Concesionarios de las AAPP ¿Son responsables de ficheros o encargados?

(Competencia de las Agencias autonómicas parte 2)

Puedes leer la parte 1 aquí.

Nos habíamos quedado en las competencias de la APDCM. ¿Y la Agencia Vasca? Su Ley establece también una distribución de competencias de carácter formal, pero introduce una novedad respecto a las competencias de la APDCM: la posibilidad de imponer sanciones a los encargados de tratamientos de ficheros públicos. Ver a este respecto el artículo 21 de su Ley.

Por cierto, como curiosidad comentar que su ley cita expresamente que la misma se aplicará a los ficheros de “la Agencia Vasca de Protección de Datos”.

La siguiente y última, es la Autoridad Catalana de Protección de Datos, en la cuál su ley, además del criterio formal de atribución de competencias (Administración Generalitat, Entes locales) se introduce el de carácter material, fundamentado, en la prestación del servicio público:

 “Las demás entidades de derecho privado que prestan servicios públicos mediante cualquier forma de gestión directa o indirecta, si se trata de ficheros y tratamientos vinculados a la prestación de dichos servicios.”

En otras palabras, los ficheros de concesionarios o conciertos ligados a la prestación del servicio público. Del tenor literal de ese precepto, se entiende que será bajo la condición de responsable.

A partir de aquí, debemos preguntarnos lo siguiente:

¿Los ficheros de los concesionarios deberían ser competencia de las Agencias autonómicas o de la AEPD?

Bajo mi humilde punto de vista, y olvidándonos de lo que actualmente dice cada una de las leyes que regulan las Agencias autonómicas, la respuesta es que deberían ser competentes las autonómicas.

¿Por qué?

Las Agencias autonómicas se configuran como organismos de control de su respectivo sector público prestatario de servicios. Éstos se pueden prestar de forma directa o indirecta. La diferencia estribará en aplicar el régimen de los ficheros públicos o privados.

De lo contrario, supone limitar bastante el ámbito de actuación de las Agencias autonómicas, teniendo en cuenta que las AAPP cada vez acuden más a la externalización de los servicios.

Concesionarios ¿responsables de ficheros o encargados de tratamiento?

Aunque puedan surgir matices, pienso que lo más adecuado es considerarlos como encargados por las siguientes razones:

1.- Aunque el artículo 12 de la LOPD parte de comunicación de datos, no es menos cierto que si atendemos a la condición de responsable del fichero, es la Administración la que decide el uso y finalidad de los datos. Esta cuestión se desprende de los pliegos de contratación.

2.- Permite solucionar el problema de qué ocurre con el fichero cuándo el concesionario termina el contrato y se contrata a otro. De lo contrario, finalizado el contrato, ¿Se entrega el fichero a la Administración? ¿Al nuevo contratista? ¿Se lo lleva la empresa que ya no prestará el servicio?

3.- Implica a la AAPP en la materia de protección de datos, que falta le hace. De lo contrario, todo lo asume el contratista y la AAPP entona un “de eso yo no quiero saber nada”.

Obviamente, sólo es una opinión, la cual espero que genere su oportuna y correlativa discusión.

Os espero, pues.

Anuncios

11 Responses to “Concesionarios de las AAPP ¿Son responsables de ficheros o encargados?”


  1. 1 Vicente febrero 22, 2012 en 4:49 pm

    En mi opinión, ser titular o encargado va a depender de si la concesión es para gestionar competencias especificas de las AAPP, eg.: empresas de agua/saneamiento o de recogida de residuos urbanos, o bien son concesiones de negocios privados en espacios publicos, eg.: piscina minicipal, bar,…. En el primer caso serían encargados y en el segundo titulares de ficheros.

  2. 2 Mikel García Larragan febrero 22, 2012 en 4:57 pm

    Para mí, son encargados de tratamiento, sin duda (sólo es mi opinión personal). Lo que no tengo tan claro, conforme al régimen sancionador que establece la LOPD (modificado por la Disposión final quincuágesimo sexta de la Ley de Economía Sostenible, hablo de memoria y, por favor, se me perdone si no es así) es que se puedan imporner sanciones económicas a los encargados de tratamiento tratándose de ficheros de titularidad pública (¿se podría decir que en caso de incumplimiento y conforme a la Ley serán considerados como Responsables de fichero o tratamiento y, por tanto, ser objeto de sanciones económicas?).

    No lo tengo claro. Mis preguntas sobre esta cuestión son dos (lo dicho: entiendo que, sin ninguna duda y en mi modesta oponión, se trata de encargados de tratamiento):

    1º) A la vista de la LOPD y RLOPD: ¿Se pueden imponer multas a los encargados de tratamiento de ficheros de titularidad pública?.

    2º) En el caso de de que la respuesta a la pregunta anterior sea negativa: ¿Pueden las leyes de creación de las diversas autoridades de control de ámbito autonómico contradecir el régimen sancionador establecido en la LOPD?.

    • 3 Gontzal Gallo (@gongaru) febrero 22, 2012 en 5:25 pm

      Mikel, te respondo a tu segunda pregunta.

      En nuestro caso la AVPD, tiene su propio régimen sancionador, en la Ley 2/2004 diferente al de la LOPD, con lo que ya tenemos “un pequeño lío jurídico”…puede hacer un mismo hecho que en dos legislaciones, tiene un respuesta sancionadora diferente….pero por “ámbitos competenciales diferentes”

      Saludos

      • 4 fjavier_sempere febrero 25, 2012 en 12:32 pm

        Que recuerde, hasta la modificación de la LES, son las mismas infracciones y sanciones.

        En mi opinión, ha de entenderse que tras la modificación de la LES, lo lógico es acudir al régimen de la LOPD.

        También por modificación de la LES, quedaba afectado la potestad de inmovilizar ficheros de la Ley 8/2001 de la APDCM.

    • 5 fjavier_sempere febrero 25, 2012 en 12:28 pm

      La respuesta es, sí.

      A nivel autonómico, como dice Gontzal, en el caso de la AVPD, es competencia de la misma. Idem, en el caso de la APCAT. En el supuesto de la APDCM, no tiene compentencia y es la AEPD quien impondría la sanción económica.

      El hecho de ser encargado de un fichero público no les exime de responsabilidad pecunaria en caso de infracción.

  3. 6 María del Águila febrero 22, 2012 en 5:14 pm

    Hola Javier, muy interesante el post! No solo apoyo la designación del concesionario de la prestación como encargado de tratamiento, sino que la reivindico absolutamente. Lo que faltaba ahora es que la Administración Pública pudiera buscar más vías de escape a su responsabilidad en materia de protección de datos. ¿No basta con que sólo se le “tire de las orejas” en los casos de infracción? Sólo faltaba que tuviera que asumir el coste una empresa que actúa bajo sus directrices (con los matices necesarios a una actuación negligente propia, claro).

  4. 7 Vicente Moncholi febrero 22, 2012 en 8:50 pm

    @Santitec: la concesión de viajes de la 3ª edad con subvención de la AAPP, o la concesión de un Inetcafé, o de talleres, o la explotación de un polígono de titularidad municipal, serían titulares de ficheros… Tu pregunta es por el bar en concesión en un espacio publico, que no lo ves claro,¿no? Imaginemos el parque publico, con un bar/restaurante en regimen de concesión por licitación publica: el concesionario toma posesión del espacio, lo monta, contrata empleados, incluso videovigilancia, emite una tarjeta de fidelización para sus cliente, etc… Para mí es un claro titular de ficheros, dado que la actividad no forma parte de las competenias de la AAPP, y quien decide el uso, el tratamiento, etc,,, es el concesionario. Aqui las AAPP actuan como “Casero” o “Alquilador” del espacio, nada más.

    • 8 fjavier_sempere febrero 25, 2012 en 12:34 pm

      Cuando me refiero en el post a “concesionarios”, iba por casos del tipo residencias de mayores, centros de atención de servicios sociales, piscinas municipales (en este caso diferimos) y demás, “concesiones” que estén afectadas a un servicio público. En otras palabras, subcontratación de servicios públicos.

      Probablemente, los casos que citas están fuera de los que yo comento, ergo serían responsables.

  5. 9 Santiago febrero 22, 2012 en 9:41 pm

    Asi sí lo veo. Disculpa la duda, pero iba más en relación con la propia AAPP,. No me había parado a pensar en ficheros que nacen de la actividad privada, sino pensando en la posible titularidad del Ayuntamiento.
    Por supuesto que tienes toda la razón que el bar puede generar varios ficheros, pero no por ser concesión, sino por ser empresa. Solo en el caso de la fidelización, que es un tema que da mucho juego (solo el bar, el bar más intervención de la AAPP aportando potenciales clientes…).
    Un saludo a todos.

  6. 10 Vicente febrero 27, 2012 en 11:07 am

    Finalmente peinso que estamos todos de acuerdo, todo va a depender del tipo y la forma de concesión. Como ya se ha dicho, será necesario revisar caso por caso y extraer las consecuencias. Saludos a todos.

  7. 11 Maria Loza marzo 1, 2012 en 9:29 pm

    Un poquito tarde pero me ha sido imposible comentar antes este par de magníficos posts (gracias Fco Javier!)
    En mi opinion, coincido en que los concesionarios (es decir esta palabra y pensar en coches!) son encargados, principalmente porque la competencia es de la Administracion y ella decide cómo y a quien se encarga la realizacion de la tarea en cuestion; pero además, porque daría lugar a la incongruencia que señala Javier en el pto 2 del 2ºpost, la cual suscribo íntegramente.

    Me gustaría señalar el caso de la APDCat, la cual distingue entre ficheros publicos y privados. La conclusión es que la Ley 5/2002 se atribuye competencias sobre ficheros privados, de entidades privadas (entendiendo ficheros privados como los define la LOPD) sean o no concesionarios, sino solamente por constituirse con capital publico (aunque se rijan por normas de Dcho privado), por ej, o por el mero hecho de ser una universidad (publica o privada !!!). Recomiendo la lectura del art 3 de la Ley 5/2002 (ámbito competencial de la APDCat).

    Pero además, como muy bien señalas Javier, un concesionario sería Responsable del fichero (!!!) y no encargado del tratamiento..

    Ademas, el art 156 b) del EAC, dice “La inscripción y el control de los ficheros o los tratamientos de datos de carácter personal privados creados o gestionados por personas físicas o jurídicas para el ejercicio de las funciones públicas con relación a materias que son competencia de la Generalitat o de los entes locales de Cataluña si el tratamiento se efectúa en Cataluña”.
    Me pregunto qué ocurriría si los servidores estuviesen en Pamplona, por decir algo.

    Leyendo el articulo 16 del EAC, vemos que la APDCat puede aplicar el regimen sancionador de la LOPD a concesionarios, titulares de ficheros privados.

    Así que tenemos una agencia autonómica con competencias sobre ficheros privados, incluidas las sancionadoras, aplicando el régimen sancionador de la LOPD.

    No sé si me he perdido algo, quiero pensar que sí, pero, puede un Estatuto de autonomia arrogarse competencias no asumibles a priori segun la LOPD??

    En el Informe 0017/2009, se dice literalmente, al hilo de un posible conflicto de competencias entre la AEPD y las agencias autonómicas, ‘De todo lo antedicho se desprende que la Ley Orgánica 15/1999, de 13 de diciembre establece un marco competencial general en todo el Estado,quedando limitadas las competencias de las agencias autonómicas que se creen a las expresamente establecidas en la Ley Orgánica, que han sido anteriormente enumeradas y exclusivamente en lo referente a los ficheros ya citados, sin que sea posible el ejercicio por las Comunidades Autónomas de ninguna competencia sobre los ficheros de titularidad privada ni sobre los de titularidad pública distinta de la Autonómica o local’.

     


Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




Twitteando

¿De qué hablamos?


A %d blogueros les gusta esto: