El Informe 0021/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre la utilización de claves de acceso a equipos informáticos por parte de trabajadores de la empresa TRAGSA.S.A., contratada para prestar servicios en las dependencias de un organismo público. La consulta se enmarca en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y su Reglamento de desarrollo, el Real Decreto 1720/2007.
El informe destaca que TRAGSA.S.A. actúa como encargada del tratamiento de datos por cuenta del organismo público, lo que implica que debe cumplir con las obligaciones establecidas en la LOPD y su Reglamento. Entre estas obligaciones se encuentran:
1. **Limitación del Tratamiento**: La actuación del encargado del tratamiento debe limitarse a la prestación de los servicios contratados.
2. **Contrato Escrito**: La relación debe estar regulada en un contrato escrito que especifique las instrucciones del responsable del tratamiento y las obligaciones del encargado.
3. **Conservación y Destrucción de Datos**: Una vez cumplida la prestación contractual, los datos deben ser destruidos o devueltos al responsable del tratamiento.
4. **Subcontratación**: La subcontratación de servicios está permitida bajo ciertas condiciones, como la comunicación previa al responsable y la formalización de un contrato.
5. **Medidas de Seguridad**: El encargado del tratamiento debe adoptar medidas de seguridad equivalentes a las del responsable del fichero.
En cuanto a la seguridad y confidencialidad del tratamiento de datos, el informe subraya la necesidad de adoptar medidas técnicas y organizativas que garanticen la integridad y seguridad de los datos. Estas medidas incluyen el control de accesos a los equipos informáticos y la identificación y autenticación de los usuarios. Es crucial que el sistema utilizado impida el acceso no autorizado y permita identificar a los usuarios que acceden a la información.
El informe concluye que la utilización de claves de acceso que aseguren el carácter personalísimo de la consulta es fundamental para garantizar la protección de los datos. La clave debe permitir al interesado conocer en cada momento los datos de carácter personal existentes en el fichero, asegurando así que el acceso esté debidamente autorizado y que los datos no sean utilizados para fines distintos de aquellos para los que fueron recabados.
En resumen, el informe subraya la importancia de cumplir con las disposiciones legales y reglamentarias en materia de protección de datos, especialmente en lo que respecta a la seguridad y confidencialidad del tratamiento de datos por parte de encargados del tratamiento. La adopción de medidas adecuadas es esencial para proteger los derechos de los afectados y evitar posibles responsabilidades legales.