El Informe 0620/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda varias cuestiones relacionadas con las medidas de seguridad que debe adoptar el encargado del tratamiento de datos personales conforme a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).
En primer lugar, el informe subraya la importancia del contrato entre el responsable y el encargado del tratamiento. Este contrato debe especificar las medidas de seguridad que el encargado debe implementar, tal como establece el artículo 12.2 de la LOPD. El contrato debe constar por escrito o en una forma que permita acreditar su celebración y contenido, y debe establecer claramente que el encargado del tratamiento solo tratará los datos conforme a las instrucciones del responsable, sin utilizarlos para fines distintos ni comunicarlos a terceros.
El contrato también debe incluir las medidas de seguridad detalladas en el artículo 9 de la LOPD, que el encargado del tratamiento está obligado a implementar. Estas medidas deben ser acordadas y detalladas en el contrato, asegurando que el encargado adopte las mismas medidas de seguridad que el responsable del fichero, especialmente si este último ha adoptado medidas de seguridad de nivel alto.
El informe especifica que, si el encargado del tratamiento presta sus servicios en los locales del responsable, esta circunstancia debe constar en el documento de seguridad del responsable, y el personal del encargado debe comprometerse a cumplir con las medidas de seguridad previstas. Si el acceso es remoto y se prohíbe al encargado incorporar los datos a sistemas distintos de los del responsable, esta condición también debe reflejarse en el documento de seguridad del responsable.
En el caso de que el encargado del tratamiento preste sus servicios en sus propios locales, debe elaborar un documento de seguridad conforme al artículo 88 del Reglamento de la LOPD, identificando el fichero o tratamiento y el responsable del mismo, e incorporando las medidas de seguridad a implantar.
El informe también aborda la obligación de notificación e inscripción de los ficheros en la AEPD. Según el artículo 26 de la LOPD, toda persona o entidad que cree ficheros de datos personales debe notificarlo previamente a la AEPD. El responsable del fichero, definido en el artículo 3 d) de la LOPD, es quien debe proceder a esta notificación e inscripción. La notificación puede realizarse a través del formulario electrónico del sistema NOTA disponible en la página web de la AEPD.
En resumen, el Informe 0620/2009 enfatiza la necesidad de un contrato detallado entre el responsable y el encargado del tratamiento, que especifique las medidas de seguridad a implementar. Además, subraya la obligación del responsable de notificar e inscribir los ficheros en la AEPD, asegurando así el cumplimiento de la normativa de protección de datos.