El Informe 689/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la creación de ficheros de videovigilancia en un organismo que gestiona 131 centros o institutos, de los cuales 77 son propios y 54 tienen una naturaleza mixta, dependiendo tanto del organismo como de universidades u otras entidades. La consulta se centra en determinar quién debe ser el responsable del fichero de videovigilancia y cómo proceder a su creación y notificación.
El informe comienza señalando que la Instrucción 1/2006 de la AEPD no resuelve explícitamente esta cuestión, por lo que se debe recurrir al concepto de «responsable del fichero» definido en el artículo 5.1 q) del Reglamento de desarrollo de la Ley Orgánica 15/1999. Según este artículo, el responsable es la persona física o jurídica que decide sobre la finalidad, contenido y uso del tratamiento de datos, aunque no lo realice materialmente.
Para los centros de naturaleza mixta, el informe sugiere que el criterio decisorio debería basarse en la ubicación del centro. Si el centro está ubicado en las instalaciones de una entidad específica, como una universidad, esta entidad debería ser considerada responsable del fichero. En consecuencia, la entidad ubicada debería cumplir con las obligaciones derivadas de la Ley Orgánica 15/1999, incluyendo la adopción de la norma de creación del fichero y su notificación para su inscripción en el Registro General de Protección de Datos.
Para los centros propios y los mixtos no ubicados en instalaciones de otra entidad, las obligaciones de creación y notificación corresponderían al organismo consultante. El artículo 20 de la Ley Orgánica 15/1999, complementado por el artículo 54 de su Reglamento, establece que la creación, modificación o supresión de ficheros de las Administraciones Públicas debe hacerse mediante disposición general publicada en el Boletín Oficial del Estado o diario oficial correspondiente. En el caso de la Administración General del Estado o entidades vinculadas, esta disposición debe revestir la forma de Orden Ministerial o Resolución del titular de la entidad u organismo correspondiente.
El informe también aborda la posibilidad de crear un único fichero o múltiples ficheros. Según el artículo 5.1 k) del Reglamento de desarrollo, un fichero es cualquier conjunto organizado de datos de carácter personal que permita el acceso a los datos con arreglo a criterios determinados. La AEPD ha señalado que es posible tener un único fichero con múltiples ubicaciones, siempre que el responsable, la tipología de datos y la finalidad sean coincidentes. Esto se basa en un informe de 2003, que permitió la existencia de ficheros distribuidos en lugares geográficos remotos, siempre que estén organizados y gestionados de manera centralizada.
En el caso del organismo consultante, dado que los ficheros en los distintos centros son idénticos en estructura y finalidad, y son gestionados de forma centralizada, sería posible modificar las declaraciones inscritas en el Registro General de Protección de Datos para reemplazar las referencias a múltiples ficheros por una única inscripción. Esta inscripción debería indicar la ubicación principal y mencionar en un anexo la relación de centros a los que se refiere, sin que el organismo deje de ser el responsable del fichero.
En resumen, el informe concluye que el organismo consultante puede proceder a la creación de un único fichero de videovigilancia para sus centros propios y mixtos no ubicados en instalaciones de otras entidades, siempre que se cumplan las disposiciones legales y se garantice la gestión centralizada del fichero. Para los centros mixtos ubicados en instalaciones de otras entidades, estas últimas deberían asumir la responsabilidad del fichero y cumplir con las obligaciones legales correspondientes.