El Informe 0279/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda varias cuestiones relacionadas con el concepto de fichero, tanto en soporte papel como automatizado, en el contexto de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su Reglamento de desarrollo, el Real Decreto 1720/2007.
En primer lugar, el informe aclara que la Ley Orgánica 15/1999 se aplica a cualquier tratamiento de datos de carácter personal, independientemente del soporte utilizado. Esto incluye cualquier información concerniente a personas físicas identificadas o identificables, según el artículo 3.a) de la ley.
La primera pregunta del informe se centra en si una carpeta en soporte papel, ordenada por fechas de creación de los documentos, constituye un fichero. Según el artículo 3.b) de la ley y el artículo 5.1.k) y n) del Real Decreto 1720/2007, un fichero es cualquier conjunto organizado de datos de carácter personal que permita el acceso a los datos con arreglo a criterios determinados. Si la ordenación de los documentos por fecha no permite acceder a los datos personales sin esfuerzos desproporcionados, no se considera un fichero. Sin embargo, si existe una correlación entre las fechas y las personas a las que se envían los documentos, sí se considera un fichero no automatizado.
La segunda cuestión trata sobre si documentos incorporados a un soporte electrónico sin ningún orden lógico constituyen un fichero. El informe señala que cualquier archivo en un sistema informático implica una organización, ya que permite hacer búsquedas de documentos. Por lo tanto, una carpeta en un sistema informático con documentos se considera un fichero, ya que cumple con los criterios de organización y acceso establecidos en la ley.
La tercera cuestión se refiere a los llamados ficheros de contactos de empresa. El informe cita un informe anterior de la AEPD que establece que los ficheros que se limitan a incorporar datos de personas físicas que prestan servicios en empresas, como nombre, apellidos, funciones, dirección postal o electrónica, teléfono y número de fax profesionales, no están sujetos a la Ley Orgánica 15/1999. Sin embargo, si se incluyen datos adicionales, como el documento nacional de identidad, sí están sujetos a la ley.
Finalmente, la última cuestión, aunque poco clara, parece referirse a si los recursos administrativos y judiciales incorporados en carpetas son ficheros. El informe concluye que si la entidad crea un fichero con datos personales de los alumnos para aportarlos como prueba en procedimientos, esa carpeta constituye un fichero que debe notificarse e inscribirse en el Registro General de Protección de Datos. Además, se debe recabar el consentimiento de los alumnos y informarles sobre la existencia y finalidad del fichero, conforme al artículo 5.1 de la Ley Orgánica 15/1999.
En resumen, el informe subraya la importancia de entender qué constituye un fichero según la legislación vigente y las implicaciones legales que esto conlleva, especialmente en cuanto a la protección de datos personales y el cumplimiento de las normativas establecidas.