Supresión de la obligación de notificar ficheros a la AEPD

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y su Reglamento de desarrollo, aprobado por el Real Decreto 1720/2007, de 21 de diciembre (RLOPD establecen las obligaciones que los responsables de los ficheros o tratamientos y los encargados de los tratamientos, tanto de organismos públicos como privados, han de cumplir para garantizar el derecho a la protección de los datos de carácter personal. Definen al responsable del fichero o tratamiento como la "persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realice materialmente. Podrán ser también responsables del fichero o del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados".

Por fichero se entiende "todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso" (artículo 5.1.k) del RLOPD). Por otra parte, el tratamiento se define como "cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas interconexiones y transferencias" (artículo 5.1.t) del RLOPD).

Pues bien, con motivo de la próxima aplicación del Reglamento General de Protección de Datos (RGPD), que suprime la obligación de notificar ficheros a la Agencia Española de Protección de Datos para su inscripción en el Registro General de Protección de Datos, el día 14 de mayo de 2018 dejan de estar operativos los sistemas de notificación de ficheros tanto a través del formulario NOTA como a través del envío de notificaciones en formato XML. La obligación de notificar ficheros se sustituye a partir del 25 de mayo de 2018 por elaborar un registro de actividades de tratamiento (RAAT), que deberá contener la información señalada en el artículo 30 del citado Reglamento. En el texto "El art. 30 del Registro de Actividades del RGPD", dispones de más información sobre el RAAT (Fuente de la información: AEPD; fuente de la imagen: pixabay).

El Registro de Actividades del art. 30 del RGPD

La Agencia Española de Protección de Datos (AEPD) ha publicado su registro de actividades con el objetivo de mostrar de forma transparente cómo puede elaborarse este registro en caso de tratamientos complejos o Administraciones Públicas. El espíritu de esta publicación es ayudar a otros responsables a encontrar respuesta a su búsqueda de un ejemplo de cómo cumplir con esta obligación, aunque el principio de responsabilidad activa recogido en el Reglamento General de Protección de Datos (RGPD) deja a cada responsable la decisión de cómo implementarlo.

El artículo 30 del Reglamento establece que “cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad”. La realización de este registro servirá a cada responsable o encargado para responder a lo expuesto en el considerando 82, que afirma que “todos los responsables y encargados están obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento”.

Si bien en este momento no existe ninguna previsión legal que obligue a responsables y encargados de tratamiento a publicar su registro de actividades (RAAT), con el objetivo de mostrar cómo construirlo en caso de tratamientos más complejos o para la administración pública, la AEPD ha elaborado y publicado el suyo, que refleja los tratamientos de datos de carácter personal que realiza. Para ello, ha partido del registro de ficheros que había definido a lo largo de sus 25 años de actividad, revisando y agregando aquellos tratamientos que podrían responder a la misma base jurídica, colectivo y finalidad y añadiendo, en su caso, aquellos nuevos tratamientos derivados de las obligaciones que el Reglamento General de Protección de Datos impone.

El RAAT publicado, y que responde al detalle descrito en el artículo 30.1 del RGPD, además de incorporar la base jurídica que legitima el tratamiento, pretende mostrar de modo transparente cuáles son los tratamientos. La AEPD ha descrito hasta el momento veintiuna actividades de tratamiento, muchas de las cuales pueden corresponder con las que muchos responsables realizan: “Registro de E/S”, “Gestión de RRHH”, “Gestión y control de biblioteca”, “Transparencia: acceso a la información”, “Seguridad”, “Quejas y reclamaciones”, “Gestión presupuestaria y económica”. Estas actividades pueden reconocerse en otros responsables, aunque corresponde a cada uno decidir el nivel de agregación o desagregación que impone a su registro de actividades (Fuente de la información: AEPD; fuente de la imagen: pixabay).