El Informe 0260/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre si ciertos documentos tienen la consideración de fichero conforme a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y cuál es la legislación que regula la creación de dichos ficheros.
En primer lugar, el informe analiza el concepto de fichero según el artículo 3 b) de la Ley Orgánica 15/1999, que define un fichero como «todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso». Esta definición se complementa con el artículo 5.1 k) y n) del Real Decreto 1720/2007, que desarrolla la Ley Orgánica. El artículo 5.1 k) especifica que un fichero es «todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados», mientras que el apartado n) define un fichero no automatizado como «todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativo a las personas físicas, que permita acceder sin esfuerzos desproporcionados a sus datos personales».
El informe concluye que, si los expedientes de contratación no están estructurados conforme a criterios relativos a las personas físicas, no constituyen un fichero, ya que no permiten acceder sin esfuerzos desproporcionados a los datos personales. Sin embargo, si estos expedientes están relacionados con un fichero automatizado que permita identificar los datos personales sin esfuerzos desproporcionados, entonces sí se consideraría un fichero.
En cuanto a la normativa que debe regir la creación de los ficheros, el informe señala que, según el artículo 53.3 del Reglamento de desarrollo de la Ley Orgánica y el artículo 20 de la Ley Orgánica 15/1999, la creación, modificación o supresión de los ficheros de las Administraciones Públicas debe hacerse mediante una disposición general publicada en el «Boletín Oficial del Estado» o el «Diario Oficial correspondiente». Además, se debe tener en cuenta la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local, que reconoce la potestad reglamentaria de los municipios.
El procedimiento de aprobación de las ordenanzas locales se regula en el artículo 49 de la Ley 7/1985, que establece que la aprobación de las ordenanzas locales debe seguir un procedimiento que incluye la aprobación inicial por el Pleno, la información pública y audiencia a los interesados, y la resolución de reclamaciones y sugerencias presentadas, culminando con la aprobación definitiva por el Pleno.
En resumen, el informe concluye que la entidad consultante debe aprobar la correspondiente disposición general y publicarla en el Diario Oficial correspondiente para la creación de sus ficheros, siguiendo el procedimiento establecido en la legislación vigente.