¿Tenemos que darnos de alta en algún registro de protección de datos?

De acuerdo con mis compañeros. Si. Deben dar de alta los diferentes ficheros que puedan tener en la Agencia Española de Protección de Datos. Pueden encontrar los modelos en la página web de la Agencia Española.

Ejemplos de ficheros a dar de alta: socios. Proveedores (si es el caso) y nóminas.

La inscripción de los ficheros no exime del resto de obligaciones de la LOPD, como la información exigida en el artículo 5 de la LOPD en la recogida de datos, y la adopción de las pertinentes medidas de seguridad, en este caso de gran importancia al tratarse de datos que requieren un nivel de protección alto.

Estimado María Inés: en relación con tu consulta plantada, paso a informarte lo siguiente:
El concepto de fichero esta descrito en el artículo 3.b) de la Ley Orgánica 15/1999, de 13 de diciembre, según el cual, se define el fichero como ‘todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso’.
En consecuencia, debéis inscribir en el Registro General de Protección de Datos todos los ficheros que contengan datos de carácter personal (por ejemplo: fichero pacientes, fichero informes, fichero nóminas, fichero clientes, etc.), aunque contengan solamente el nombre y apellidos de la persona de contacto, el administrador o gerente de la empresa.
Dichos ficheros deben ser inscritos en el Registro General de Protección de Datos a nombre de cada uno de los responsables y conforme al formulario disponible de forma gratuita en la web de la Agencia.
Tanto para inscribir, como para suprimir o modificar la inscripción de un fichero en el Registro General de Protección de Datos, se deberá cumplimentar el modelo establecido en la Resolución de 12 de julio de 2006, de la Agencia Española de Protección de Datos, por la que se aprueban los formularios electrónicos a través de los que deberán efectuarse las solicitudes de inscripción de ficheros en el Registro General de Protección de Datos, así como los formatos y requerimientos a los que deben ajustarse las notificaciones remitidas en soporte informático o telemático.
El formulario electrónico de NOtificaciones Telemáticas a la AEPD (NOTA) permite la presentación de notificaciones a través de Internet (con y sin certificado de firma electrónica reconocido), mediante soporte informático (disquete, CDROM) y en soporte papel. Dicho formulario interactivo, en formato PDF, se encuentra disponible en la página web de la Agencia (www.agpd.es).
Mediante este sistema de notificación se pueden realizar notificaciones de forma simplificada mediante notificaciones tipo precumplimentadas. Esta opción del formulario electrónico permite notificar de forma simplificada una serie de ficheros de titularidad privada relacionados con la gestión de comunidades de propietarios, clientes, libro recetario de las oficinas de farmacia, historial clínico, nóminas y recursos humanos.
Cualquier modificación posterior en el contenido de la inscripción de un fichero en el RGPD, deberá comunicarse a la Agencia Española de Protección de Datos, mediante la solicitud de modificación o de supresión de la inscripción, según corresponda.
Para modificar la inscripción de un fichero, previamente inscrito en el RGPD, deberá cumplimentar el formulario electrónico, la hoja de solicitud, el apartado de Modificación de la inscripción del fichero, indicando el código de inscripción asignado por la Agencia y señalando aquellos apartados que se modifican respecto a la notificación anterior, según las instrucciones que acompañan al modelo.
Los apartados señalados que pretendan modificar deben cumplimentarse por completo, indicando todos los datos y no sólo los modificados respecto a notificaciones previas, ya que esta notificación es sustitutiva a efectos de inscripción en el RGPD. Así mismo, únicamente se cumplimentarán los apartados que hayan sido señalados para su modificación en el apartado Modificación de la inscripción del fichero.
En el caso de que notifique la supresión de un fichero, deberá cumplimentar, del modelo de notificación, la hoja de solicitud y el apartado de Supresión, indicando el código de inscripción del fichero asignado por la Agencia. También deberá indicar el motivo de la supresión en el texto correspondiente, y el destino de la información en el siguiente campo. Si va a proceder a destruir el fichero, deberá indicar las previsiones adoptadas para ello.

La notificación de un nuevo fichero o tratamiento nunca invalida o sustituye a una inscripción previa. Si no se notifica una solicitud de supresión de la inscripción anterior se produciría un duplicado de la inscripción.
En suma, siempre que se proceda al tratamiento de datos personales, definidos en el art. 3,a) de la Ley Orgánica 15/1999, como “cualquier información concerniente a personas físicas identificadas o identificables,” que suponga la inclusión de dichos datos en un fichero, considerado por la propia norma (artículo 3.b).), como “conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso,” el fichero se encontrará sometido a la Ley, siendo obligatoria su inscripción en el Registro General de Protección de Datos, conforme dispone el artículo 26, a saber:
1.“Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia Española de Protección de Datos.
2.Por vía reglamentaria se procederá a la regulación detallada de los distintos extremos que debe contener la notificación, entre los cuales figurarán necesariamente el responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad, con indicación del nivel básico, medio o alto exigible y las cesiones de datos de carácter personal que se prevean realizar y, en su caso, las transferencias de datos que se prevean a países terceros.
3.Deberán comunicarse a la Agencia Española de Protección de Datos los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación.
4.El Registro General de Protección de Datos inscribirá el fichero si la notificación se ajusta a los requisitos exigibles. En caso contrario podrá pedir que se completen los datos que falten o se proceda a su subsanación.
5.Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la Agencia Española de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el fichero automatizado a todos los efectos.”

Por otra parte, debe señalarse que en el BOE de 19/01/08 aparece publicado el REAL DECRETO 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
Este Reglamento comparte con la Ley Orgánica la finalidad de hacer frente a los riesgos que para los derechos de la personalidad pueden suponer el acopio y tratamiento de datos personales. Por ello, ha de destacarse que esta norma reglamentaria nace con la vocación de no reiterar los contenidos de la norma superior y de desarrollar, no sólo los mandatos contenidos en la Ley Orgánica de acuerdo con los principios que emanan de la Directiva, sino también aquellos que en estos años de vigencia de la Ley se ha demostrado que precisan de un mayor desarrollo normativo.
Por tanto, se aprueba este Reglamento partiendo de la necesidad de dotar de coherencia a la regulación reglamentaria en todo lo relacionado con la transposición de la Directiva y de desarrollar los aspectos novedosos de la Ley Orgánica 15/1999, junto con aquellos en los que la experiencia ha aconsejado un cierto de grado de precisión que dote de seguridad jurídica al sistema.
El reglamento viene a abarcar el ámbito tutelado anteriormente por los reales decretos 1332/1994, de 20 de junio, y 994/1999, de 11 de junio, teniendo en cuenta la necesidad de fijar criterios aplicables a los ficheros y tratamientos de datos personales no automatizados. Por otra parte, la atribución de funciones a la Agencia Española de Protección de Datos por la Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la información y de comercio electrónico y la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones obliga a desarrollar también los procedimientos para el ejercicio de la potestad sancionadora por la Agencia.
El reglamento se estructura en nueve títulos cuyo contenido desarrolla los aspectos esenciales en esta materia.
El título I contempla el objeto y ámbito de aplicación del reglamento. A lo largo de la vigencia de la Ley Orgánica 15/1999, se ha advertido la conveniencia de desarrollar el apartado 2 de su artículo 2 para aclarar qué se entiende por ficheros y tratamientos relacionados con actividades personales o domésticas, aspecto muy relevante dado que están excluidos de la normativa sobre protección de datos de carácter personal.
Por otra parte, el presente reglamento no contiene previsiones para los tratamientos de datos personales a los que se refiere el apartado 3 del artículo 2 de la ley orgánica, dado que se rigen por sus disposiciones específicas y por lo especialmente previsto, en su caso, por la propia Ley Orgánica 15/1999. En consecuencia, se mantiene el régimen jurídico propio de estos tratamientos y ficheros.

Además, en este título se aporta un conjunto de definiciones que ayudan al correcto entendimiento de la norma, lo que resulta particularmente necesario en un ámbito tan tecnificado como el de la protección de datos personales. Por otra parte, fija el criterio a seguir en materia de cómputo de plazos con el fin de homogeneizar esta cuestión evitando distinciones que suponen diferencias de trato de los ficheros públicos respecto de los privados.
El título II, se refiere a los principios de la protección de datos. Reviste particular importancia la regulación del modo de captación del consentimiento atendiendo a aspectos muy específicos como el caso de los servicios de comunicaciones electrónicas y, muy particularmente, la captación de datos de los menores. Asimismo, se ofrece lo que no puede definirse sino como un estatuto del encargado del tratamiento, que sin duda contribuirá a clarificar todo lo relacionado con esta figura. Las previsiones en este ámbito se completan con lo dispuesto en el título VIII en materia de seguridad dotando de un marco coherente a la actuación del encargado.
El título III se ocupa de una cuestión tan esencial como los derechos de las personas en este ámbito. Estos derechos de acceso, rectificación, cancelación y oposición al tratamiento, según ha afirmado el Tribunal Constitucional en su sentencia número 292/2000, constituyen el haz de facultades que emanan del derecho fundamental a la protección de datos y «sirven a la capital función que desempeña este derecho fundamental: garantizar a la persona un poder de control sobre sus datos personales, lo que sólo es posible y efectivo imponiendo a terceros los mencionados deberes de hacer».
A continuación, los títulos IV a VII permiten clarificar aspectos importantes para el tráfico ordinario, como la aplicación de criterios específicos a determinado tipo de ficheros de titularidad privada que por su trascendencia lo requerían los relativos a la solvencia patrimonial y crédito y los utilizados en actividades de publicidad y prospección comercial, el conjunto de obligaciones materiales y formales que deben conducir a los responsables a la creación e inscripción de los ficheros, los criterios y procedimientos para la realización de las transferencias internacionales de datos, y, finalmente, la regulación de un instrumento, el código tipo, llamado a jugar cada vez un papel más relevante como elemento dinamizador del derecho fundamental a la protección de datos.
El título VIII regula un aspecto esencial para la tutela del derecho fundamental a la protección de datos, la seguridad, que repercute sobre múltiples aspectos organizativos, de gestión y aún de inversión, en todas las organizaciones que traten datos personales. La repercusión del deber de seguridad obligaba a un particular rigor ya que en esta materia han confluido distintos elementos muy relevantes. Por una parte, la experiencia dimanante de la aplicación del Real Decreto 994/1999 permitía conocer las dificultades que habían enfrentado los responsables e identificar los puntos débiles y fuertes de la regulación. Por otra, se reclamaba la adaptación de la regulación en distintos aspectos. En este sentido, el reglamento trata de ser particularmente riguroso en la atribución de los niveles de seguridad, en la fijación de las medidas que corresponda adoptar en cada caso y en la revisión de las mismas cuando ello resulte necesario. Por otra parte, ordena con mayor precisión el contenido y las obligaciones vinculadas al mantenimiento del documento de seguridad.

Además, se ha pretendido regular la materia de modo que contemple las múltiples formas de organización material y personal de la seguridad que se dan en la práctica. Por último, se regula un conjunto de medidas destinadas a los ficheros y tratamientos estructurados y no automatizados que ofrezca a los responsables un marco claro de actuación.
Finalmente, al haber entrado en vigor este Reglamento con fecha 19 de abril de 2008, los ficheros, tanto automatizados como no automatizados, deberán tener implantadas, desde el momento de su creación la totalidad de las medidas de seguridad reguladas en el mismo.
Un cordial saludo.
Rafael Pérez Castillo.
rperezcastillo@gmail.com