Hemos creado un fichero con clave en la APD ¿Tenemos que enviarles información anual?

Beatriz,

no hay que enviar información anual.

Sí hay que elaborar un documento de seguridad explicando las medidas de seguridad que tienen los ficheros físicos y electrónicos que contienen datos personales. En la web de la agencia encontrarás ejemplos.

Saludos,

Muchas gracias Manuel y Valentín por las respuestas.
Un abrazo,

Estimada Beariz: en relación con la consulta establecida, paso a informarte lo siguiente: inicialmente, debemos de partir de lo dispuesto en el art. 25 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, el cual establece que:
“Podrán crearse ficheros de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular y se respeten las garantías que esta Ley establece para la protección de las personas.”
Así pues, dispone dicho precepto legal que podrá crearse ficheros de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular y se respeten las garantías que la Ley establece para la protección de las personas.
A su vez, el art. 26 de la Ley Orgánica 15/1999, menciona que:
“1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos.
2. Por vía reglamentaria se procederá a la regulación detallada de los distintos extremos que debe contener la notificación, entre los cuales figurarán necesariamente el responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad, con indicación del nivel básico, medio o alto exigible y las cesiones de datos de carácter personal que se prevean realizar y, en su caso, las transferencias de datos que se prevean a países terceros.
3. Deberán comunicarse a la Agencia de Protección de Datos española o autonómica, según corresponda, los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación.
4. El Registro General de Protección de Datos inscribirá el fichero si la notificación se ajusta a los requisitos exigibles.
En caso contrario podrá pedir que se completen los datos que falten o se proceda a su subsanación.
5. Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la Agencia de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el fichero automatizado a todos los efectos.”
De este precepto legal cabe referir que el apartado tercero dispone la obligatoria comunicación a la Agencia Española de Protección de Datos de los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación.
En una ordenación secuencial lógica lo previsto en el apartado cuarto del precepto legal que se analiza, debiera proceder a lo establecido en lo previsto en el apartado tercero comentado, en cuanto que parece que los cambios de que se trata deberán ser notificados una ve que esté inscrito el fichero privado en la Agencia. de Protección de Datos.
No obstante, aunque la cuestión no está suficiente clara, cabe entender que cualquier duda que se plantee debe resolverse en favor de la obligatoriedad de la inscripción de los datos necesarios para el ejercicio de todos los derechos del afectado. Así lo establece el art. 39.2 de Ley Orgánica 15/1999, de 13 de diciembre, el cual dispone que: “Serán objeto de inscripción en el Registro General de Protección de Datos:
a) Los ficheros de que sean titulares las Administraciones públicas.
b) Los ficheros de titularidad privada.
c) Las autorizaciones a que se refiere la presente Ley.
d) Los códigos tipo a que se refiere el artículo 32 de la presente Ley.
e) Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de información, acceso, rectificación, cancelación y oposición.”
Por su parte, el art. 24 del Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia de Protección de Datos, refiere que:
“4. En los asientos de inscripción de cualesquiera ficheros de datos de carácter personal figurarán los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de información, acceso, rectificación y cancelación.”
De esta suerte, un cambio en la previsión de las cesiones o transferencias que se vayan a realizar al poder afectar a los derechos de los afectados, no se ve la razón de este cambio, u otros, respecto de la información notificada e inscrita en su día en la Agencia, no deban acceder al Registro.
Por su parte, respecto al hecho de generar una memoria o instrucción técnica sobre cómo gestionamos los datos, cabe entender, tal como refieren mis compañeros Valentín y Manuel V., que se están refiriendo al denominado “documento de seguridad. A tal efecto, el art. 9 de la Ley Orgánica 15/1999, establece en su punto 1 que “el responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural”.
A su vez, el Real Decreto 1720/2007, de 21 de diciembre, aprobó el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos Personales que, en su Título VIII, establece las medidas de índole técnico y organizativo que los responsables de los tratamiento o los ficheros y los encargados de tratamiento han de implantar para garantizar la seguridad en los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de datos de carácter personal.
Entre estas medidas, se encuentra la elaboración de un documento que recogerá las medidas de índole técnica y organizativa acorde a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los datos de carácter personal.
Al respecto, te reenvío el link de enlace -https://www.agpd.es/portalwebAGPD/canalresponsable/guia_documento/index-ides-idphp.php-, donde podrás encontrar un modelo de Documento de Seguridad.
Espero haberte ayudado.
Cordialmente.
Rafael Perez Castillo.
rperezcastillo@gmail.com