El Informe 34/2006 de la Agencia Española de Protección de Datos (AEPD) aborda la conformidad con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal en un caso específico. La consulta se centra en la relación entre un instituto que realiza una estadística y una entidad encargada del tratamiento de datos, así como la obligación de devolución de la documentación una vez finalizado el contrato.
El instituto consultante ha estado realizando una estadística desde 1996, recogida en el Plan Estadístico Nacional, y contrata a una tercera entidad para llevar a cabo esta tarea. Al finalizar el contrato con la entidad anterior, el instituto solicita la devolución de los ficheros y datos derivados de la prestación del servicio, pero la entidad se niega, alegando ser la responsable del fichero y no poder ceder los datos.
La AEPD determina que, según la Ley Orgánica 15/1999, el instituto es el responsable del tratamiento, ya que decide sobre la finalidad, contenido y uso de los datos. La entidad contratada actúa como encargada del tratamiento, siguiendo las instrucciones del responsable. El artículo 12.2 de la ley establece que el encargado del tratamiento debe actuar conforme a las instrucciones del responsable y no puede utilizar los datos para fines distintos a los acordados.
El Plan Estadístico Nacional 2005-2008 atribuye la realización de la encuesta al Ministerio de Industria, Comercio y Turismo, siendo el instituto consultante el órgano competente. El pliego de condiciones del contrato también especifica que la entidad adjudicataria no puede copiar o utilizar los datos con fines distintos a los del contrato, y que toda la información generada pasa a ser propiedad de la Administración del Estado.
La AEPD concluye que, al término del contrato, el encargado del tratamiento debe destruir o devolver los datos al responsable, conforme al artículo 12.3 de la ley. El incumplimiento de esta obligación puede llevar a que el encargado sea considerado responsable del tratamiento y responda por las infracciones cometidas.
En este caso, la entidad adjudicataria debe devolver los datos al instituto consultante o al nuevo encargado designado por éste. La entidad no puede alegar ser responsable del fichero, ya que su función es meramente la de encargada del tratamiento. La devolución de los datos debe realizarse directamente al responsable o al nuevo encargado designado, y el antiguo encargado no puede conservar los datos más allá de lo necesario para atender responsabilidades derivadas del contrato.