Registro de un fichero de datos personales con el formulario NOTA.
Índice de contenido
Introducción.
Como todos sabemos, desde la aparición de la Ley Orgánica de Protección de Datos (15/1999 LOPD),
tenemos la obligación de registrar en la Agencia Española de Protección de Datos (AEPD)
los ficheros de nuestras aplicaciones que almacenan datos de caracter personal. En este tutorial
se presenta a modo de iniciación cómo registrar los ficheros de datos en la AEPD y haciendo algunas
aclaraciones prácticas a tener en cuenta para rellenar el formulario de registro.
Registro de ficheros.
En la página web de la AGPD encontramos el https://www.agpd.es/portalweb/canalresponsable/index-ides-idphp.php Canal del responsable de ficheros»
que reúne un conjunto de información muy útil a la hora de solicitar la inscripción de los ficheros de datos.
En primer lugar, según los artículos 14 a 17 de la LOPD serán objeto de inscripción en el Registro General de Protección de Datos, entre otros supuestos, los ficheros de titularidad privada, que son aquellos que gestionan la mayor parte de las aplicaciones y es el caso base que tomamos como ejemplo.
La AEPD proporciona un formulario de inscripción de fichero que facilita el proceso de registro de los ficheros de datos de carácter personal, https://www.agpd.es/portalweb/canalresponsable/inscripcion_ficheros/Notificaciones_tele/index-ides-idphp.php formulario NOTA (Notificaciones Telemática a la AEPD).
Siguiendo los puntos de este formulario vamos a ir explicando cada uno de ellos y consideraciones a tener en cuenta. Para empezar a rellenar el formulario se realizan unas preguntas de control sobre el
tipo de solicitud, modelo de declaración y módo de presentación. Sobre estos puntos, en nuestro caso, estamos solicitando la inscripción de un fichero nuevo que no se corresponde con ninguno de los tipos previstos. En cuanto al modo de presentación no afecta al modo de cumplimentación, sólo al modo y medio en el que se va a presentar en la AEPD.
Los tipos del modelo de declaración, pueden considerarse como plantillas predefinidas para un conjunto de ficheros de datos personales que reúnen los mismos requisitos.
Pasando ya a cumplimentar el formulario, el primer punto que nos encontramos es el del responsable del fichero; donde indicaremos los datos del mismo. Normalmente en este punto hay que poner al propietario de la aplicación que trata con el fichero de datos; es decir, si hemos hecho una aplicación para una determinada empresa, deberemos poner los datos relativos a dicha empresa.
En el segundo punto hay que indicar los de contacto en donde se van a poder ejercer los derechos de oposición, acceso, rectificación y cancelación. Este punto sólo es necesario cumplimentarlo si la empresa por la que se ejercen dichos derechos es distinta, o la ubicación es otra a la declarada en el punto primero.
En el siguiente punto, el cuarto (podéis ver que en la solicitud de incripción de un nuevo fichero el formulario NOTA no deja cumplimentar el punto 3), es el correspondiente al encargado del tratamiento, que pueden ser varios, pero es suficiente con poner sólo uno. Este punto es el que muestra mayor confusión, por lo que lo explicamos con un par de ejemplos.
Primer caso: El fichero de datos (sea una BD) se encuentra en un servidor en las propias instalaciones de la empresa; entonces el encargado del tratamiento la propia empresa, poniendo los datos de la ubicación física donde se encuentra el servidor.
Segundo caso: Muchas veces, el alojamiento de las aplicaciones, junto con sus BD, y por lo tanto también los ficheros de datos personales. En este tipo de casos no sólamente hay que declarar a la empresa de hosting como encargado del tratamiento, además es necesario que entre la empresa de hosting y la empresa propietaria de la aplicación (responsable del fichero) exista un contrato que defina el tipo de acceso al fichero de datos por parte de la empresa de hosting.
Nota: Tanto en un caso como en otro, hay que tener en cuenta la ubicación, ya que puede derivar en la declaración de transferencias internacionales, en el caso de que el fichero de datos se encuentre físicamente en un país que la Unión Europea considere que no ofrece un nivel adecuado de protección. En estos casos será necesario tener la autorización expresa del Director de la AEPD.
A día de hoy se consideran países con un nivel adecuado de protección a los países del Espacio Económico Europeo, Suiza, Argentina, Guernsey, Isla de Man, Jersey, Canadá respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos y las entidades estadounidenses adheridas a los principios de “Puerto Seguro” (safe harbor). Para este último caso, entidades de EE.UU. adheridas a los principios de «safe harbor» podemos encontrar una lista de las mismas en http://web.ita.doc.gov/safeharbor/shlist.nsf/webPages/safe+harbor+list.
El artículo 34 de la LOPD considera un conjunto de casos en los que no sería necesaria la autorización expresa del director de la AEPD, aunque sí que habría que seguir declarando la transferencia internacional. Estos casos son:
- Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.
- Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional
- Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.
- Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
- Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
- Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.
- Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
- Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.
- Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
- Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo.
En el quinto punto hay que indicar la finalidad y uso previsto que se va a hacer del fichero de datos personales; por ejemplo gestión de usuarios, análisis de datos históricos, etc. entre los que podemos encontrar un conjunto de finalidades definidas por la propia AEPD a seleccionar.
En el siguiente punto, el sexto, se debe informar del medio del que se van a recoger los datos personales, si va a ser la propia persona la que nos diga sus datos, o se van a obtener de otra forma.
En el punto séptimo, es donde se va a informar del tipo de datos que va a contener el fichero de datos personales. Este punto es de especial importacia, ya que dependiendo de los datos que se vayan a recoger,
afectará al nivel de seguridad a establecer como protección del fichero de datos personales. Los datos especialmente protegidos, obligarán a un nivel de seguridad medio o alto dependiendo de los casos.
Ojo: Es muy común que los formularios de recogida de datos tengan apartados del tipo intereses, aficiones, etc. En este tipo de casos, estos datos podría ser utilizados para elaborar un perfil de la persona, por lo que la LOPD obliga a un nivel de seguridad medio, a menos que haya otros datos que obligue al nivel máximo.
Tal y como hemos adelantado, según el tipo de datos se deberá aplicar un nivel de seguridad mínimo exigido por la AEPD. Este nivel de seguridad lo declaramos en el punto octavo.
El punto noveno, sólo deberá informarse en el caso de que esté previsto ceder los datos a otras organizaciones o empresas. Es el típico caso que siempre aparecen en el texto legal del tipo «El contratante consiente el envío de comunicaciones comerciales sobre productos y servicios a la empresa XXXX y colaboradoras …» para lo cuál se deberá contar con el consentimiento expreso de la persona de la que se recogen los datos.
En el último punto que nos presenta el formulario NOTA, el décimo, deberemos declarar aquellas empresas que son destinatarias, o intermediarias de las transferencias internacionales, y la actividad a la que se dedica. Es el típico caso de contar con un hosting fuera de España, en donde se debe declarar como destinatario de la transferencia internacional de datos a la empresa que presta el servicio de hosting.
Nota: Revisar el punto 4 (Encargado del Tratamiento).
Finalmente, al haber rellenado todos los puntos, podemos pasar a cumplimentar la hoja de solicitud, que no es más que una hoja donde se recogen todos los datos que hemos ido introduciendo en todos los puntos, más la información personal de la persona física que presenta la solicitud en la AEPD y una dirección de contacto para recibir las notificaciones relativas al fichero por parte de la AEPD.
Conclusiones
Como se puede observar, gracias al formulario NOTA de la AEPD, el proceso de inscripción de un fichero de datos personales se hace bastante más sencillo, sólo hay que tener en cuenta algunos puntos, que podríamos tildar de delicados; como el punto correspondiente al encargado del tratamiento y los relativos al tipo de datos a recoger y el nivel de seguridad a aplicar.
Un saludo.
Borja Lázaro de Rafael.