El Informe 0503/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda diversas cuestiones relacionadas con el tratamiento de datos de carácter personal por parte de funcionarios de un departamento de la Consejería de Medioambiente, en el marco de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y su Reglamento de desarrollo, aprobado por el Real Decreto 1720/2007.
En primer lugar, la consulta se centra en la inscripción en el Registro General de Protección de Datos de un fichero público de denuncias medioambientales. La AEPD señala que este fichero, creado mediante una Orden del Consejero de Medioambiente, no aparece inscrito en el registro, lo cual es una infracción de la LOPD. Según el artículo 39.2 a) de la LOPD y el artículo 55 del Real Decreto 1720/2007, las Administraciones Públicas tienen la obligación de inscribir sus ficheros de datos personales en el Registro General de Protección de Datos dentro de los treinta días siguientes a su creación. La AEPD recuerda que el incumplimiento de esta obligación está tipificado como infracción en el artículo 43 de la LOPD.
En segundo lugar, la consulta se refiere a la autorización de los funcionarios superiores jerárquicos para tratar los datos del fichero de denuncias y si estos funcionarios pueden considerarse terceros o usuarios del fichero. La AEPD aclara que la Consejería de Medio Ambiente es la responsable del fichero, según el artículo 3 d) de la LOPD, y que la finalidad del fichero es el ejercicio de potestades de derecho público. Los funcionarios adscritos al órgano administrativo que tramitan las denuncias acceden y usan los datos personales en virtud de su relación administrativa con la Consejería, por lo que no necesitan el consentimiento de los afectados, conforme al artículo 6.2 de la LOPD. Estos funcionarios no se consideran encargados del tratamiento ni terceros, sino usuarios del fichero, siempre y cuando actúen dentro del ámbito de sus competencias y no utilicen los datos para finalidades incompatibles.
Finalmente, el informe detalla las medidas de seguridad que deben implementarse para el tratamiento de datos personales. Según el Reglamento de desarrollo de la LOPD, se deben establecer mecanismos de control de acceso, identificación y autenticación de usuarios, así como un registro de accesos, especialmente cuando se trate de datos sensibles como los de salud. Estas medidas deben recogerse en un documento de seguridad, que será de obligado cumplimiento para el personal con acceso a los sistemas de información. El incumplimiento de estas medidas puede conllevar sanciones, por lo que es crucial que las Administraciones Públicas cumplan estrictamente con la normativa vigente en materia de protección de datos.