El informe jurídico 0122/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la determinación de la naturaleza de responsable o encargado del tratamiento de datos personales en un contexto específico, conforme a la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.
El informe comienza definiendo los conceptos de «responsable del tratamiento» y «encargado del tratamiento». Según el artículo 3 de la Ley Orgánica 15/1999, el responsable del tratamiento es la persona o entidad que decide sobre la finalidad, contenido y uso del tratamiento de datos. Por otro lado, el encargado del tratamiento es quien, por cuenta del responsable, realiza el tratamiento de datos personales.
El informe también hace referencia al Real Decreto 1720/2007, que desarrolla la Ley Orgánica 15/1999 y establece que el responsable del tratamiento es quien decide sobre la finalidad, contenido y uso del tratamiento, aunque no realice materialmente el tratamiento. Además, la doctrina de la Audiencia Nacional ha aclarado que el encargado del tratamiento debe limitarse a realizar el acto material de tratamiento, sin decidir sobre la finalidad del mismo.
En el caso concreto planteado, se determina que las autoescuelas son las responsables del tratamiento de datos de los alumnos que realizan cursos de sensibilización y reeducación vial. Esto se debe a que las autoescuelas deciden sobre la finalidad, contenido y uso del tratamiento de los datos, conforme al contrato firmado con la consultante. Por lo tanto, las autoescuelas deben cumplir con las exigencias de la Ley Orgánica 15/1999 en cuanto a la protección de datos.
Respecto a las medidas de seguridad, el informe indica que, hasta la entrada en vigor del Real Decreto 1720/2007, deben aplicarse las medidas de seguridad establecidas en el Real Decreto 994/1999. Según este último, los ficheros que contienen datos como nombre, apellidos, DNI y dirección deben adoptar medidas de seguridad de nivel básico. El nuevo Reglamento también establece tres niveles de seguridad (básico, medio y alto) dependiendo de la naturaleza de los datos tratados. En este caso, dado que los datos tratados no requieren un nivel de seguridad superior, se aplican las medidas de nivel básico.
En conclusión, el informe establece que las autoescuelas son las responsables del tratamiento de datos de los alumnos y que deben adoptar medidas de seguridad de nivel básico para proteger dichos datos, conforme a la legislación vigente.