El Informe Jurídico 0134/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre la necesidad de que los clientes de una empresa consultante inscriban los ficheros de control de presencia de sus trabajadores conforme a la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.
La consulta se centra en la instalación de sistemas de control de presencia en las dependencias de los clientes de la consultante, mediante relojes de fichar con módem para la transmisión de datos de los trabajadores. El informe distingue entre el responsable y el encargado del tratamiento de datos, conceptos clave en la normativa de protección de datos.
El responsable del tratamiento es la persona o entidad que decide sobre la finalidad, contenido y uso del tratamiento de datos, mientras que el encargado del tratamiento es quien procesa los datos por cuenta del responsable. Según la normativa, el encargado del tratamiento debe actuar bajo las instrucciones del responsable y no puede utilizar los datos para fines distintos a los acordados.
En el caso planteado, la consultante actúa como encargada del tratamiento, ya que instala y gestiona los sistemas de control de presencia por cuenta de sus clientes, quienes son los responsables del tratamiento. Por lo tanto, los clientes deben inscribir los ficheros de control de presencia, ya que son ellos quienes deciden sobre la finalidad y uso de los datos de sus trabajadores.
El informe también subraya la necesidad de que exista un contrato entre la consultante y sus clientes que regule el tratamiento de datos, conforme al artículo 12 de la Ley Orgánica 15/1999. Este contrato debe especificar que el encargado del tratamiento actuará bajo las instrucciones del responsable y no utilizará los datos para otros fines. Además, una vez cumplida la prestación contractual, los datos deben ser destruidos o devueltos al responsable.
El informe destaca que las medidas de seguridad que debe adoptar el encargado del tratamiento son las mismas que las impuestas al responsable del fichero. En caso de incumplimiento de las estipulaciones del contrato, el encargado del tratamiento será considerado responsable del tratamiento y estará sujeto al régimen sancionador establecido en la ley.
En resumen, el informe concluye que los clientes de la consultante deben inscribir los ficheros de control de presencia y que debe existir un contrato que regule el tratamiento de datos entre ambas partes, asegurando que el encargado del tratamiento actúe bajo las instrucciones del responsable y adopte las medidas de seguridad necesarias.