¿Es obligatorio inscribir los ficheros en el Registro de la Agencia Española de Protección de Datos (AEPD)?
18 de febrero de 2018
¿Es obligatorio inscribir los ficheros en el Registro de la Agencia Española de Protección de Datos (AEPD)?
El nuevo Reglamento Europeo de Protección de Datos (en adelante RGPD), que empezará aplicarse el próximo día 25 de mayo de este mismo año, elimina la obligación de inscribir los ficheros; en su lugar, impone un registro de operaciones de tratamiento.
El nuevo RGPD sustituye la inscripción de ficheros en un registro público, por la obligación de llevar un registro de operaciones de tratamiento.
¿Por qué se elimina la obligación de inscribir los ficheros?
La Directiva 95/46/CE, del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y la LOPD (Ley 15/1999, de 13 de diciembre, de Protección de datos de carácter personal) establecieron la obligación general de notificar el tratamiento de datos personales a las autoridades de control.
Además de implicar cargas administrativas y financieras, se ha considerado que dicha obligación no contribuyó en todos los casos a mejorar la protección de los datos personales. Por ello, estas obligaciones generales de notificación indiscriminada se han eliminado y se han sustituido por procedimientos y mecanismos eficaces que se centren, en su lugar, en los tipos de operaciones de tratamiento que, por su naturaleza, alcance, contexto y fines, entrañen probablemente un alto riesgo para los derechos y libertades de las personas físicas.
La obligación general de notificar los ficheros, se ha sustituido por procedimientos y mecanismos que se centran en los tipos de operaciones de tratamiento.
Atención. Esta obligación incumbe, no solo a responsables del tratamiento, sinó también a los encargados de tratamiento, que deberán llevar un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable.
¿Qué es el registro de operaciones de tratamiento?
Responsables y encargados deberán mantener un registro de operaciones de tratamiento en el que se contenga la información que establece el RGPD:
a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
b) los fines del tratamiento;
c) una descripción de las categorías de interesados y de las categorías de datos personales;
d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en su caso, la documentación de garantías adecuadas;
f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad aplicadas.
Atención. Están exentas las organizaciones que empleen a menos de 250 trabajadores, a menos que el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos o datos relativos a condenas e infracciones penales.
Estos registros deben constar por escrito, admitiéndose formatos electrónicos y deben estar a disposición de la autoridad de control que lo solicite
¿Cómo se puede organizar este registro?
Sin duda que lo más fácil es partir de los ficheros que actualmente tienen notificados los responsables en el Registro General de Protección de Datos, detallando todas las operaciones que se realizan sobre cada conjunto estructurado de datos
Atención. Con la finalidad de facilitar a los responsables la constitución de estos registros, la AEPD permitirá que los responsables puedan obtener de forma automatizada toda la información que sobre sus propios ficheros o tratamientos hayan notificado al Registro General
Otra posibilidad es partir de las operaciones de tratamiento concretas vinculadas a una finalidad básica común de todas ellas (por ejemplo, “gestión de clientes”, “gestión contable” o “gestión de recursos humanos y nóminas”)
El RGPD configura una serie de “medidas de responsabilidad activa” aplicables a los responsables, y en ocasiones, también a los encargados de tratamiento. Entre ellas, la de llevar un registro de operaciones de tratamiento que sustituye la anterior obligación de inscribir los ficheros en el Registro de la AEPD.