Noviembre 8, 2017

Fin de la comunicación de ficheros a la AGPD

Archivado en: Comercio Electrónico, Protección de Datos — legisconsulting @ 10:40

El 25 de mayo acaba la obligación de notificar a la AGPD la existencia de ficheros que contengan datos personales… salvo que la nueva Ley no llegue a tiempo para derogar la que existe o que el proyecto cambie

El nuevo Reglamento de Protección de Datos incorpora importantes novedades, pero tal vez una a las que se les ha dado menos publicidad es a la cuestión de inscripción de ficheros que hasta ahora se realizaba mediante el famoso formulario NOTA.

Nueva obligación de mantener un “Registro de Actividades”

Para adaptarse a ese Reglamento, se está tramitando una nueva Ley de Protección de Datos que derogará a la  actualmente vigente y que no establece la obligación de inscribir ficheros pero establece la obligación de mantener un Registro de las actividades de Tratamiento de datos personales:

“Los responsables y encargados del tratamiento o, en su caso, sus representantes deberán mantener el registro de actividades de tratamiento al que se refiere el artículo 30 del Reglamento (UE) 2016/679, salvo que sea de aplicación la excepción prevista en su apartado 5.”

Ese Registro, que deberá conservarse por escrito inclusive en formato electrónico, deberá contener en todo caso:

a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;

b) los fines del tratamiento;

c) una descripción de las categorías de interesados y de las categorías de datos personales;

d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;

e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identi­ficación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;

f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;

g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.

Obligatorio, pero no para la mayoría

No tendrá obligación de mantener este registro quien emplee a menos de 250 personas, a menos que el tratamiento o que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales enumerados en lista tasada:

  • el origen étnico o racial,
  • las opiniones políticas,
  • las convicciones religiosas o filosóficas,
  • la afiliación sindical,
  • el tratamiento de datos genéticos,
  • datos biométricos dirigidos a identificar de manera unívoca a una persona física,
  • datos relativos a la salud o
  • datos relativos a la vida sexual o las orientación sexuales de una persona física.

En resumen, si tiene menos de 250 empleados y el fichero no contiene datos especialmente protegidos, se elimina la obligación formal de notificar la tenencia de los ficheros y no se sustituye por ninguna… salvo que la ley finalmente no se apruebe tal como figura en el anteproyecto o -más probable- que la nueva ley no se llegue a aprobar a tiempo.

En caso de que la ley no se publique antes del 25 de mayo de 2018, no se habrá derogado la ley hoy vigente y se mantendrá la obligación de pasar por NOTA. Obligación a la que se sumará a quien corresponda la obligación de mantener el Registro de Actividades que establece el Reglamento UE que sí estará vigente.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Sin Comentarios »

Aún no hay comentarios.

Suscripción RSS a los comentarios de esta entrada. TrackBack URL

Dejar un comentario