en base jurídica legitimadora del tratamiento. La Diputación Foral de Gipuzkoa trata los datos con el consentimiento de los afectados para incorporarlos a su propio fichero, el denominado Base de datos de Agentes de Gipuzkoa, datos que continuará necesitando para el ejercicio de sus competencias, a pesar de que el convenio se haya resuelto, por lo que nada debería devolver tras la resolución del acuerdo. III En este punto queda por analizar la posición que desde la óptica de protección de datos asume la empresa [ ]. De acuerdo con la cláusula quinta del convenio, la empresa [ ], es la encargada de recabar y contrastar los datos, utilizará exclusivamente sistemas informáticos, tales como SFTP, FTPS o SSL. En todo caso, dichos sistemas deberán cumplir todas las garantías de seguridad, integridad y confidencialidad exigibles por la normativa protectora de datos de carácter personal. A nuestro juicio la actuación de la empresa [ ] recabando por cuenta de la Diputación Foral los datos citados constituye un acceso por cuenta de tercero, propio del encargado de tratamiento. La LOPD define en su artículo 3 g) la figura del encargado como la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. En este caso, la cesión de datos del Ayuntamiento a la empresa no constituiría tal cesión sino un acceso por cuenta de tercero, admitido por el ordenamiento jurídico, siempre que se cumplan los requisitos exigidos por el artículo 12 de la LOPD: Artículo 12. Acceso a los datos por cuenta de terceros 1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento. 2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. 5
En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar. 3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento. 4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente. Por último, es necesario señalar que el Ayuntamiento a quien se solicitan los datos, en estos casos debiera cerciorarse de que el solicitante, en este caso la empresa [ ], actúa como encargada del tratamiento por cuenta de la Diputación Foral de Gipuzkoa, para lo cual deberá previamente acreditarse ante el Ayuntamiento la formalización del encargo de tratamiento de datos. En Vitoria-Gasteiz, 24 de octubre de 2017 6