La Agencia Española de Protección de Datos (AEPD) ha resuelto recientemente, en su Informe 809/2019, una consulta relativa a la posición jurídica que ostentan las entidades concesionarias administrativas de servicios públicos que actúan en la gestión municipal en tareas como el aprovechamiento y explotación de dominio público o las concesiones de agua.

Esta cuestión ya fue analizada por la AEPD en Informes previos, como el Informe 541/2008, donde contempló la posibilidad de que estas entidades asumieran un “doble carácter” en relación con su actuación en materia de protección de datos, pudiendo operar en determinados supuestos como responsables de los tratamientos, en la medida en que podría darse una relación directa entre el adjudicatario y el administrado.

No obstante, en atención a la entrada en vigor de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014, que derogó la Ley 30/2007, de 30 de octubre, de Contratos del Sector Público (LCSP), y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), la Agencia vuelve a estudiar este asunto teniendo en cuenta lo dispuesto en las citadas normas.

Para la resolución de la cuestión, parte de lo dispuesto en la Disposición adicional vigésima quinta de la LCSP, que señala que: “Para el caso de que la contratación implique el acceso del contratista a datos de carácter personal de cuyo tratamiento sea responsable la entidad contratante, aquel tendrá la consideración de encargado del tratamiento.”

La Agencia considera que debe poner en conexión el citado precepto con el art. 33.2 de la LOPDGDD: “Tendrá la consideración de responsable del tratamiento y no la de encargado quien en su propio nombre y sin que conste que actúa por cuenta de otro, establezca relaciones con los afectados aun cuando exista un contrato o acto jurídico con el contenido fijado en el artículo 28.3 del Reglamento (UE) 2016/679. Esta previsión no será aplicable a los encargos de tratamiento efectuados en el marco de la legislación de contratación del sector público”.

En base a los mencionados preceptos, la AEPD descarta la consideración de la figura del “responsable del tratamiento” en aquellos supuestos en los que los encargos se efectúen en el marco de la legislación de contratación del sector público.

En definitiva, en la actividad de las empresas concesionarias en el ámbito de la gestión municipal, en tareas tales como el aprovechamiento y explotación de dominio público o las concesiones de agua, nos encontraríamos ante la situación de acceso a datos por cuenta de terceros, que caracteriza a la figura del “encargado del tratamiento”, correspondiendo al responsable del tratamiento la determinación de los fines y medios a utilizar en relación con el tratamiento de datos de carácter personal.

El equipo de Govertis