En la labor de control, dentro del ámbito de aplicación de la coordinación de actividades empresariales con las empresas concurrentes, se generan una gran cantidad de registros. Estos registros se almacenan en ficheros o bases de datos, y en otras ocasiones, con el uso de aplicaciones informáticas diseñadas para la gestión de la coordinación, se alojan en servidores externos. Para poder entender cómo aplica la Ley Orgánica de Protección de Datos (LOPD) en esta labor de «almacenamiento de datos» se ha de identificar que se entiende por «fichero de datos» en términos legales.
Coloquialmente se identifica el concepto de “fichero” o “base de datos” con los programas o aplicaciones informáticas existentes que ofrecen ese tipo de prestación. Sin embargo la definición legal es mucho más amplia y desborda esta clase de software. Por tanto, el objeto al que se aplica la LOPD no se identifica con un programa informático determinado, definiéndolo como: “k. Fichero: Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. (Art. 5 RDLOPD)”. Es decir, para que se trate de un fichero sujeto a la LOPD debe permitir el acceso a los datos «con arreglo a criterios determinados», por lo tanto debe contar con algún criterio de ordenación que permita recuperar datos de una persona determinada: Apellidos nombre, número o código de cliente o factura, fecha, domicilio, teléfono…
El concepto de fichero no sólo se aplica a programas informáticos. La LOPD se aplica a los datos personales incluidos en soportes no informáticos cuando puedan ser objeto de tratamiento. Es lo que se conoce como «fichero no automatizado: todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica. (Art. 5.1.n) RDLOP)» Es decir, hace referencia a archivos organizados en soporte papel, grabaciones audio-video. Concretizando, la agencia de protección de datos indica que, el elemento determinante para identificar un fichero o un tratamiento no automatizado sometido a la legislación sobre protección de datos reside en que se trate de información estructurada en la que resulte posible recuperar los registros relativos a un individuo determinado. El mero cúmulo de datos sin criterio alguno no podrá tener la consideración de fichero a los efectos de la ley. (…)
Por otra parte, para que una actuación manual sobre datos personales (recogida, grabación, conservación, elaboración, modificación, bloqueo…) tenga la consideración de «tratamiento de datos personales» sujeto al sistema de protección de la Ley Orgánica 15/1999 es necesario que dichos datos estén contenidos o destinados a ser incluidos en un fichero, esto es, en un conjunto estructurado u organizado de datos con arreglo a criterios determinados. Si no es así, el tratamiento manual de datos personales quedará fuera del ámbito de aplicación de la ley, no será un «tratamiento de datos personales» según el concepto normativo que la ley proporciona. En relación a este precepto la LOPD establece el deber de notificar los ficheros:
«1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos. 3. Deberán comunicarse a la Agencia de Protección de Datos los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación. (Art. 26 LOPD)»
La Agencia Española de Protección de Datos dispone en su website de un sistema para la inscripción de ficheros denominado NOTA, que facilita por medio de modelos predefinidos la inscripción de los ficheros más comunes como los de personal o clientes.