¿Adiós a la notificación de ficheros?
Uno de los impactos que la entrada en vigor del nuevo Reglamento General de Protección de Datos de la Unión Europea 2016/679 (en adelante, “nuevo RGDP”) ocasionará sobre los responsables de datos personales, será la sustitución de la obligación actual de inscribir los ficheros en la Agencia, tal y como exige el artículo 55 del actual Reglamento en vigor, por la existencia de un registro de actividades.
Las organizaciones afectadas por esta novedad introducida en el nuevo RGPD, serán únicamente las organizaciones que empleen a más de 250 trabajadores. Quedan por tanto exentas aquellas organizaciones que empleen a menos de dicho número de trabajadores, salvo que el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos o datos relativos a condenas e infracciones penales.
En la actualidad, debe notificarse a la Agencia Española de Protección de Datos todo fichero de carácter personal por parte de la persona o entidad que pretenda crearlos y siempre con carácter previo a dicha creación. Dicha obligación se entenderá cumplida siempre que en la notificación se indiquen los siguientes extremos:
- Identificación del responsable del fichero
- Finalidades y los usos previstos
- El sistema de tratamiento empleado en su organización
- El colectivo de personas sobre los que se obtienen los datos
- El procedimiento y procedencia de los datos
- Las categorías de los datos
- El servicio o unidad de acceso
- La indicación del nivel de medidas de seguridad básico, medio o alto exigible
- La identificación del encargado del tratamiento en donde se encuentre ubicado el fichero y los destinatarios de las cesiones (en su caso).
- Transferencias internacionales de datos.
Ahora bien, a partir del 25 de mayo del 2018, se introducirán novedades con respecto a las obligaciones de los responsables del tratamiento de datos, y es que de acuerdo con lo establecido en el artículo 30 del nuevo RGDP, cada responsable y en su caso representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener además de las obligaciones actualmente exigibles tales como los fines de tratamiento, las categorías de datos personales, las trasferencias internacionales de datos, las siguientes obligaciones:
- El nombre y los demás datos de contacto del responsable, en su caso, del corresponsable, del representante del responsable y del delegado de protección de datos. Desapareciendo por tanto la figura de “Responsable de fichero”.
- Una descripción de las categorías de interesados
- Las categorías de interesados a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
- Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos.
- A diferencia de la identificación que se exige en el actual reglamento, el nuevo reglamento establece la obligación de describir de manera general las medidas técnicas y organizativas de seguridad.
En aras a facilitar a los responsables la constitución de estos registros, la Agencia Española de Protección de Datos permitirá que los responsables puedan obtener de manera automatizada y con antelación suficiente a la fecha de entrada en vigor del nuevo RDPD, toda la información que sobre sus ficheros o tratamientos se hayan notificado al Registro General.
Recomendación para organizar el registro de actividades de tratamiento:
- Partir de los ficheros que actualmente tienen notificados los responsables en el Registro General de Protección de Datos: detallando las operaciones que se realizan sobre cada estructura de datos, así como las operaciones vinculadas a una finalidad básica común de todas ellas (por ejemplo, “gestión de clientes”) o de acuerdo con otros criterios distintos.
Para mayor información podéis consultar AQUÍ.
Sorry, the comment form is closed at this time.