Como ya sabemos, el 25 de mayo de 2018 será de plena aplicación el nuevo Reglamento UE 2016/679 General de Protección de Datos (al que nos referimos ya como RGPD). Esta nueva legislación establece nuevas obligaciones y sobre todo exige un cambio de mentalidad en la organizaciones en lo que a la protección de la privacidad se refiere.
Sin embargo, una de las obligaciones que hasta la fecha era casi la «protagonista» del cumplimiento formal de la normativa de protección de datos, desaparece: nos estamos refiriendo a la obligación de declarar los ficheros de datos ante el Registro de la Agencia Española de Protección de Datos.
Esta obligación era considerada para muchos la única y principal en lo que a cumplimiento de la ahora vigente LOPD: nada más lejos de la realidad. Sin embargo sí ha servido durante estos casi dieciocho años para comprobar la estructura de los tratamientos en las organizaciones, la tipología de los datos tratados, las actividades e incluso la propia estructura interna de las organizaciones (si tienen o no canal de denuncias, si tienen o no cámaras de videovigilancia, etc).
El RGPD no contempla esta obligación y por lo tanto, a partir del 25 de mayo, ya no será necesario comunicar los ficheros ante la Agencia Española de Protección de Datos.
Hasta entonces ¿sigue siendo obligatorio declarar ficheros?
La respuesta es sí. La actual LOPD quedará sin efecto con la entrada en vigor del nuevo Reglamento que como sabemos deroga la Directiva 95/46/CE de la que deriva nuestra actual LOPD. Por lo tanto, y mientras tanto, será obligatorio declarar ficheros, actualizar lo que corresponda y cancelar los que ya no existan.
Pero además existe una nueva obligación contemplada en el RGPD para la que la declaración actual de los ficheros es clave: la obligación de registro de las actividad de tratamiento establecida en el artículo 30. Pero ojo, esta obligación no aplica en todos los casos:
- No se aplica a empresas u organizaciones que emplee a menos de 250 personas
- A menos que el tratamiento que realice pueda entrañar un reisgo para los derechos y libertades de los intereados
- No sea ocasional
- o incluya categorías especiales de datos personales
- o datos personales relativos a condenas e infracciones penales
¿En qué consiste ese «registro de actividades de tratamiento» que establece la nueva legislación?
Pues se trata de llevar una relación de lo que se hace en materia de datos que incluya, al menos:
a) El nombre y los datos de contacto del responsable así como del Delegado de protección de datos
b) Los fines del tratamiento
c) Una descripción de las categorías de interesados y de las categorías de datos personales
d) Las categorías de destinatarios a quienes se comunicaron o cumunicarán los datos personales, incluidos lo que se encuentren en terceros países u organizaciones internacionales
e) las transferencias internacionales de datos
f) Los plazos previstos para la supresión de las diferentes categorías de datos
g) Una descripción, cuando sea posible, de las medidas técnicas y organizativas adoptadas
También los encargados de tratamiento deberán indicar las actividades de tratamiento realizadas para un responsable.
Al que haya declarado ficheros ante la Agencia Española de Protección de Datos, lo anterior no le resultará completamente ajeno por lo que los actuales ficheros podrán servir, sin lugar a dudas, como base para cumplir con la obligación de llevar un registro de actividades de tratamiento puesto que gran parte de la información ya está recogida.
No en vano, la propia Agencia Española de Protección de Datos acaba de habilitar recientemente una nueva funcionalidad en su sede electrónica precisamente para solicitar copia de los ficheros inscritos que será facilita en formato electrónico.
Lo que pase a partir del 25 de mayo de 2018 con ese registro, es, en principio un misterio pues al dejar de ser obligatoria la declaración, el Registro de la Agencia quedará desactualizado aunque no sabemos si se mantendrá un tiempo para facilitar a los responsables la «reconversión» de sus ficheros o si quedará sin acceso. No obstante, antes de la citada fecha, conviene hacer los deberes en los casos en los que la empresa u organización vengan obligados a llevar ese registro.
Por lo tanto y como recomendación:
1.- Revisar los ficheros actuales, actualizando y modificando lo que proceda pues nos van a servir de base para otras obligaciones que sí establece el RGPD.
2.- Solicitar en su caso a la propia Agencia Española de Protección de Datos esa copia para comenzar a confeccionar el registro de actividades de tratamiento descrita en el artículo 30 del RGPD.
3.- Reflexionar y abordar la transición al nuevo Reglamento para que el cumplimiento, llegada la fecha, sea adecuado y no «entren prisas».
4.- Y sobre todo y no menos importante, no está de más, dejarse asesorar por profesionales cualificados que diseñen planes a medida y ayuden en el cumplimiento más adecuado para cada organización.
Madrid, 5 de diciembre de 2017
Paz Martin