El informe jurídico de la AEPD (Agencia Española de Protección de Datos) con número 0333/2012 aborda la posición jurídica de la Gerencia Informática de la Seguridad Social (GISS) en relación con los servicios informáticos que presta a otros órganos del Ministerio de Empleo y Seguridad Social, Entidades Gestoras y Servicios Comunes de la Seguridad Social. La consulta se centra en determinar si la GISS es una encargada del tratamiento de datos personales conforme a la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y si, por tanto, debe suscribir un contrato de encargo de tratamiento.
El informe comienza definiendo los conceptos clave: datos personales, tratamiento de datos y responsables del tratamiento. Los datos personales son cualquier información concerniente a personas físicas identificadas o identificables. Los órganos y organismos del Ministerio de Empleo y Seguridad Social que utilizan los servicios de la GISS son los responsables del tratamiento, ya que deciden sobre la finalidad, uso y tratamiento de los datos. La GISS, por su parte, actúa como encargada del tratamiento cuando presta servicios informáticos a estos organismos, siempre que no decida sobre la finalidad, uso o tratamiento de los datos.
La LOPD y su normativa de desarrollo establecen que el encargado del tratamiento debe adoptar medidas necesarias para garantizar la seguridad de los datos y será responsable a efectos sancionadores. El artículo 12 de la LOPD especifica que el acceso de un tercero a los datos para prestar un servicio al responsable del tratamiento no se considera una cesión de datos, siempre que se cumplan ciertos requisitos.
El informe analiza los requisitos para que la relación entre el responsable y el encargado del tratamiento sea válida. Estos incluyen que el acceso a los datos se realice con la exclusiva finalidad de prestar un servicio al responsable del fichero y que dicha relación esté contractualmente establecida. El contrato debe constar por escrito y establecer que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable, sin aplicarlos o utilizarlos para fines distintos a los previstos en el contrato.
El informe concluye que, en el caso de la GISS, la atribución de competencias y funciones mediante un Real Decreto ya cumple con los requisitos establecidos en el artículo 12.2 de la LOPD. La GISS presta servicios informáticos a otros órganos u organismos del Ministerio de Empleo y Seguridad Social en virtud de una normativa que delimita sus competencias y funciones, lo que implica que no es necesario suscribir contratos específicos para cada órgano u organismo. La GISS debe ajustarse a las directrices e instrucciones de los órganos directivos y ejercer sus competencias para los fines previstos, sin poder destinar los datos a otros fines distintos.
En cuanto a las medidas de seguridad, el informe señala que en el ámbito de la Seguridad Social se aplica el Esquema Nacional de Seguridad, que determina las medidas de seguridad a implantar por las Administraciones Públicas. Por tanto, no es necesario un contrato específico que reproduzca estos términos normativos.
En resumen, el informe jurídico de la AEPD concluye que la GISS puede actuar como encargada del tratamiento de datos personales sin necesidad de suscribir contratos específicos, siempre que cumpla con las competencias y funciones atribuidas por la normativa vigente y se ajuste a las directrices e instrucciones de los órganos directivos.