Registro Actividades y AEPD

Cómo hacer un registro de actividades

En fecha reciente, la Agencia Española de Protección de Datos, publicaba una noticia titulada NUEVA FUNCIONALIDAD DEL SERVICIO DE SOLICITUD DE COPIA DE LA INSCRIPCIÓN DE FICHEROS, que se puede leer completa aquí:

http://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2017/notas_prensa/news/2017_11_21-ides-idphp.php

Se trata de que accediendo a la sección indicada, los responsables de tratamiento puedan descargar en formato digital un contenido que puede servir de base para confeccionar el Registro de actividades exigido en el artículo 30 del Reglamento General de Protección de Datos europeo.

Eso sí, no se debe olvidar que este Registro no será obligatorio para ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.

El Registro de actividades viene a sustituir a la obligación de notificar los ficheros al Registro de la Agencia Española de Protección de Datos, de modo que a partir de finales de mayo de 2018 la obligación de notificación dejará de existir, pero será necesario confeccionar este Registro o inventario de tratamientos de datos.

El Registro no hace falta que se publique ni se envíe a ningún organismo, pero tendrá que estar a disposición de la Agencia Española de Protección de Datos u organismo equivalente que lo solicite. No obstante, las administraciones públicas sí que tienen que publicarlo, siendo accesible por medios electrónicos (en su web, por ejemplo).

La obligación incumbe –con la expeción antes mencionada- tanto a responsables de fichero como a encargados de tratamiento.

En la web de la Agencia, lo que se puede descargar es un Excel o XML con el contenido completo de las inscripciones efectuadas.

La herramienta de la Agencia FACILITA, de la que ya hemos hablado en otra ocasión, genera –entre otros documentos- la estructura y contenido del registro de actividades, por lo que puede servir de guía, al menos para entidades que no presentan riesgos en materia de tratamiento de datos de carácter personal.

¿Qué comunicar a la AEPD?

Registro Agencia Española Proteccion Datos

A lo largo de las entradas de este blog, he ido hablando de este tema, pero dado que es una de las preguntas que más me hacen a lo largo del día, le quiero dedicar hoy un artículo especial.

Se trata de una cuestión que preocupa mucho a empresarios, profesionales y responsables de otras entidades, a la hora de adaptarse a la normativa sobre protección de datos de carácter personal.

Es la siguiente:

– Pero Vanesa, ¿qué datos le tengo que comunicar yo a la Agencia Española de Protección de Datos?

A esa pregunta, muchos clientes inquietos añaden otra –sin darme tiempo para contestar la primera-, que es ésta:

– ¡¿No tendré que decirle a la Agencia los nombres y datos de todos mis clientes, verdad, Vanesa?!

Tranquilidad.

No, señor.

No tienes que decirle a la Agencia los datos de tus clientes, ni mucho menos.

Realmente los datos que la Ley te obliga a comunicarle a la Agencia son muy pocos:

1º. Tienes que comunicarle a la AEPD qué ficheros de datos de carácter personal vas a almacenar y tratar. Esto se hace mediante un formulario que se notifica al referido organismo, donde tienes que especificar tus datos profesionales de contacto (nombre, domicilio social, CIF, actividad y poco más) y el tipo de datos que manejarás. En ningún momento tienes que trasladar a la Administración información sobre tus clientes, trabajadores, proveedores, contactos…

2º. Brechas o incidentes de seguridad que afecten a datos personales: pero ojo, que esta obligación sólo te afecta si eres un proveedor de servicios de comunicaciones electrónicas. No se te aplica en el resto de los casos.

Y para de contar.

Por supuesto, que en términos más amplios, estás sujeto a lo que se conoce como deber de colaboración con la administración, de tal modo que si te abren un expediente en la Agencia y te requieren para que aportes algún datos, en principio, tendrás que hacerlo.

¡Ah, Vanesa, espera –me añaden los clientes más avispados-, te olvidas de las auditorías bienales!

Pues no, te equivocas. No me he olvidado.

Sencillamente, ni la LOPD ni su Reglamento de desarrollo exigen que envíes a la Agencia el resultado de la auditoría. Sólo se especifica que deberá estar a disposición de una posible inspección.

Cierro esta entrada comentando el tema de los Códigos Tipo, por si has oído hablar de ellos y te han dicho que se tienen que registrar en la AEPD.

Eso sí es correcto.

No obstante, los Códigos Tipo no son obligatorios y sólo los elaboras si así lo quieres. Tienen el carácter de códigos deontológicos o de buena práctica profesional.

Espero haber aclarado estas cuestiones de una vez.

Multas LOPD a Comunidades de Propietarios

Sigo conociendo –directa o indirectamente- a incrédulos y/o rebeldes que se resisten a adaptarse a la LOPD, bien porque se empeñan en que la normativa no les afecta o bien porque han decidido no darle cumplimiento pese a saber que están bajo el ámbito de aplicación de la norma.

La segunda es una opción tan respetable como la que más, pero es recomendable que el “rebelde” al menos se informe sobre qué consecuencias se pueden derivar de ella.

Y aquellos que piensan que no se ven afectados por la LOPD, una vez convencidos, siguen preguntándome aquello de: “¿pero podrían multarme? ¿y qué probabilidad hay de que me multen?”.

Poder multarte claro que pueden multarte. La probabilidad ya no puedo fijártela en porcentajes (aunque podría darte uno, como hacen en todos esos estudios inventados que circulan en internet sobre materias de lo más variopintas). Piensa que los procedimientos sancionadores de la Agencia Española de Protección de Datos suelen iniciarse por denuncia de alguien. De modo que todo dependerá de que ese alguien se haya decidido a denunciarte precisamente a ti.

La última entidad que me he planteado la cuestión en esos términos ha sido una Comunidad de Propietarios.

Su Presidente se extrañaba de estar bajo el ámbito de aplicación de la Ley  y quería saber dónde se dice que la LOPD se aplica a las Comunidades de Propietarios e incluso pedía ser ilustrado con alguna resolución real en la que se multe a una Comunidad por incumplir la Ley.

Francamente, pienso que hacen muy bien los potenciales clientes en pedir este tipo de aclaraciones. Si todos actuáramos así, se evitarían muchos timos y estafas en muchos asuntos.

Salvo algún caso extrañísimo que yo aún no he conocido, se puede decir que sí, que las Comunidades de Propietarios se tienen que adaptar a la LOPD. Todo el que, más allá del ámbito meramente doméstico, tenga en su poder y utilice datos de personas (nombres, apellidos, teléfonos, direcciones…), se tiene que adaptar a la LOPD. En las Comunidades de Propietarios es necesario usar datos personales de los propietarios de viviendas o locales para pasarles las cuotas comunitarias o convocarlos a Juntas de Propietarios, por ejemplo.

Casos reales de multas a Comunidades por incumplir la LOPD, existen. Os pongo una –entre muchas que se pueden encontrar en la web de la AEPD- que recoge el supuesto más básico de incumplimiento, como es que la comunidad no esté dada de alta en el Registro de la Agencia de Protección de Datos.

La multa en este caso fue de 601,01 euros. Hoy día hubiera sido de 900, ya que las cuantías fueron modificadas en la Ley.

Ésta es la Resolución:

http://www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/ps_2009/common/pdfs/PS-00657-2009_Resolucion-de-fecha-14-12-2009_Art-ii-culo-26-LOPD.pdf