Según el artículo 5 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, se entenderá por responsable del fichero o del tratamiento a la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente.
Por su parte, el artículo 88 regula el denominado “documento de seguridad”, y este especifica, entre otras disposiciones que “El documento de seguridad podrá ser único y comprensivo de todos los ficheros o tratamientos, o bien individualizado para cada fichero o tratamiento. También podrán elaborarse distintos documentos de seguridad agrupando ficheros o tratamientos según el sistema de tratamiento utilizado para su organización, o bien atendiendo a criterios organizativos del responsable. En todo caso, tendrá el carácter de documento interno de la organización”.
En consecuencia, a tenor de los preceptos legales y reglamentarios enunciados, el documento de seguridad podrá ser único y comprensivo de todos los ficheros o tratamientos para los dos centros de trabajo, en tanto en cuanto no tengan los mismos personalidad jurídica diferenciada, o, en su caso, a criterio de la organización, cabría establecer un documento de seguridad individualizado para cada fichero o tratamiento de datos. Igualmente, cabría elaborar distintos documentos de seguridad agrupando ficheros o tratamientos según el sistema de tratamiento utilizado para su organización, o bien atendiendo a criterios organizativos del responsable.
