El Informe 0008/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre el acceso de los trabajadores de la Fundación Pública Canaria para el Fomento del Trabajo (FUNCATRA) a los datos de los demandantes de empleo que obran en las bases informáticas del Servicio Canario de Empleo. Este acceso se realiza en el marco de la prestación de servicios de orientación, formación e inserción laboral, y se analiza bajo la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y su Reglamento de desarrollo, el Real Decreto 1720/2007.
El informe destaca que los trabajadores de FUNCATRA, al acceder y tratar datos personales por cuenta del Servicio Canario de Empleo, se configuran como encargados del tratamiento según la LOPD. Esta figura se define como la persona o entidad que trata datos personales por cuenta del responsable del tratamiento, en este caso, el Servicio Canario de Empleo. La doctrina de la Audiencia Nacional subraya que el encargo de tratamiento se caracteriza por la prestación de un servicio externo que ayuda al responsable del tratamiento a cumplir con la finalidad del tratamiento de datos consentida por los afectados.
El informe detalla las obligaciones y requisitos que deben cumplir los encargados del tratamiento, como la necesidad de un contrato escrito que regule la prestación de servicios y establezca las instrucciones del responsable del tratamiento. Además, se especifica que una vez cumplida la prestación contractual, los datos deben ser destruidos o devueltos al responsable, y que el encargado del tratamiento debe adoptar medidas de seguridad equivalentes a las del responsable.
En cuanto a la seguridad de los datos, el informe subraya la obligación del responsable y del encargado del tratamiento de adoptar medidas técnicas y organizativas que garanticen la seguridad de los datos y eviten su alteración, pérdida o acceso no autorizado. Se mencionan las disposiciones del Real Decreto 1720/2007 sobre los niveles de seguridad (básico, medio y alto) y las medidas específicas para el control de accesos y la identificación y autenticación de usuarios.
Finalmente, el informe concluye que, aunque no tiene carácter vinculante, proporciona una guía clara sobre las obligaciones legales y las medidas de seguridad que deben implementarse para garantizar la protección de los datos personales en el contexto de la prestación de servicios por parte de FUNCATRA. Se invita al consultante a formular una denuncia si lo considera necesario, utilizando los canales disponibles en la página web de la AEPD.