El Informe 0446/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre la ubicación de datos personales en un fichero gestionado por el Departamento de Administración Local del Gobierno de Navarra, pero alojado en un servidor del Departamento de Presidencia, Justicia e Interior. La consulta se centra en determinar si esta situación constituye una cesión de datos o un tratamiento por cuenta de terceros, y si es conforme con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su Reglamento, el Real Decreto 1720/2007.
El informe concluye que la ubicación de los datos en el servidor del Departamento de Presidencia, Justicia e Interior no constituye una cesión de datos, sino un tratamiento por cuenta de terceros. Este tratamiento está regulado por el artículo 12 de la Ley Orgánica 15/1999 y el Capítulo III del Título II del Reglamento. Para que este tratamiento sea conforme a la ley, se deben cumplir varias condiciones:
1. **Limitación de la actuación del encargado del tratamiento**: El Departamento de Presidencia, Justicia e Interior debe limitarse a prestar el servicio de alojamiento de datos, sin establecer nuevos vínculos con los afectados.
2. **Requisitos formales del contrato**: La relación debe estar regulada por un contrato escrito o en una forma que permita acreditar su celebración y contenido. Este contrato debe especificar que el encargado del tratamiento solo tratará los datos conforme a las instrucciones del responsable y no los utilizará para fines distintos a los acordados.
3. **Conservación y destrucción de datos**: Una vez cumplida la prestación contractual, los datos deben ser destruidos o devueltos al responsable del tratamiento, junto con cualquier soporte que contenga datos personales.
4. **Subcontratación**: Si el encargado del tratamiento subcontrata servicios, debe obtener el consentimiento del responsable del fichero y cumplir con los requisitos específicos del artículo 21 del Reglamento.
5. **Medidas de seguridad**: El encargado del tratamiento debe adoptar las mismas medidas de seguridad que el responsable del fichero, conforme a los artículos 9 y 12.2 de la Ley Orgánica y el artículo 82 del Reglamento.
6. **Responsabilidad del encargado**: Si el encargado del tratamiento utiliza los datos para fines distintos a los acordados, será considerado responsable del tratamiento y sujeto al régimen sancionador establecido en la Ley Orgánica.
En resumen, el informe establece que la ubicación de los datos en el servidor del Departamento de Presidencia, Justicia e Interior es legal siempre y cuando se cumplan las condiciones establecidas por la Ley Orgánica 15/1999 y su Reglamento, asegurando así la protección de los datos personales y los derechos de los afectados.