El Informe Jurídico 0150/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda diversas modificaciones en las normas de creación de ficheros de una Consejería, adaptándolas al Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre.
Uno de los puntos clave del informe es la posible integración del fichero de Gestión de Subvenciones en materia de salud pública en un fichero general de subvenciones otorgadas por las distintas unidades de la Consejería. Esta integración implicaría modificar la determinación del órgano responsable del fichero y las unidades ante las cuales los afectados pueden ejercer sus derechos de acceso, rectificación, cancelación y oposición. La AEPD señala que, conforme a la normativa de protección de datos, es posible la existencia de un único fichero si este responde a una única finalidad, como en este caso, el otorgamiento de subvenciones.
En cuanto a la determinación del responsable del fichero, la AEPD sugiere que podría ser la propia Consejería o un órgano superior central, dado que la finalidad del fichero es la gestión de subvenciones. Además, se enfatiza la necesidad de mecanismos que garanticen la tramitación en plazo de las solicitudes de los afectados, asegurando que estas sean remitidas rápidamente al órgano gestor correspondiente.
El informe también destaca la importancia de extremar las medidas de seguridad, especialmente en ficheros que contienen datos sensibles como el estado de salud de los solicitantes. Estas medidas deben ser de nivel alto, conforme al artículo 81.3 del Reglamento, e incluir un control de usuarios y accesos, tal como se establece en el artículo 103 del mismo Reglamento.
Otro aspecto abordado es la adaptación de las normas reguladoras de los ficheros de la Consejería al nuevo marco regulador vigente desde el 19 de abril de 2008, que establece un sistema de tratamiento mixto (automatizado y no automatizado). El artículo 54.1 c) del Reglamento dispone que la disposición de creación de los ficheros debe describir detalladamente los datos incluidos y el sistema de tratamiento utilizado. Por lo tanto, se hace necesario modificar las disposiciones de creación de los ficheros para reflejar este carácter mixto y notificar dicha modificación al registro General de Protección de Datos.
En resumen, el informe jurídico subraya la necesidad de adaptar las normas de creación de ficheros de la Consejería al nuevo Reglamento, integrando ficheros específicos en uno general, asegurando la correcta determinación del responsable y las unidades gestoras, y extremando las medidas de seguridad, especialmente en ficheros con datos sensibles. Además, se debe reflejar el carácter mixto del sistema de tratamiento en las disposiciones de creación de los ficheros y notificar estas modificaciones al registro correspondiente.