Reglamento General de Protección de Datos 2

Reglamento General de Protección de Datos 2

Capítulo 2: La inscripción de ficheros

(Si quieres leer el Capítulo 1, pincha aquí)

En el Capítulo 1, analizamos algunas circunstancias generales de la futura norma (derogación de la normativa vigente, aplicación a partir de 2 años desde su entrada en vigor…), así como el incremento de las posible sanciones en caso de incumplimiento.

Continuamos con el análisis del borrador del Reglamento General de Protección de Datos abordando la nueva regulación de la inscripción, gestión y control de los ficheros en los que se almacenan los datos personales.

a)            Situación actual

Esta es, quizá, la obligación que más trascendió en su día al poner en marcha la protección de datos en España.

Gran cantidad de empresas empezó a inscribir sus ficheros como si no hubiese mañana, pensando que así ya cumplían con esa ley que anunciaba multas de hasta 100 millones de pesetas.

Desafortunadamente, eso sólo era el primer paso para cumplir con la norma.

La inscripción de los ficheros consiste en un trámite burocrático por el que las empresas notifican a la Agencia Española de Protección de Datos los ficheros, o mejor dicho, los procesos de tratamiento de datos personales existentes en la organización, indicando la identidad de la entidad responsable del fichero, el domicilio para el ejercicio de los derechos, la identidad del encargado de tratamiento (si lo hubiese), los tipos de datos contenidos en el fichero, el origen de los mismos, el nivel de seguridad aplicable, la finalidad del tratamiento, y, en su caso, las cesiones o transferencias internacionales que se prevén.

Es decir, no se notifica la existencia de cada tabla Excel, Access, o de cada carpeta AZ, sino que todas las bases de datos (en soporte papel o informático) se agrupan por contenido, finalidad, usos y nivel de seguridad y se notifican su existencia a la AEPD. La AEPD confirma la inscripción a través de una comunicación en la que nos informa del código del fichero y lo publica en el Registro General de Protección de Datos.

En algunos países de la UE este procedimiento tiene un coste nada despreciable (por ejemplo, hasta 150 euros por determinados ficheros en Portugal), pero en España es gratuito.

b)           Situación futura

Si no se cambia este punto del borrador (art. 28), desaparecería el trámite de notificación a la AEPD del fichero en cuestión, pero a cambio se exige un mayor control interno y una documentación más concreta sobre cada “operación de tratamiento” de datos personales (esperemos que haya flexibilidad sobre este concepto).

En concreto, la documentación de la operación de tratamiento, que podrá llegar a tener unos modelos normalizados por la Comisión, deberá contener, como mínimo, los siguientes puntos:

  • el nombre y los datos de contacto del responsable del tratamiento (co-responsable, co-encargado, y representante, si lo hubiera);
  • el nombre y los datos de contacto del delegado de protección de datos, si lo hubiera;
  • los fines del tratamiento;
  • categorías de interesados y categorías de datos personales;
  • los destinatarios de los datos personales;
  • en su caso, las transferencias de datos a un tercer país fuera de la UE, incluido el nombre de dicho tercer país y la documentación asociada a la transferencia;
  • plazos de conservación de las diferentes categorías de datos;
  • la descripción de los mecanismos de verificación de la eficacia de las medidas que se hayan tomado para cumplir con la norma. 

En general, es muy similar a la declaración actual de los ficheros, con alguna diferencia significativa, como el pronunciamiento sobre el plazo de conservación de los datos, pero sin la necesidad de tener que notificárselo a la AEPD.

En todo caso, esta obligación no afectará a empresas con menos de 250 trabajadores, siempre que el tratamiento de los datos no sea una de sus actividades principales; es decir, por ejemplo, una fabrica de venta al por mayor con menos de 250 trabajadores no estará obligada a documentar estas “operaciones de tratamiento” de datos personales.

 

Áudea Seguridad de la Información

José Carlos Moratilla, Responsable Departamento Legal

www.audea.com

www.cursosticseguridad.com