El artículo 3.b de la LOPD define el fichero como todo conjunto organizado de datos de carácter personal, cualquiera que sea la forma o modalidad de su creación, almacenamiento, organización y acceso. Un fichero es el registro en el cual se van a recoger y almacenar los datos de carácter personal que integran la información de una persona. Es la colección ordenada de datos de carácter personal susceptibles de acceso, localización y tratamiento en términos más o menos sencillos según las circunstancias de cada caso.
En este sentido, el artículo 5.1.k del RLOPD considera como fichero a todo conjunto organizado de datos de carácter personal que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que sea la forma o modalidad de su creación, almacenamiento, organización y acceso.
En definitiva, el concepto de fichero como conjunto de datos que requiere un mínimo de ordenación o estructuración que se producirá bien por su organización en un fichero manual, bien en un tratamiento informático.
Según la definición del concepto de fichero, se pueden distinguir tres tipos de ficheros:
- Los automatizados.
- Los no automatizados, o ficheros manuales.
- Los ficheros parcialmente automatizados o mixtos, que constan de dos partes: una informatizada y otra manual.
¿Qué son los ficheros automatizados?
Son aquellos ficheros que guardan los datos de carácter personal en soportes informatizados, a los que se accede, a su vez, mediante programas o sistemas informáticos. Esta facilidad y potencia de acceso que permite la tecnología informática ha dado lugar a la actual legislación de protección de datos personales, que no era necesaria cuando el acceso a esos datos se efectuaba manualmente. Una gran parte de la actual legislación y normativa al respecto está dedicada a este tipo de ficheros.
¿Qué son los ficheros no automatizados o manuales?
El artículo 5.1.n del RLOPD los define como todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquel centralizado, descentralizado o repartido de forma funcional o geográfica.
Es decir, que para considerar un fichero como no automatizado o manual, la documentación en papel tiene que estar organizada de forma estructurada, basada en criterios relativos a personas físicas identificadas o identificables, es decir, que se pueda acceder a la misma de tal manera que se puedan conocer los datos personales obrantes en papel.
En esta definición el RLOPD sigue la definición de fichero contenida en la Directiva 95/46/CE que define el fichero de datos personales como: “(…) todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica (…)” Asimismo, los tribunales españoles se han manifestado en este sentido.
Así, según la Sentencia de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 17 de marzo de 2006, puede considerarse un fichero como: “(…) todo fichero de datos exige para tener esta consideración una estructura u organización con arreglo a criterios determinados. El mero cúmulo de datos sin criterio alguno no podrá tener la consideración de fichero a los efectos de la ley (…)”.
Aunque pueda parecer que hoy en día son pocos los ficheros de documentos que no estén informatizados, ya que en la actualidad cualquier dato se registra mediante ordenadores personales con programas de tratamiento de textos, son muchos los casos en que estos datos personales están grabados en soportes no informáticos.
Ejemplos de este tipo de ficheros puede ser microfilms, cintas analógicas de audio o video, documentos impresos antiguos, radiografías o escáneres en historiales clínicos, o los expedientes de los trabajadores. Cualquiera de esos soportes citados, u otro que permita grabar información, que esté archivado de una forma estructurada y cuyo acceso no suponga un esfuerzo desproporcionado entraría en la clasificación de fichero no automatizado.
¿Qué son los ficheros parcialmente automatizados o mixtos?
Este tipo de ficheros va a mezclar un acceso informatizado e, incluso, una grabación informatizada de una parte de los datos, con un almacenamiento de datos en soportes no informáticos.
Un ejemplo de este tipo de ficheros va a ser el fichero de nóminas o de personal, ya que va a contener una parte de sus datos en un sistema automatizado (programa de creación de nóminas) y otra parte de va a estar en soportes no informatizados (las nóminas y toda aquella documentación en papel relacionada con este tipo de actividad).
Por lo tanto, este tipo de ficheros van a contar con una parte de los datos personales en soporte informático y otra parte en soporte papel, permitiendo que la localización de los datos de carácter personal en soporte no informatizado se realice mediante programación, para su posterior recuperación de un archivo manual con el fin de ser visualizados o actualizados.
La legislación aplicable a este tipo de ficheros es la propia de los ficheros automatizados y la de los manuales, cada una aplicada a la parte del fichero correspondiente.
¿Cuál es la función de la figura del responsable del fichero?
De acuerdo con los artículos 3.d de la LOPD y 5.1.q del RLOPD, se puede definir al responsable del fichero o del tratamiento de datos personales como la persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente.
El responsable del fichero tiene encomendadas diversas obligaciones, entre ellas, la fundamental es declarar los ficheros de datos personales ante la AEPD.
Por lo tanto, a la hora de determinar quién debe notificar la creación de un fichero, se ha de diferenciar entre:
- Los ficheros de titularidad pública: en los que el responsable es el órgano administrativo al que pertenezcan los ficheros de datos.
- Los ficheros de titularidad privada: en los que el responsable es la entidad privada a la que pertenezcan los ficheros de datos.
¿En qué consiste la Diversidad de responsables de un mismo fichero?
En este caso, y según establece el artículo 57 de RLOPD, cuando se tenga previsto crear un fichero del que resulten responsables varias personas o entidades simultáneamente, cada una de ellas deberá notificarse, a fin de proceder a su inscripción en el Registro General de Protección de Datos y, en su caso, en los Registros de Ficheros creados por las autoridades de control de las comunidades autónomas.