El Informe 0155/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la conformidad del acceso y tratamiento de datos personales de trabajadores, funcionarios laborales y militares del Ministerio de Defensa por parte de una empresa adjudicataria de un servicio de apoyo a la gestión administrativa en un proceso de contratación pública, según la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y su Reglamento de desarrollo.
La consulta se centra en determinar si la empresa que presta servicios en las dependencias administrativas del Ministerio de Defensa, y que accede y trata datos personales de los empleados, está actuando conforme a la normativa vigente. La AEPD concluye que la empresa actúa como «encargado del tratamiento» según el artículo 3.g) de la LOPD, ya que trata datos personales por cuenta del responsable del tratamiento, en este caso, el Ministerio de Defensa.
El informe destaca varios puntos clave:
1. **Encargo de Tratamiento**: La empresa realiza tareas de tramitación de expedientes administrativos, lo que implica el acceso y tratamiento de datos personales. Este encargo está amparado en la prestación de un servicio externo que ayuda al cumplimiento de la finalidad del tratamiento de datos.
2. **Requisitos Formales**: La empresa debe cumplir con los requisitos establecidos en el artículo 12 de la LOPD y el Capítulo III del Título II del Reglamento. Esto incluye la necesidad de un contrato escrito que regule la relación entre el responsable y el encargado del tratamiento, especificando que el encargado solo tratará los datos conforme a las instrucciones del responsable y no los utilizará para fines distintos.
3. **Conservación y Destrucción de Datos**: Una vez cumplida la prestación contractual, los datos deben ser destruidos o devueltos al responsable del tratamiento. El encargado del tratamiento puede conservar los datos bloqueados mientras puedan derivarse responsabilidades de su relación con el responsable.
4. **Subcontratación**: La subcontratación de servicios está permitida bajo ciertas condiciones, como la especificación en el contrato de los servicios que pueden ser subcontratados y la identificación de la empresa subcontratista. Además, el subcontratista debe ajustarse a las instrucciones del responsable del fichero.
5. **Medidas de Seguridad**: El encargado del tratamiento debe adoptar las mismas medidas de seguridad que el responsable del fichero, conforme a los artículos 9 y 12.2 de la LOPD y el artículo 82 del Reglamento.
6. **Responsabilidad**: Si el encargado del tratamiento destina los datos a otra finalidad o los comunica incumpliendo las estipulaciones del contrato, será considerado responsable del tratamiento y sujeto al régimen sancionador establecido en la LOPD.
En conclusión, la AEPD determina que el acceso y tratamiento de datos personales por parte de la empresa adjudicataria es conforme a la LOPD, siempre y cuando se cumplan las condiciones y requisitos establecidos en la normativa. Esto incluye la existencia de un contrato que regule la relación entre el responsable y el encargado del tratamiento, la adopción de medidas de seguridad adecuadas y la destrucción o devolución de los datos una vez cumplida la prestación contractual.