Uno de los mayores riesgos a la hora de cumplir con la normativa de protección de datos de carácter personal se produce cuando se solicitan, ceden o comunican datos entre diferentes organizaciones o entre empresas y la propia Administración.
No son pocos los casos que, ante peticiones de otras empresas o de la Administración, los responsables de las organizaciones en la materia dudan sobre el posible cumplimiento o incumplimiento de la normativa si ceden dichos datos. Asimismo son conocedores en todo momento de la sanción económica grave que pueden llegar a tener en caso de procedimiento sancionador por dichas cesiones. En este aspecto la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, en su artículo 11, es tajante sobre la necesidad del consentimiento de los afectados para la cesión de sus datos de carácter personal, exceptuando en una serie de conductas tasadas en el apartado segundo de dicho artículo.
Hasta la actualidad en el caso de que una Administración solicitaba datos a una empresa, en cumplimiento del artículo 11.2a esta cesión, si no contaba con el consentimiento del afectado, debía estar autorizada por una Ley. Esto producía que las administraciones, que anteriormente pedían sin ningún tipo de cortapisa datos de carácter personal, con la normativa ya en vigor, debían justificar dicha petición para no encontrarse con la negativa de las empresas a la cesión basándose en dicho artículo 11.2.a o solicitando el consentimiento a los afectados con la respuesta que cabe esperar.
La Agencia Española de Protección de Datos en la Resolución R/01469/2008 viene prácticamente a dar carta blanca a las administraciones para la solicitud y cesión por parte de las empresas de los datos de carácter personal basado en el principio de confianza legítima establecido en el artículo 3.1 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.
Dicha Resolución archiva un procedimiento sancionador abierto a una empresa (en este caso a la compañía que presta el servicio de aguas en la ciudad) por la cesión de los datos de carácter personal (los datos de consumo del agua) sin consentimiento del afectado a la Administración. Esta cesión produce que la Administración cesionaria de los datos imponga una sanción al afectado basada en los propios datos obtenidos.
La propia resolución establece que la normativa por la cuál tanto la administración como la empresa entienden que ampara dicha cesión no es habilitación legal suficiente. Si bien, y esto es lo importante, la Agencia entiende que "cabe apreciar una ausencia de culpabilidad de las actuaciones en virtud del principio de confianza legítima, que debe regir la actuación de las Administraciones Públicas". La Agencia va más allá y establece que la empresa ha facilitado los datos "en el convencimiento de que esta comunicación de datos quedaba amparada por las competencias atribuidas a dicho departamento y en la presunción de legalidad de las actuaciones del mismo".
A partir de de esta resolución, entiendo que la Administración ya tiene una habilitación legal muy amplia para la cesión de datos sin consentimiento del afectado, otorgada por la Ley 30/1992 y el principio de confianza legítima.
