junio 12, 2018
¿Es obligatorio inscribir los ficheros de datos en las autoridades nacionales?
La entrada en vigor del Reglamento Europeo de Protección de Datos, ha generado un gran revuelo en todos los ámbitos. Tras la supresión de la obligación de inscribir los ficheros de datos ante las Autoridades Nacionales de Protección de Datos, en nuestro caso ante la Agencia Española De Protección de Datos, cada responsable del tratamiento deberá llevar un registro interno de los tratamientos de datos que vaya realizando. Así lo establece el artículo 30 del RGPD, que impone la obligación de llevar un Registro de Actividades de Tratamiento.
Para ello, los responsables del tratamiento aplicarán las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento, es lo que se conoce comoresponsabilidad proactiva, que viene a imponer al responsable del tratamiento estar en condiciones de demostrar que cumple con las previsiones normativas en materia de protección de datos de carácter personal.
El principio de responsabilidad proactiva es esencial, como dice la Agencia Española de Protección de datos en la Guía del Reglamento General de Protección de Datos para los responsables del tratamiento, requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión. Es decir, no solo basta con tener la diligencia necesaria, sino que además hay que demostrarla.
El Reglamento Europeo de Protección de Datos a la hora de adoptar esas medidas técnicas y organizativas, nos da cierto margen de autonomía para adoptar las medidas que estimemos convenientes; decimos cierto porque sí impone una serie de obligaciones mínimas que hay que respetar, y qué duda cabe el respeto a los principios impuestos por el mismo.
En definitiva, tenemos libertad para regular/organizar el tratamiento de datos, es una especie de auto-organización. Ahora bien, debemos tener en cuenta que si fallamos en la seguridad somos responsables, así lo establece el Reglamento en su considerando 74 al manifestar “debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta”.
Yolanda García Victoria