El Informe 0361/2010 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda dos cuestiones principales relacionadas con la conservación y manejo de documentos que acreditan el cumplimiento del deber de información y la obtención del consentimiento de los interesados, conforme a la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.
### Primera Cuestión: Conservación de Documentos
El informe analiza si es suficiente y adecuado conservar los documentos que prueban el cumplimiento del deber de información y la obtención del consentimiento mediante su escaneo, sustituyendo los documentos físicos por un soporte informático. Según el Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por Real Decreto 1720/2007, el responsable del tratamiento debe poder acreditar el consentimiento y el cumplimiento del deber de información por cualquier medio de prueba admisible en derecho.
El artículo 18 del Reglamento, que fue anulado por una sentencia del Tribunal Supremo, establecía que el responsable del fichero debía conservar el soporte en el que conste el cumplimiento del deber de informar, permitiendo el uso de medios informáticos o telemáticos, como el escaneo de documentación en papel. Sin embargo, la sentencia del Tribunal Supremo determinó que la Ley reconoce la libertad de forma para la prueba del consentimiento y el cumplimiento del deber de información, anulando así el artículo 18.
A pesar de la anulación, el informe concluye que el escaneado de documentos es un medio válido y apropiado de prueba, siempre y cuando se garantice que no ha habido alteración de los soportes originales. El responsable del tratamiento debe adoptar medidas técnicas y organizativas que garanticen la seguridad de los datos, evitando su alteración, pérdida o acceso no autorizado.
### Segunda Cuestión: Medidas de Seguridad al Encargar el Escaneo a un Tercero
El informe también aborda las medidas que debe adoptar el responsable del fichero para garantizar que no se produce una alteración de los documentos cuando se encarga a un tercero el escaneo y la destrucción de los documentos en papel. Para que esta relación se ajuste a la Ley Orgánica 15/1999, es necesario que el acceso a los datos por el tercero se realice con la exclusiva finalidad de prestar un servicio al responsable del fichero.
El contrato entre el responsable y el encargado del tratamiento debe estar regulado por escrito o en alguna otra forma que permita acreditar su celebración y contenido. Este contrato debe establecer expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable, sin aplicarlos o utilizarlos con fin distinto al que figure en el contrato.
El encargado del tratamiento debe adoptar las mismas medidas de seguridad que el responsable del fichero, y el contrato debe definir las medidas de seguridad concretas. El responsable del fichero tiene un deber de diligencia para garantizar la seguridad de los datos, tanto antes como durante la vigencia del contrato. Aunque las certificaciones de protección y destrucción de documentación no son exigibles por la normativa, el responsable puede imponerlas como medidas adicionales de control.
Finalmente, el informe subraya que al término de la relación contractual, los datos deben ser destruidos o devueltos al responsable del tratamiento, y cualquier incumplimiento por parte del encargado del tratamiento lo convertirá en responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.
En resumen, el informe 0361/2010 de la AEPD establece que el escaneo de documentos es un medio válido para acreditar el cumplimiento del deber de información y la obtención del consentimiento, siempre que se garantice la integridad y seguridad de los datos. Además, detalla las medidas necesarias para asegurar la protección de los datos cuando se encarga el escaneo a un tercero, subrayando la importancia de un contrato claro y la adopción de medidas de seguridad adecuadas.