El informe jurídico de la Agencia Española de Protección de Datos (AEPD) con número 0501/2005 aborda la naturaleza de los ficheros de un Colegio Privado Concertado y la obligación de notificación de estos ficheros según la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
El informe comienza aclarando que la consulta se refiere a un «Colegio Privado Concertado» y no a un «Colegio Público Concertado», ya que el régimen de concierto se aplica a entidades de naturaleza privada. Según el artículo 5 del Real Decreto 1332/1994, todo fichero de datos de carácter personal de titularidad pública debe ser notificado a la AEPD para su inscripción en el Registro General de Protección de Datos. La obligación de notificación recae en el responsable del fichero, definido como la persona física o jurídica que decide sobre la finalidad, contenido y uso del tratamiento de datos.
Para determinar quién es el responsable de la notificación, el informe analiza si el colegio es un órgano de la Administración Autonómica o posee personalidad jurídica independiente. Si el colegio es un órgano de la Administración, la obligación de notificación corresponde a la Consejería de Educación de la Comunidad Autónoma, que debe hacer referencia al centro educativo como lugar de ubicación del fichero. En cambio, si el colegio tiene personalidad jurídica independiente, como en el caso de un Colegio Privado Concertado, el propio centro es el responsable del fichero y debe proceder a la notificación al Registro General de Protección de Datos utilizando el modelo correspondiente para ficheros de titularidad privada.
El informe también se basa en la Ley Orgánica 10/2002, de Calidad de la Educación, que clasifica los centros docentes en públicos y privados, y establece que los centros públicos son aquellos cuyo titular es un poder público. Según esta ley, los centros públicos dependen directamente de la Administración educativa autonómica y carecen de personalidad jurídica propia. Por lo tanto, cuando los centros educativos están integrados orgánicamente en la Administración autonómica, esta es la responsable de cumplir con las obligaciones de notificación de los ficheros de titularidad pública.
En resumen, el informe concluye que, en el caso de un Colegio Privado Concertado, el propio centro es el responsable del fichero y debe notificar el tratamiento de datos al Registro General de Protección de Datos utilizando el modelo correspondiente para ficheros de titularidad privada. Esto se debe a que los colegios privados concertados poseen personalidad jurídica independiente y no están integrados orgánicamente en la Administración autonómica.