Registro de actividades
El Reglamento General Europeo de Protección de Datos presenta una novedad importante al eliminar la necesidad de inscribir los archivos en el Registro de la Agencia Española de Protección de Datos (AEPD). Sin embargo, esta obligación es reemplazada por otra similar, que es la de mantener un «Registro de Actividades».
Este concepto se encuentra detallado en el artículo 30 del reglamento. De acuerdo con este artículo, el responsable del archivo y, en caso necesario, su representante deben llevar un registro de las actividades de procesamiento de datos que realizan bajo su responsabilidad. Esto implica la obligación de describir qué información se recopila, con qué propósito se procesa, a quién se comunica, si se transfiere a países extranjeros, qué medidas técnicas y organizativas se aplican para garantizar la seguridad de los datos y cuándo se pueden eliminar.
Este control es muy similar al que se lleva a cabo a través de los formularios NOTA para inscribir archivos en el Registro de la AEPD, con algunas diferencias notables.
En el formulario NOTA, es necesario especificar quién recopila los datos y proporcionar detalles de contacto precisos, qué tipo de datos se recopilan, con qué objetivo, de quién se obtienen, qué medidas de seguridad se implementarán, si el archivo es automatizado, manual o mixto, y si los datos se compartirán con terceros o se transferirán fuera del Espacio Económico Europeo.
El contenido esencialmente permanece sin cambios, pero la forma de cumplir con esta obligación es diferente. Ya no es necesario llevar a cabo una inscripción obligatoria a través del formulario NOTA, pero se debe mantener un «Registro de Actividades» internamente.
Según lo indicado por la AEPD, «la existencia del Registro de Ficheros puede ser una herramienta de ayuda y un punto de partida para cumplir con la tarea que se volverá obligatoria a partir del 25 de mayo de 2018».
En resumen, aunque la obligación de inscribir en el Registro ha desaparecido, este aún puede servir como un modelo y punto de partida para crear un Registro de Actividades.
En mi opinión personal, considero que esta modificación no es particularmente afortunada, ya que el Registro público al menos proporcionaba certeza a los ciudadanos sobre quién era el responsable del archivo y cómo podían ponerse en contacto con él.
Notificacion ficheros AEPD
Diez Errores Comunes en Relación con la LOPD y la LSSICE.
Primer Equivocación:
El primero de una serie de diez errores que discutiré en los próximos días involucra a numerosos profesionales, empresarios y responsables de diversas entidades que comienzan o desarrollan sus actividades sin haber notificado previamente a la Agencia Española de Protección de Datos la existencia de ficheros que contienen información de carácter personal.
Consideremos el ejemplo de un abogado que se colegia y empieza a atender a clientes, brindándoles servicios de representación legal, asesoramiento y defensa técnica.
Desde el momento en que este profesional recopila información identificativa de sus clientes para abrir expedientes, comunicarse con ellos o proporcionarles asesoramiento, está creando ficheros de datos, ya sea en formato físico (como la recolección de documentos de clientes) o en formato digital (como documentos escritos en nombre de clientes, correos electrónicos intercambiados con ellos o mensajes de WhatsApp).
Si este es tu caso, lo primero que debiste hacer es notificar tus ficheros a la Agencia Española de Protección de Datos, utilizando los formularios oficiales disponibles en el sitio web de la Agencia, que puedes encontrar aquí: Enlace al formulario
Esta obligación legal de notificar tus ficheros está establecida en el artículo 26.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que establece lo siguiente:
«Todo individuo o entidad que cree ficheros de datos personales notificará previamente a la Agencia de Protección de Datos.»
En consecuencia, si has estado llevando a cabo tu actividad profesional y, en el proceso, recopilas datos personales de tus clientes sin haber cumplido con esta formalidad, estás incurriendo en una infracción administrativa leve, tal como se describe en el artículo 44.2.b) de la LOPD.
Las sanciones pueden variar desde 900 hasta 40.000 euros.