El Informe 0017/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda varias cuestiones relacionadas con el tratamiento de datos personales en el contexto de la tramitación de adopciones internacionales. A continuación, se presenta un resumen de los puntos clave del informe.
### Contexto y Marco Legal
La consulta se centra en las medidas de seguridad que debe aplicar una entidad colaboradora en la tramitación de adopciones internacionales, conforme a la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y su Reglamento de desarrollo, el Real Decreto 1720/2007. La entidad colaboradora actúa como encargada del tratamiento de datos por cuenta de la Administración Autonómica, que es la responsable del fichero.
### Encargado del Tratamiento
La entidad colaboradora se considera encargada del tratamiento de datos personales, mientras que la Administración Autonómica es la responsable del fichero. Esto implica que la entidad debe cumplir con las especificaciones del artículo 12 de la LOPD y el Capítulo III del Título II del Reglamento, que establecen las condiciones bajo las cuales se puede realizar el tratamiento de datos por cuenta de terceros.
### Requisitos Formales y de Seguridad
1. **Limitación del Tratamiento**: La entidad colaboradora solo puede tratar los datos para los fines específicos del contrato y no puede utilizarlos para otros propósitos.
2. **Contrato Escrito**: La relación entre la entidad colaboradora y la Administración debe estar regulada por un contrato escrito que especifique las instrucciones del responsable del tratamiento.
3. **Conservación y Destrucción de Datos**: Una vez cumplida la prestación contractual, los datos deben ser destruidos o devueltos al responsable del tratamiento.
4. **Subcontratación**: La entidad colaboradora puede subcontratar servicios, siempre que se cumplan ciertas condiciones, como la especificación de los servicios subcontratados y la formalización de un contrato con el subcontratista.
5. **Medidas de Seguridad**: La entidad debe adoptar medidas de seguridad equivalentes a las del responsable del fichero, elaborando un documento de seguridad que detalle las medidas a implementar.
### Notificación e Inscripción de Ficheros
La obligación de notificar e inscribir los ficheros de adopciones internacionales en la AEPD recae sobre la Administración pública que creó el fichero. Esta notificación puede realizarse a través del formulario electrónico del sistema NOTA disponible en la página web de la AEPD.
### Conflicto de Competencias
El informe también aborda la posibilidad de conflictos de competencias entre la AEPD y las agencias autonómicas de protección de datos. La LOPD establece un marco competencial que delimita las funciones de la AEPD y las autoridades de control autonómicas. Las agencias autonómicas tienen competencias sobre los ficheros creados y gestionados por las Comunidades Autónomas y la Administración local, pero no sobre ficheros de titularidad privada ni pública distinta de la autonómica o local.
### Conclusión
El informe subraya la importancia de que las entidades colaboradoras en la tramitación de adopciones internacionales cumplan estrictamente con las normativas de protección de datos, asegurando la seguridad y confidencialidad de los datos personales tratados. Además, clarifica las competencias de la AEPD y las agencias autonómicas en materia de protección de datos, evitando posibles conflictos de jurisdicción.