El 25 de mayo acaba la obligación de notificar a la AGPD la existencia de ficheros que contengan datos personales… salvo que la nueva Ley no llegue a tiempo para derogar la que existe o que el proyecto cambie
El nuevo Reglamento de Protección de Datos incorpora importantes novedades, pero tal vez una a las que se les ha dado menos publicidad es a la cuestión de inscripción de ficheros que hasta ahora se realizaba mediante el famoso formulario NOTA.
Nueva obligación de mantener un «Registro de Actividades»
Para adaptarse a ese Reglamento, se está tramitando una nueva Ley de Protección de Datos que derogará a la actualmente vigente y que no establece la obligación de inscribir ficheros pero establece la obligación de mantener un Registro de las actividades de Tratamiento de datos personales:
«Los responsables y encargados del tratamiento o, en su caso, sus representantes deberán mantener el registro de actividades de tratamiento al que se refiere el artículo 30 del Reglamento (UE) 2016/679, salvo que sea de aplicación la excepción prevista en su apartado 5.»
Ese Registro, que deberá conservarse por escrito inclusive en formato electrónico, deberá contener en todo caso:
a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
b) los fines del tratamiento;
c) una descripción de las categorías de interesados y de las categorías de datos personales;
d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.
Obligatorio, pero no para la mayoría
No tendrá obligación de mantener este registro quien emplee a menos de 250 personas, a menos que el tratamiento o que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales enumerados en lista tasada:
- el origen étnico o racial,
- las opiniones políticas,
- las convicciones religiosas o filosóficas,
- la afiliación sindical,
- el tratamiento de datos genéticos,
- datos biométricos dirigidos a identificar de manera unívoca a una persona física,
- datos relativos a la salud o
- datos relativos a la vida sexual o las orientación sexuales de una persona física.
En resumen, si tiene menos de 250 empleados y el fichero no contiene datos especialmente protegidos, se elimina la obligación formal de notificar la tenencia de los ficheros y no se sustituye por ninguna… salvo que la ley finalmente no se apruebe tal como figura en el anteproyecto o -más probable- que la nueva ley no se llegue a aprobar a tiempo.
En caso de que la ley no se publique antes del 25 de mayo de 2018, no se habrá derogado la ley hoy vigente y se mantendrá la obligación de pasar por NOTA. Obligación a la que se sumará a quien corresponda la obligación de mantener el Registro de Actividades que establece el Reglamento UE que sí estará vigente.