Inscribir ficheros en la Agencia Española de Protección de Datos no significa cumplir la LOPD

El nuevo RGPD UE 679/2016 no contempla la obligación de comunicar los ficheros de datos a la Autoridad de control.

A menudo nos encontramos con empresas (sobre todo pequeñas) que cuando se publicó la actual Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, pensaron que las obligaciones se reducen a tener los ficheros de datos personales inscritos ante la Agencia Española de Protección de Datos y tener un documento de seguridad a modo de “manual de instrucciones” que se limita a recoger polvo en una estantería.

Nada más lejos de la realidad.

La obligación de inscribir ficheros obedecía a motivos de supervisión -que no de fiscalización- sobre el volumen de empresas de nuestro país que se preocupaban por el cumplimiento de esta norma. Digamos que el registro de ficheros era el “síntoma” que permitía medir el nivel de penetración de la LOPD en el tejido empresarial español.

La consulta de los ficheros inscritos por cualquier entidad, ya sea pública o privada, nos permite igualmente identificar los tratamientos e incluso el perfil de quién los había declarado: no en vano muchas inscripciones se limitaban a trasladar el nombre y descripción de ficheros físicos, sus aplicaciones (MD4591dir por poner un ejemplo, en lugar de Recursos Humanos o Clientes).

La nomenclatura de los ficheros suele ser siempre la misma y en muchos casos coincidente: Clientes, Proveedores, Recursos Humanos, Contactos, etc). Esta estructura permite además definir claramente los tratamientos que tiene una entidad.

Cuál ha sido nuestra sorpresa, cuando el nuevo Reglamento UE 2016/679 de protección de datos para la Unión Europea recientemente aprobado y que entrará en pleno funcionamiento en mayo de 2018 suprime esta obligación formal.

Para muchos ha sido un alivio, pero ello no implica que desaparezca la obligación de identificar los tratamientos sobre los que habrán de aplicarse las correspondientes medidas de seguridad.

El artículo 30 del nuevo Reglamento establece:

Cada  responsable  y,  en  su  caso,  su  representante  llevarán  un  registro  de  las  actividades  de  tratamiento  efectuadas bajo  su  responsabilidad.  Dicho  registro  deberá  contener  toda  la  información  indicada  a  continuación:

  • el  nombre  y  los  datos  de  contacto  del  responsable  y,  en  su  caso,  del  corresponsable,  del  representante  del responsable,  y  del  delegado  de  protección  de  datos;
  • los  fines  del  tratamiento;
  • una  descripción  de  las  categorías  de  interesados  y  de  las  categorías  de  datos  personales;
  • las  categorías  de  destinatarios  a  quienes  se  comunicaron  o  comunicarán  los  datos  personales,  incluidos  los  destinatarios  en  terceros  países  u  organizaciones  internacionales;
  • en  su  caso,  las  transferencias  de  datos  personales  a  un  tercer  país  o  una  organización  internacional,  incluida  la  identificación  de  dicho  tercer  país  u  organización  internacional  y,  en  el  caso  de  las  transferencias  indicadas  en  el artículo  49,  apartado  1,  párrafo  segundo,  la  documentación  de  garantías  adecuadas;
  • 2. cuando  sea  posible,  los  plazos  previstos  para  la  supresión  de  las  diferentes  categorías  de  datos; cuando  sea  posible,  una  descripción  general  de  las  medidas  técnicas  y  organizativas  de  seguridad  a  que  se  refiere  el artículo  32,  apartado  1.

Cada  encargado  y,  en  su  caso,  el  representante  del  encargado,  llevará  un  registro  de  todas  las  categorías  de actividades  de  tratamiento  efectuadas  por  cuenta  de  un  responsable  que  contenga:

  • el  nombre  y  los  datos  de  contacto  del  encargado  o  encargados  y  de  cada  responsable  por  cuenta  del  cual  actúe  el encargado,  y,  en  su  caso,  del  representante  del  responsable  o  del  encargado,  y  del  delegado  de  protección  de  datos;
  • las  categorías  de  tratamientos  efectuados  por  cuenta  de  cada  responsable;
  • en  su  caso,  las  transferencias  de  datos  personales  a  un  tercer  país  u  organización  internacional,  incluida  la  identificación  de  dicho  tercer  país  u  organización  internacional  y,  en  el  caso  de  las  transferencias  indicadas  en  el  artículo  49, apartado  1,  párrafo  segundo,  la  documentación  de  garantías  adecuadas;
  • en  su  caso,  las  transferencias  de  datos  personales  a  un  tercer  país  o  una  organización  internacional,  incluida  la  identificación  de  dicho  tercer  país  u  organización  internacional  y,  en  el  caso  de  las  transferencias  indicadas  en  el artículo  49,  apartado  1,  párrafo  segundo,  la  documentación  de  garantías  adecuadas;
  • cuando  sea  posible,  los  plazos  previstos  para  la  supresión  de  las  diferentes  categorías  de  datos;
  • cuando  sea  posible,  una  descripción  general  de  las  medidas  técnicas  y  organizativas  de  seguridad  a  que  se  refiere  el artículo  32,  apartado  1.

Por otra parte, cada  encargado  y,  en  su  caso,  el  representante  del  encargado,  llevará  un  registro  de  todas  las  categorías  de actividades  de  tratamiento  efectuadas  por  cuenta  de  un  responsable  que  contenga:

  • el  nombre  y  los  datos  de  contacto  del  encargado  o  encargados  y  de  cada  responsable  por  cuenta  del  cual  actúe  el encargado,  y,  en  su  caso,  del  representante  del  responsable  o  del  encargado,  y  del  delegado  de  protección  de  datos
  • las  categorías  de  tratamientos  efectuados  por  cuenta  de  cada  responsable;
  • en  su  caso,  las  transferencias  de  datos  personales  a  un  tercer  país  u  organización  internacional,  incluida  la  identificación  de  dicho  tercer  país  u  organización  internacional  y,  en  el  caso  de  las  transferencias  indicadas  en  el  artículo  49, apartado  1,  párrafo  segundo,  la  documentación  de  garantías  adecuadas;
  • cuando  sea  posible,  una  descripción  general  de  las  medidas  técnicas  y  organizativas  de  seguridad  a  que  se  refiere  el artículo  30,  apartado  1. 3. 4. Los  registros  a  que  se  refieren

En empresas de menos de 250 empleados estas obligaciones no serán necesarias si no se realizará determinados tratamientos pero a nuestro juicio, la mejor forma de garantizar el cumplimiento de la Ley es identificar los tratamientos y adoptar las medidas técnicas y organizativas que sean necesarias para evitar las pérdidas de confidencialidad.

Conoce nuestros servicios en
Protección de Datos y Derecho Digital

H&A

H&A

Contenidos relacionados

Más en derecho de las TIC

Comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Responsable del tratamiento: HERRERO & ASOCIADOS, S.L.

Finalidad del tratamiento: Publicar su comentario sobre la noticia indicada.

Derechos de los interesados: Puede ejercer los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento, mediante un escrito, acompañado de copia de documento que le identifique dirigiéndose al correo dpo@herrero.es.

Para más información visita nuestra Política de Privacidad.

*Los campos marcados con el asterisco son obligatorios. En caso de no cumplimentarlos no podremos contestar tu consulta.

No hay comentarios