¿Qué comunicar a la AEPD?

Registro Agencia Española Proteccion Datos

A lo largo de las entradas de este blog, he ido hablando de este tema, pero dado que es una de las preguntas que más me hacen a lo largo del día, le quiero dedicar hoy un artículo especial.

Se trata de una cuestión que preocupa mucho a empresarios, profesionales y responsables de otras entidades, a la hora de adaptarse a la normativa sobre protección de datos de carácter personal.

Es la siguiente:

– Pero Vanesa, ¿qué datos le tengo que comunicar yo a la Agencia Española de Protección de Datos?

A esa pregunta, muchos clientes inquietos añaden otra –sin darme tiempo para contestar la primera-, que es ésta:

– ¡¿No tendré que decirle a la Agencia los nombres y datos de todos mis clientes, verdad, Vanesa?!

Tranquilidad.

No, señor.

No tienes que decirle a la Agencia los datos de tus clientes, ni mucho menos.

Realmente los datos que la Ley te obliga a comunicarle a la Agencia son muy pocos:

1º. Tienes que comunicarle a la AEPD qué ficheros de datos de carácter personal vas a almacenar y tratar. Esto se hace mediante un formulario que se notifica al referido organismo, donde tienes que especificar tus datos profesionales de contacto (nombre, domicilio social, CIF, actividad y poco más) y el tipo de datos que manejarás. En ningún momento tienes que trasladar a la Administración información sobre tus clientes, trabajadores, proveedores, contactos…

2º. Brechas o incidentes de seguridad que afecten a datos personales: pero ojo, que esta obligación sólo te afecta si eres un proveedor de servicios de comunicaciones electrónicas. No se te aplica en el resto de los casos.

Y para de contar.

Por supuesto, que en términos más amplios, estás sujeto a lo que se conoce como deber de colaboración con la administración, de tal modo que si te abren un expediente en la Agencia y te requieren para que aportes algún datos, en principio, tendrás que hacerlo.

¡Ah, Vanesa, espera –me añaden los clientes más avispados-, te olvidas de las auditorías bienales!

Pues no, te equivocas. No me he olvidado.

Sencillamente, ni la LOPD ni su Reglamento de desarrollo exigen que envíes a la Agencia el resultado de la auditoría. Sólo se especifica que deberá estar a disposición de una posible inspección.

Cierro esta entrada comentando el tema de los Códigos Tipo, por si has oído hablar de ellos y te han dicho que se tienen que registrar en la AEPD.

Eso sí es correcto.

No obstante, los Códigos Tipo no son obligatorios y sólo los elaboras si así lo quieres. Tienen el carácter de códigos deontológicos o de buena práctica profesional.

Espero haber aclarado estas cuestiones de una vez.

Registro General Proteccion Datos

Es curioso que la gran mayoría de la gente desconozca por completo la existencia del Registro General de Protección de Datos. Es éste un registro de la Agencia Española de Protección de Datos donde todos los profesionales, empresas, entidades y administraciones públicas sujetas a la normativa de protección de datos, tienen que estar obligatoriamente inscritos, pues antes de empezar su actividad han tenido que notificar qué ficheros de datos van a tratar para prestar sus servicios.

Gran sorpresa es la reacción habitual que capto cada vez que se lo explico a mis clientes.

Además, se trata de un registro de consulta totalmente gratuita y fácilmente accesible, al que cualquiera con un ordenador y una conexión a internet puede entrar.

No hay más que pinchar en el siguiente enlace y rellenar nombre o CIF del obligado por la norma, si lo que buscas es una Administración u organismo público:

https://www.agpd.es/portalwebAGPD/ficheros_inscritos/titularidad_publica/busqueda_general/index-ides-idphp.php

O en este otro, si lo que buscas una entidad privada (profesionales, empresas, asociaciones, fundaciones, etc… de naturaleza no pública):

https://www.agpd.es/portalwebAGPD/ficheros_inscritos/titularidad_privada/index-ides-idphp.php

¿Y de qué me sirve acceder a este registro?

Básicamente para conocer si la empresa, entidad, administración o profesional ha dado cumplimiento a una de las obligaciones principales de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

¿Consultando este registro ya puedes tener certeza de que la empresa (u otro) está plenamente adaptada a la LOPD y cumple todas sus obligaciones?

Rotundamente, NO.

Estar inscrito en el Registro es buena señal y un indicio de que la empresa cumple, pero no quiere decir que cumpla con todas sus obligaciones. De hecho, así lo advierte la Agencia Española de Protección de Datos en su propia web, usando estos clarísimos términos:

En todo caso, la inscripción de un fichero en el RGPD, únicamente acredita que se ha cumplido con la obligación de notificación dispuesta en la Ley Orgánica 15/1999, sin que de esta inscripción se pueda desprender el cumplimiento por parte del responsable del fichero del resto de las obligaciones previstas en la Ley y demás disposiciones reglamentarias.

Las Agencias de Protección de Datos no han establecido ningún sistema de verificación del cumplimiento de la LOPD por parte de los sujetos obligados por la norma. Sólo en caso de tener una inspección y/o un posterior procedimiento sancionador, se comprobará si el sujeto cumple todas las prescripciones legales.

Por otro lado, la otra función importante que tiene el Registro de la Agencia es hacer posible el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, ya que los sujetos inscritos han tenido que facilitar unos datos de contacto (domicilio, e-mail, teléfono y fax), que podrás usar si quieres ejercitar estos derechos, ya sea enviando un e-mail, un fax, un burofax, telegrama, etc…

Pienso (y lo pensamos la mayoría de los que nos dedicamos a esto) que el Registro de la Agencia es un mal registro.

Claro, como que es gratuito.

Pues sí, es totalmente gratuito y eso ya te puede dar una idea de por dónde vamos.

Nada de lo que allí se inscribe se comprueba, ni se contrasta. Yo puedo inscribirme diciendo que soy Lola Flores, que me dedico a la actividad sanitaria y que vivo en el Alcorcón.

Puedo decir que mis ficheros de datos tienen la finalidad de gestionar el exterminio de la casta política, o de organizar escraches contra Rajoy, o de tratar datos para constituir una asociación de blanqueadores de dinero profesionales…

Ningún funcionario del Registro de la Agencia se va a molestar en leer lo que allí diga.

Se limitan a comprobar si el formulario enviado es el oficial y si se han cumplimentado los campos obligatorios y no hay contradicciones.

Raro es que  miren más allá.

No obstante, también debo decir que sí noto más interés cuando se solicita la inscripción de ficheros de entidades públicas. Ahí sí que he visto requerimientos de la Agencia que pedían aclaraciones o rectificaciones sobre detalles del formulario.

Pero fuera de esos casos, la supervisión es mínima.

Eso sí: si tu obligación es estar inscrito y no lo estás, la multa está garantizada. Y hablamos como mínimo de sanción leve, con multas comprendidas entre los 900 y los 40.000 euros.

No está mal.

 

 

 

 

Notificar ficheros AEPD


Cuestiones prácticas sobre LOPD.

¿Qué es notificar un fichero, en materia de protección de datos?

¿Cómo lo notifico?

Notificar un fichero, en materia de protección de datos, es una obligación que impone –en el caso de que seas un profesional, empresario, o tengas una Asociación, Fundación, etc…(ficheros privados)- el artículo 26.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter personal.

Antes de iniciar tu actividad, según dicha norma, has de notificar tus ficheros ante el Registro de la Agencia Española de Protección de Datos (o la que corresponda a tu Comunidad, si cuenta con Agencia propia).

Por si te lo preguntas: no, aquí en Andalucía aún no tenemos Agencia propia (si bien ya se ha previsto su creación), así que tendrás que dirigirte a la Agencia Española de Protección de Datos.

La primera pregunta que, tras esta explicación, me hacen el 95% por ciento de mis clientes en tono irritado, es:

“¿¡Y entonces ahora le tengo que pasar a la Agencia los datos de mis clientes, de mis trabajadores, de mis proveedores y todos los datos que manejo?!”.

Y la siguiente preguntan que me hacen, normalmente sin darme tiempo a responder a la primera es:

“¡¿Y encima ahora ya estoy fichado por la Agencia?!”.

Pues no y no.

La respuesta a ambas preguntas es negativa.

Notificar los ficheros consiste en cumplimentar un formulario oficial que se encuentra en la propia web de la Agencia y enviárselo firmado a la misma (se puede hacer mediante firma electrónica, entre otros medios).

La Agencia no te va a pedir los datos que tienes de tus clientes ni de tus trabajadores, ni nada por el estilo, sino los que se piden en el formulario:

      – Tus datos o los de tu negocio, consistentes en nombre completo, dirección, actividad, NIF, teléfono, e-mail, fax…

      – Los datos de los prestadores de servicios que tengas contratados y que acceden a datos de tus trabajadores o tus clientes (por ejemplo: tu asesor fiscal, o laboral).

       –De dónde provienen esos datos: de tus clientes, trabajadores, proveedores, arrendatarios, etc…

     –Qué tipos de datos son: si recoges nombres, apellidos, teléfonos, firmas, DNIs, datos de salud, de religión, de ideología, etc…

       –A qué tipo de colectivos se los puedes ceder.

       –Si son datos en soporte papel o en soporte digital.

      – Si son datos de nivel alto, medio o básico.

     –  Si haces o no transferencia de datos a otros países.

      – Etc…

Son, como puedes ver, descripciones genéricas en casi todos los supuestos. No tienes que comunicarle a la Agencia los nombres, apellidos, teléfonos, y otros de tus clientes, sino sólo qué tipo de datos tienes sobre ellos.

Y luego está la cuestión de “estar fichado” por la Agencia por haber notificado los ficheros, creencia muy extendida entre profesionales y empresarios.

Como diría mi amigo Antonio el de la salsa:

Hola, soy coco y hoy vamos a ver la diferencia entre el registro de delincuentes de la policía y el registro de la Agencia Española de Protección de Datos.

Bromas aparte, la Agencia no es un cuerpo ni una fuerza de seguridad del Estado, sino un simple órgano administrativo. No fichan a nadie. La Agencia no se dedica  a perseguir ni a vigilar a quienes se han dado de alta en su registro. Todo lo contrario: si se ha iniciado o se va a iniciar un expediente sancionador en esta materia contra ti, lo primero que pueden hacer es comprobar si has hecho la notificación.

Espero con estas líneas haberos aclarado al menos estos dos malos entendidos tan frecuentes en materia de protección de datos.