El Informe 0602/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la posibilidad de elaborar un único documento de seguridad para todos los ficheros de una empresa que imparte cursos de formación empresarial. Esta empresa actúa tanto como responsable del tratamiento de datos como encargada del tratamiento, dependiendo del caso.
La empresa en cuestión organiza y gestiona acciones formativas para trabajadores de empresas clientes, quienes le proporcionan datos personales, incluyendo información sobre la condición de discapacidad de los trabajadores. Esta información condiciona el nivel de medidas de seguridad que deben aplicarse a los ficheros.
El informe destaca la importancia de distinguir claramente entre los roles de responsable y encargado del tratamiento, según las definiciones del artículo 3 de la Ley Orgánica 15/1999. Para que la empresa actúe como encargada del tratamiento, debe cumplir con varios requisitos legales:
1. **Limitación de la actuación**: La empresa debe limitarse a prestar los servicios contratados y no establecer nuevos vínculos con los afectados.
2. **Contrato escrito**: La realización de tratamientos por cuenta de terceros debe estar regulada en un contrato escrito que especifique las instrucciones del responsable y las obligaciones del encargado.
3. **Conservación y destrucción de datos**: Una vez cumplida la prestación contractual, los datos deben ser destruidos o devueltos al responsable.
4. **Subcontratación**: La subcontratación de servicios debe estar prevista en el contrato y cumplir con las instrucciones del responsable.
5. **Medidas de seguridad**: Las medidas de seguridad deben ser las mismas que las impuestas al responsable del fichero.
6. **Ejercicio de derechos**: Los afectados pueden ejercer sus derechos de acceso, rectificación, cancelación y oposición, y el encargado debe dar traslado de estas solicitudes al responsable.
El documento de seguridad puede ser único y comprensivo de todos los ficheros o tratamientos, o bien individualizado para cada uno. Además, debe incluir un contenido adicional específico que identifique los ficheros tratados, el contrato que regula el encargo, el responsable y el período de vigencia del encargo.
El informe también subraya la clasificación de las medidas de seguridad en tres niveles: básico, medio y alto, según la naturaleza de los datos tratados. En el caso de datos de salud, como la condición de discapacidad, se exige la implementación de medidas de seguridad de nivel alto, salvo que el dato sea necesario para el cumplimiento de un deber público.
Finalmente, el informe concluye que la ausencia del contrato señalado en el artículo 12 de la Ley Orgánica o el incumplimiento de sus requisitos convertiría a la consultante en responsable de los ficheros, accediendo y tratando datos sin el consentimiento de los afectados.