El informe jurídico 0129/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda los requisitos legales que debe cumplir una empresa que se dedica al archivo digital de documentos contables de otras entidades, bajo el marco de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.
La empresa en cuestión actúa como «encargada del tratamiento» de datos personales, según la definición del artículo 3 g) de la Ley Orgánica. Esto implica que la empresa procesa datos personales por cuenta de otra entidad, el «responsable del tratamiento». En este caso, los clientes de la empresa proporcionan la documentación contable, que luego es digitalizada y almacenada por la consultante.
El informe destaca que, para cumplir con la normativa, la relación entre la empresa y sus clientes debe estar regulada por un contrato escrito que especifique claramente las obligaciones y responsabilidades de ambas partes. Este contrato debe incluir, entre otros aspectos:
1. **Requisitos formales**: El contrato debe establecer que la encargada del tratamiento solo procesará los datos conforme a las instrucciones del responsable y no los utilizará para fines distintos a los acordados.
2. **Periodo de conservación**: Una vez cumplido el servicio contractual, los datos deben ser destruidos o devueltos al responsable del tratamiento.
3. **Cesión de datos**: Los datos no pueden ser cedidos a terceros sin el consentimiento del responsable del tratamiento. Si se subcontrata parte del servicio, el contrato debe especificar claramente los servicios a subcontratar y la empresa subcontratista.
4. **Medidas de seguridad**: La encargada del tratamiento debe adoptar las mismas medidas de seguridad que el responsable del tratamiento para proteger los datos personales.
5. **Responsabilidad**: Si la encargada del tratamiento utiliza los datos para fines no acordados o los comunica a terceros sin autorización, será considerada responsable del tratamiento y estará sujeta al régimen sancionador establecido en la Ley Orgánica.
El informe también menciona que el Real Decreto 1720/2007, que desarrolla la Ley Orgánica 15/1999, contiene una regulación específica del encargado del tratamiento en los artículos 20 al 22, que complementa lo establecido en la ley.
En resumen, para que la actividad de la empresa se ajuste a la Ley Orgánica de Protección de Datos, es esencial que exista un contrato claro y detallado entre la empresa y sus clientes, que regule el tratamiento de los datos personales y garantice su protección y confidencialidad.