El Informe 0217/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) en relación con una plataforma de depósito de documentos originales en una Administración Autonómica. La consulta plantea diversas dudas sobre la necesidad de declarar la plataforma como un fichero y la finalidad de los datos almacenados.
### Concepto de Fichero y Responsable
El informe define un fichero como «todo conjunto organizado de datos de carácter personal, cualquiera que fuera la forma o modalidad de su creación, almacenamiento, organización y acceso». El responsable del fichero es quien decide sobre la finalidad, contenido y uso del tratamiento de datos. En el caso de las Administraciones públicas, la creación de un fichero debe hacerse mediante una disposición general publicada en el Boletín Oficial correspondiente.
### Plataforma de Almacenamiento
La plataforma en cuestión almacena y custodia documentos electrónicos generados tanto por ciudadanos como por la Administración. Según el informe, estos documentos no son tratados por la plataforma sino por los sistemas de información de las diferentes Consejerías. Por lo tanto, los documentos alojados en la plataforma no constituyen un nuevo fichero, sino que forman parte de los ficheros ya existentes en cada Consejería.
### Encargado del Tratamiento
La Consejería que gestiona la plataforma actúa como encargado del tratamiento, ya que su función se limita a la prestación de un servicio de almacenamiento y custodia. El encargado del tratamiento no decide sobre la finalidad, contenido y uso de los datos, sino que actúa bajo las instrucciones del responsable del fichero.
### Requisitos del Contrato
Para que la relación entre el responsable y el encargado del tratamiento sea conforme a la ley, debe existir un contrato que regule dicha relación. Este contrato debe establecer que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable y no los utilizará para fines distintos a los acordados. Además, al término de la relación contractual, los datos deben ser destruidos o devueltos al responsable.
### Medidas de Seguridad
Las medidas de seguridad que deben adoptarse por quienes realizan trabajos de tratamiento de datos por cuenta de tercero deben ser las mismas que las impuestas al responsable del fichero. Estas medidas se aplican a cada documento según el fichero del que forma parte y se clasifican en diferentes niveles en función de la naturaleza de los datos tratados. El Reglamento de desarrollo de la LOPD permite aplicar diferentes niveles de seguridad a un fichero o sistema de información siempre que se cumplan ciertas condiciones.
### Acceso a Datos a través de Redes
El informe también destaca que las medidas de seguridad exigibles a los accesos a datos de carácter personal a través de redes de comunicaciones deben garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local.
En resumen, el informe concluye que la plataforma de almacenamiento no constituye un nuevo fichero, sino que los documentos almacenados forman parte de los ficheros existentes en las diferentes Consejerías. La Consejería que gestiona la plataforma actúa como encargado del tratamiento, y debe cumplir con los requisitos legales establecidos para dicha relación, incluyendo la adopción de medidas de seguridad adecuadas.