El Informe 0298/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda diversas dudas sobre la aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en relación con la creación, condición de responsable e inscripción de ficheros públicos y privados de un colegio profesional.
El informe comienza destacando la importancia de determinar la naturaleza pública o privada de los ficheros colegiales. Según la AEPD, los ficheros de los Colegios Profesionales y Consejos Generales se consideran de titularidad pública cuando están relacionados con el ejercicio de competencias de derecho público y potestades administrativas. En cambio, se consideran de titularidad privada cuando se crean únicamente para la gestión interna del colegio o para facilitar el desempeño de la profesión colegiada, siempre que no impliquen el ejercicio de potestades administrativas.
El Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por el Real Decreto 1720/2007, define claramente los ficheros de titularidad pública y privada. Los ficheros públicos son aquellos gestionados por órganos constitucionales, administraciones públicas y corporaciones de derecho público en el ejercicio de potestades de derecho público. Los ficheros privados, por otro lado, son aquellos gestionados por personas, empresas o entidades de derecho privado.
Para la creación de ficheros públicos, el artículo 20 de la Ley Orgánica 15/1999 establece que deben hacerse mediante disposición general publicada en el Boletín Oficial del Estado o diario oficial correspondiente. El artículo 53 del Reglamento especifica que las corporaciones de derecho público deben crear, modificar o suprimir ficheros a través de acuerdo de sus órganos de gobierno, publicando dichos acuerdos en el Boletín Oficial correspondiente.
En cuanto a la responsabilidad de los ficheros, el informe aclara que las Delegaciones Territoriales del colegio profesional son órganos dependientes de la Junta de Gobierno y, por tanto, no tienen personalidad jurídica propia. La responsabilidad de los ficheros creados para el ejercicio de potestades públicas corresponde al propio colegio, siendo las delegaciones meros usuarios de los ficheros.
La notificación e inscripción de los ficheros públicos deben realizarse ante la Agencia Vasca de Protección de Datos, que dará traslado al Registro General de Protección de Datos de la AEPD. Esto evita la duplicidad en la notificación y asegura que los ficheros sean públicos en todo el territorio español.
El informe también aborda la creación de distintos ficheros con contenido coincidente. Según la normativa, un fichero puede estar ubicado en múltiples ubicaciones siempre que el responsable, la tipología de datos y su finalidad sean coincidentes. Esto permite una mejor organización y acceso a los datos por parte de los diferentes órganos del colegio.
Finalmente, el informe trata sobre los ficheros de titularidad privada, que pueden crearse cuando sean necesarios para el logro de la actividad legítima de la entidad titular y se respeten las garantías establecidas por la ley. La notificación de estos ficheros debe hacerse ante la Agencia Española de Protección de Datos, sin necesidad de comunicarlos a la Agencia Vasca de Protección de Datos, ya que las comunidades autónomas no tienen competencias sobre ficheros privados.
En resumen, el informe 0298/2009 de la AEPD proporciona una guía clara sobre la clasificación, creación, notificación e inscripción de ficheros públicos y privados en el contexto de un colegio profesional, asegurando el cumplimiento de la normativa de protección de datos.