Obligaciones formales. inscripción, modificación y ... · sión de ficheros: Formulario NOTA ... y 19 refiere la obligación de notificación a la autoridad de control, además

Obligaciones formales. inscripción,modificación y supresión de ficheros en elregistro general de protección de datos* 3

SUMARIO

1. Obligación formal de notificación de ficheros. Aproximación normativa .. 1372. Requisitos para la inscripción de ficheros y los sistemas de control ............ 1403. Agrupación de ficheros para la inscripción.................................................... 1404. Procedimiento de inscripción, modificación o supresión de ficheros de la

AEPD................................................................................................................... 1415. Creación, modificación y supresión de ficheros de titularidad pública....... 1436. Forma de realizar las notificaciones de inscripción, modificación y supre-

sión de ficheros: Formulario NOTA ................................................................ 1447. Operativa de cumplimentación del formulario NOTA.................................. 148

7.1. Cuestiones iniciales ................................................................................ 1487.2. Responsable del fichero y encargado del tratamiento ....................... 1497.3. Identificación y finalidad del fichero................................................... 1517.4. Origen y procedencia de los datos....................................................... 1527.5. Tipos de datos, estructura y organización del fichero ....................... 1537.6. Medidas de seguridad............................................................................ 1547.7. Comunicaciones o cesiones de datos ................................................... 1547.8. Transferencias internacionales de datos (TID)................................... 155

8. Modificación de la inscripción del fichero previamente inscrito en elRGPD.................................................................................................................. 156

9. Supresión de los ficheros inscritos en el RGPD ............................................. 157

1. OBLIGACIÓN FORMAL DE NOTIFICACIÓN DE FICHEROS. APROXIMACIÓNNORMATIVA

Otro pilar esencial en las distintas etapas que configuran el tratamiento de datospersonales se centra en el derecho a la información.

Ya el artículo 8 del Convenio, de 28 de enero de 1981, para la Protección de lasPersonas con respecto al tratamiento automatizado de los datos de carácter personal,reconoce el derecho a conocer a cualquier persona la existencia de ficheros automati-

* Javier ÁLVAREZ HERNANDO.

3/5

http://www.aranzadi.es/solicitud-de-reserva?cm=10004050&titulo=PRACTICUM%20DE%20PROTECCION%20DE%20DATOS&preciosi=81%2C73&precioci=85%2C00&utm_source=promo&utm_medium=email&utm_campaign=18122014_practicum_datos_pdf

3/10

138 | 1. Obligación formal de notificación de ficheros....

zados de datos personales, sus finalidades y la identidad y domicilio de la autoridadcontroladora del fichero.

Por su parte, la Directiva 95/46, de 24 de octubre, reafirma este principio, en suartículo 21, relativo a la publicidad de los tratamientos. Además, en sus artículos 18y 19 refiere la obligación de notificación a la autoridad de control, además del conte-nido de la misma.

En la LOPD, el artículo 14 reconoce el derecho de consulta al Registro General deProtección de Datos (en adelante, RGPD), tal y como referíamos en el Capítulo 5 deesta obra.

La LOPD, en su artículo 39, como forma de garantizar la necesaria publicidad, de-signa al RGPD, como órgano integrado en la AEPD, depositario de los registros einscripciones de todos los ficheros, ya sean de naturaleza pública o privada.

Por todo ello, debemos empezar por apuntar que toda persona física, empresa oinstitución pública o privada que posea un fichero de datos de carácter personalrelativo a personas físicas, ya sea automatizado o no, tiene la obligación de notificarloa la AEPD, que procederá a su inscripción en el RGPD. Del mismo modo se deberáncomunicar, en su caso, la modificación y la supresión de dichos ficheros.

La inscripción de ficheros en el RGPD, a diferencia de la naturaleza de los códigostipo (tratados en el Capítulo 8), se configura como una obligación meramente de-clarativa.

Según establece el artículo 55.1 del RLOPD, los ficheros de datos de carácter personalde titularidad pública serán notificados a la AEPD por el órgano competente de laAdministración responsable del fichero para su inscripción en el RGPD, en el plazode treinta días desde la publicación de su norma o acuerdo de creación en el Boletíno Diario Oficial correspondiente.

Por su parte, los ficheros de datos de carácter personal de titularidad privada seránnotificados a la AEPD por la persona o entidad privada que pretenda crearlos, concarácter previo a su creación.

La LOPD, en su artículo 39, establece que en el RGPD son objeto de inscripción:

a) Los ficheros de titularidad privada;

b) Los ficheros cuyos titulares son las Administraciones Públicas;

c) Las autorizaciones que se indican en la propia LOPD (RCL 1999, 3058);

d) Los códigos tipo;

e) Los datos relativos a los ficheros que sean necesarios para el ejercicio de los dere-chos de información, acceso, rectificación, cancelación y oposición.

Existe el deber de notificar todos los ficheros que contengan datos de carácter perso-nal que los hagan susceptibles de tratamiento, independientemente del sistema detratamiento empleado (ya sean automatizados o manuales) y del soporte o soportesempleados para el tratamiento de los datos.

Recordamos que el artículo 3.b de la LOPD (y el 5.1.k del RLOPD) entiende que fichero es todoconjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad desu creación, almacenamiento, organización y acceso.

Si el responsable de los ficheros no procede a notificarlos previamente a su creaciónpodría incurrir en una falta leve o grave, tal y como señala el artículo 44 de la LOPD,quedando sujeto al régimen sancionador previsto.


3. Obligaciones formales. inscripción, modificación... | 139

Finalmente, debemos recordar que no se encuentran dentro del ámbito de aplicaciónde la LOPD y, por tanto, no deben notificarse:

– los tratamientos referidos a personas jurídicas;

– los ficheros que se limiten únicamente a incorporar los datos de las personas físicasque presten sus servicios en aquéllas, consistentes únicamente en su nombre y ape-llidos, las funciones o puestos desempeñados, así como la dirección postal o electró-nica, teléfono y número de fax profesionales;

– los ficheros con datos relativos a empresarios individuales, cuando hagan referenciaa ellos en su calidad de comerciantes, industriales o navieros.

La notificación de ficheros al RGPD es totalmente gratuita. Del mismo modo, la ob-tención del formulario electrónico de Notificaciones Telemáticas a la AEPD (denomi-nado NOTA) puede obtenerse de forma gratuita en la página web de la Agencia, ytambién se permite realizar la notificación a través de la sede electrónica: https://sedeagpd.gob.es.

– EVOLUCIÓN DE LA INSCRIPCIÓN DE FICHEROS EN EL RGPD

– OPERACIONES DE INSCRIPCIÓN

EVOLUCIÓN ANUAL DE LAS OPERACIONES DE INSCRIPCIÓN

Fuente: Memoria de la AEPD correspondiente al año 2013.

3/15


3/20

3/25

140 | 2. Requisitos para la inscripción de ficheros...

2. REQUISITOS PARA LA INSCRIPCIÓN DE FICHEROS Y LOS SISTEMAS DECONTROL

La inscripción en el RGPD es meramente declarativa, ya que el hecho de la comunica-ción sólo viene a dar cumplimiento a la exigencia de inscripción que establece laLOPD, no pudiéndose acreditar o prejuzgar si el responsable del fichero cumple conel resto de las obligaciones que le son exigibles en materia de protección de datos.

La licitud en la creación de ficheros de titularidad privada, que contengan datos decarácter personal, se condiciona a que resulte necesario para el logro de la actividadu objeto legítimos de la organización. Es decir, sea necesario que los ficheros cuentencon una finalidad determinada y acorde con el objeto social de la entidad, ya que,en caso contrario, podría incurrirse en falta grave, tal y como señala el artículo 44.3.b)de la LOPD. No obstante, este requisito no suele presentar problema alguno, al me-nos desde el punto de vista de la inscripción de ficheros. En segundo lugar, se debenrespetar las garantías establecidas en la Ley.

En este sentido, la LOPD prevé unos sistemas de control a priori y a posteriori, quevelan por la legalidad de los ficheros:

– A priori, porque la LOPD establece que todas aquellas personas o entidades queprocedan a crear ficheros, que contengan datos de carácter personal, están obliga-dos a comunicarlo previamente, para su inscripción en el RGPD.

– A posteriori, mediante el derecho de consulta pública y gratuita al RGPD por partede cualquier persona, bien a través de comunicación directa con la AEPD, o me-diante una consulta al sitio web de la AEPD (www.agpd.es).

3. AGRUPACIÓN DE FICHEROS PARA LA INSCRIPCIÓN

El concepto amplio de fichero que se recoge en los artículos 3.b) de la LOPD y 5.1.k)del RLOPD (todo conjunto organizado de datos de carácter personal, cualquiera que fuere laforma o modalidad de su creación, almacenamiento, organización y acceso) permite que cadaentidad pueda determinar y agrupar los ficheros a inscribir con una cierta discreciona-lidad, ya que el Registro General de Protección de Datos (RGPD) no deniega lainscripción de algún fichero por divergencias en los criterios de clasificación estableci-dos en las organizaciones.

El Informe Jurídico 368/2003 de la AEPD trata la cuestión de que un mismo fichero esté endistintas ubicaciones, como, por ejemplo, en distintos equipos informáticos. Señala alrespecto que «... de lo establecido en la Directiva y en la propia LOPD parece desprenderse que elconcepto de fichero no va directamente vinculado a la exigencia de que el mismo se encuentre en unaúnica ubicación, sino que será posible la existencia de ficheros distribuidos en lugares geográficosremotos entre sí, siempre y cuando la organización y sistematización de los datos responda a unconjunto organizado y uniformado de datos, sometido a algún tipo de gestión centralizada...».

Por tanto, a la hora de realizar la notificación de inscripción es necesario seguirun criterio lógico de agrupación de ficheros que pudieran asemejarse atendiendo alcontenido y finalidad, ya que la operativa es más sencilla desde un punto de vistaorganizativo y de gestión de los ficheros, además de suponer un ahorro de tiempo,evitando cumplimentar más formularios de inscripción. Así, por ejemplo, si existe enla empresa un fichero de personal en el que se recogen las aptitudes del trabajador,currículos, copia de recibos salariales, etcétera, y existe, por otro lado, un softwareinformático de gestión de personal, la agrupación lógica conllevaría una agrupaciónde ambos, pudiendo inscribir un único fichero al que se podría denominar: «Recur-sos Humanos».

Finalmente, hay que señalar que solo será necesario realizar una única notificaciónen el supuesto en el cual los datos estén almacenados en diferentes soportes, automa-



tizados y no automatizados, o exista una copia en soporte papel de un fichero automa-tizado.

¿Debe ser objeto de inscripción un fichero temporal creado para un tratamiento pun-tual? Lo que es objeto de inscripción son los ficheros, pero no los tratamientos. Portanto, un fichero temporal creado para realizar un tratamiento ocasional a partir deun fichero existente no debe inscribirse, aunque sí debe hacerlo el fichero de origen.Así, por ejemplo, si se crea un fichero temporal para organizar las vacaciones delpersonal a partir del fichero de recursos humanos, debe estar inscrito éste y no eltemporal de vacaciones. En cambio, la AEPD señala que sí debe inscribirse un fichero,aunque sea de carácter temporal, creado para realizar tratamientos de datos periódi-cos, como, por ejemplo, el censo agrario, preinscripción anual en una actividad, etcé-tera. En todo caso, debe estarse a cada caso concreto.

Así, por ejemplo, los sistemas de videovigilancia en los que no se graban las imágenes deben cumplircon las normas de protección de datos, salvo el deber de inscripción.

Por otro lado, en una Unión Temporal de Empresas cada una de las entidades con-serva su personalidad jurídica y su responsabilidad individual. Como solo es necesarioinscribir ficheros nuevos, la obligación nacerá en el supuesto de que el objeto de laUTE requiera realizar tratamientos de datos diferentes de los notificados por partede cada una de las empresas.

En cuanto a los ficheros de usuarios y los logs de acceso, se trata de ficheros integra-dos en otro del que forman parte, por lo que no existe obligación de notificarlo enel Registro. En este sentido se ha pronunciado la AEPD, en su Informe Jurídico 0042/2008.

4. PROCEDIMIENTO DE INSCRIPCIÓN, MODIFICACIÓN O SUPRESIÓN DE FI-CHEROS DE LA AEPD

Los procedimientos relacionados con la inscripción, modificación o cancelación deficheros se detallan en los artículos 130, 131, 132, 133, 134, 135 y 136 del RLOPD.

Una vez presentado el formulario correctamente (es decir, si contiene la informaciónpreceptiva y se cumplen el resto de exigencias legales), mediante alguno de los siste-mas previstos, la AEPD remitirá un escrito a la dirección indicada, a efectos de notifi-caciones, en el que se informará sobre la inscripción del fichero, su nombre y quiénes su responsable. Del mismo modo, se asignará el código de inscripción de ese fi-chero, el cual será necesario en el caso de que se desee modificar o suprimir, ademásde ser requerido en supuestos de inspección o procedimientos sancionadores o detutela de derechos, por parte de la AEPD. Técnicamente es el Director de la AEPD,a propuesta del RGPD, el que acuerda la inscripción del fichero.

3/30


142 | 4. Procedimiento de inscripción, modificación o supresión...

Desde un punto de vista formal, el Estatuto de la AEPD aclara que es la Agencia, a través de suDirector, la que acuerda la inscripción, y no el Registro General de Protección de Datos.



En lo que respecta a la notificación de ficheros de titularidad pública, se contieneuna especialidad en el artículo 131 del RLOPD. Exige que se acompañe a la notifica-ción una copia de la norma o acuerdo de creación, modificación o supresión delfichero. No obstante, si el boletín donde se halle publicada dicha norma o acuerdo esaccesible a través de Internet, es suficiente con indicar en la notificación la direcciónelectrónica que permita su localización. Recibida la notificación, si no contuvierala preceptiva información o se advirtieran defectos formales, el RGPD requerirá alresponsable para que subsane o complete la notificación, que tendrá de plazo tresmeses, en el caso de que precise la modificación de la norma o acuerdo de creacióndel fichero.

El RGPD inscribirá el fichero si la notificación se ajusta a los requisitos exigibles. Encaso contrario, podrá pedir que se completen los datos que falten o se proceda a susubsanación. Transcurrido un mes desde la presentación de la solicitud de inscripciónsin que la AEPD haya resuelto sobre ésta, se entenderá inscrito, modificado o cance-lado el fichero a todos los efectos, tal y como señala el artículo 134.2 del RLOPD.

Si la notificación no contuviera la información que se exige preceptivamente o nose cumplieran las restantes exigencias legales, se requerirá, por parte del RGPD, alresponsable del fichero para que la complete o subsane en el plazo de diez días, conindicación de que, si así no lo hiciera, se le tendrá por desistido de su petición,archivándose sin más trámite.

La inscripción, modificación o cancelación puede ser denegada por el Director de laAEPD, a propuesta del RGPD, cuando de los documentos aportados por el responsa-ble del fichero se desprenda que la notificación no resulta conforme a lo dispuestoen la LOPD. Esta resolución debe estar debidamente motivada, con indicación ex-presa de las causas que impiden la inscripción, modificación o cancelación del fiche-ro.

5. CREACIÓN, MODIFICACIÓN Y SUPRESIÓN DE FICHEROS DE TITULARI-DAD PÚBLICA

Las obligaciones formales referentes a los ficheros de naturaleza pública son objeto de desarrolloespecífico en el Capítulo 19, dedicado a la Administración Pública.

Los artículos 20.1 de la LOPD y 52.1 del RLOPD establecen que la creación, modifi-cación o supresión de los ficheros de las Administraciones Públicas solo puede ha-cerse por medio de disposición general publicada en el Boletín Oficial del Estado odiario oficial correspondiente.

Los artículos 20.2 de la LOPD y 54.1 del RLOPD determinan aquello que debe reco-ger la disposición de creación o modificación de los ficheros de titularidad pública.

En definitiva, para realizar el proceso de notificación de ficheros de titularidadpública es requisito previo que se haya publicado una disposición que contenga: ladescripción completa del fichero, incluyendo su nombre, su finalidad y usos previs-tos, y los colectivos de los que se pretende recabar datos de carácter personal, asícomo los procedimientos empleados para su obtención, la estructura de los datos,al igual que el sistema de tratamiento empleado, y las posibles cesiones o transferen-cias internacionales de datos que sufrirán estos.

El artículo 54.2 del RLOPD señala que la disposición o acuerdo de modificación delfichero deberá indicar las modificaciones producidas. Por su parte, el artículo 20.3de la LOPD (e, igualmente, el artículo 54.3 del RLOPD) señala que se establecerá en

3/35


3/40

144 | 6. Forma de realizar las notificaciones de inscripción,...

las disposiciones que se dicten para la supresión de los ficheros el destino de losmismos o, en su caso, las previsiones que se adopten para su destrucción.

Finalmente, el fichero deberá ser notificado a la AEPD por el órgano competente dela Administración responsable del fichero para su inscripción en el plazo de treintadías desde la publicación de su norma o acuerdo de creación en el diario oficialcorrespondiente, tal y como determina el artículo 55.1 del RLOPD.

No obstante, el artículo 63 del RLOPD dispone que, excepcionalmente, se puedeproceder a la inscripción de oficio de un determinado fichero, por parte del Directorde la AEPD, a propuesta del RGPD. Para ello, es requisito indispensable que la corres-pondiente norma o acuerdo regulador de los ficheros haya sido publicado en el co-rrespondiente diario oficial.

En el supuesto de que la inscripción se refiera a ficheros de la competencia de unaagencia de protección de datos autonómica que haya creado su propio registro deficheros, se comunicará a la referida autoridad de control para que proceda, en sucaso, a la inscripción de oficio. En este sentido, el artículo 64 del RLOPD prevé laposibilidad de celebrar acuerdos o convenios de colaboración entre la AEPD y lasagencias autonómicas, a fin de garantizar la inscripción de ficheros.

6. FORMA DE REALIZAR LAS NOTIFICACIONES DE INSCRIPCIÓN, MODIFI-CACIÓN Y SUPRESIÓN DE FICHEROS: FORMULARIO NOTA

Para realizar la inscripción inicial del fichero y, en su caso, la posterior modificacióno supresión de la inscripción, se encuentra disponible el formulario electrónico gra-tuito denominado NOTA (Notificaciones Telemáticas a la AEPD) a través del que deberánefectuarse las solicitudes en el Registro General de Protección de Datos (aprobadomediante Resolución de la AEPD de 12 de julio de 2006).

En dicho formulario hay que proporcionar la siguiente información:

a) Identificación del responsable del fichero: Nombre o denominación social, CIF oNIF, domicilio social, actividad del responsable del fichero, teléfono, fax y correoelectrónico.

b) Identificación del responsable para el ejercicio de derechos de acceso, rectifica-ción, cancelación u oposición, si fuera distinto del declarado en el apartado ante-rior.

c) Identificación del encargado del tratamiento. Nombre o denominación social, CIFo NIF, domicilio social, actividad del responsable del fichero, teléfono, fax y correoelectrónico.

d) Nombre del fichero y descripción detallada de la finalidad y usos previstos.

e) Procedimiento y procedencia de los datos.

f) Colectivo de personas sobre el que se obtienen los datos.

g) Categorías de datos, estructura y organización del fichero.

h) Sistema de tratamiento que se va a utilizar: automatizado, manual o mixto.

i) Medidas de seguridad: Nivel básico, medio o alto.

j) Cesiones o comunicaciones de datos previstas.

k) Transferencias internacionales de datos que se prevean realizar a otros países, conexpresión de éstos.

Por un lado, son de cumplimentación obligatoria, además de la correspondiente Hojade solicitud, los apartados de: Responsable del fichero; Identificación y finalidad del fichero;



Origen y procedencia de los datos; Tipos de datos, estructura y organización del fichero, y Medi-das de seguridad.

Finalmente, son de cumplimentación opcional los apartados correspondientes a: Dere-chos de oposición, acceso, rectificación y cancelación; Encargado de tratamiento; Cesión o comu-nicación de datos, y Transferencias internacionales de datos.

En lo que respecta al formulario electrónico «NOTA» advertimos que es, en realidad,un fichero cumplimentable en formato «pdf», que se obtiene descargándolo directa-mente desde el sitio web de la AEPD (www.agpd.es).

Desde un punto de vista técnico, «NOTA» no requiere una instalación informática previa y esnecesario manejar la última versión del programa Adobe Reader, que se encarga de hacer funcionarel formulario en «pdf».

Una vez cumplimentado el formulario, la notificación a la AEPD se enviará cifrada através de un canal seguro, mediante protocolo SSL (Secure Socket Layer).

En el caso de que el ordenador se conecte a Internet mediante un servidor proxy, sedeberá enviar la notificación a través del formulario electrónico NOTA abierto en elnavegador. Para abrir el formulario NOTA, existen varias opciones que difieren enfunción del navegador y el sistema operativo utilizado. Una de las más comunes esabrir el formulario «pdf» mediante la opción Archivo/abrir del navegador. No obstante,si la conexión no se realiza mediante un servidor proxy, pero no permite enviar lanotificación desde el propio «pdf», se puede hacer a través del formulario abierto enel navegador, tal y como se ha indicado anteriormente.

El formulario electrónico puede ser cumplimentado a través de las distintas páginaspor medio de la barra de desplazamiento lateral.

Se recomienda guardar la notificación antes de pasar a la siguiente fase de cumpli-mentación, ya que una vez que se haya optado por cumplimentar la Hoja de solicitudno se podrán realizar nuevos cambios en la notificación.

Una vez cumplimentado el formulario, se permite imprimir un borrador de la notifi-cación. No obstante, esta impresión no puede ser presentada para su inscripción enla AEPD. Posteriormente, es necesario rellenar una hoja de solicitud, en la cual sedeben indicar los datos identificativos de la persona que firma la solicitud y el cargoo su condición en relación con el responsable del fichero, además de señalar unadirección a efectos de notificaciones.

Antes de realizar el envío de la notificación se deberá aceptar la cláusula de información siguiente:«De conformidad con lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protecciónde Datos de Carácter Personal, solicito la inscripción en el Registro General de Protección de Datosdel fichero de datos de carácter personal al que hace referencia el presente formulario de notificación.Asimismo, bajo mi responsabilidad manifiesto que dispongo de representación suficiente para solicitarla inscripción de este fichero en nombre del responsable del fichero y que éste está informado del restode obligaciones que se derivan de la LOPD. Igualmente, declaro que todos los datos consignados sonciertos y que el responsable del fichero ha sido informado de los supuestos legales que habilitan eltratamiento de datos especialmente protegidos, así como la cesión y la transferencia internacional dedatos. La Agencia Española de Protección de Datos podrá requerir que se acredite la representaciónde la persona que formula la presente notificación».

Existen varias formas de presentación del formulario NOTA en el RGPD.

I) En primer lugar, es posible hacerlo a través de Internet con certificado electrónico.En este supuesto, una vez cumplimentada correctamente la notificación y la Hojade solicitud, será necesario indicar en el formulario que no se van a realizar máscambios mediante el botón Finalizar formulario para proceder a la firma de la noti-ficación. Una vez firmada electrónicamente la solicitud, se enviará mediante elformulario electrónico al Registro Telemático de la AEPD.

3/45


146 | 6. Forma de realizar las notificaciones de inscripción,...

Recibida la notificación en el Registro Telemático de la AEPD, se emitirá por el mismomedio (mediante un impreso «pdf» que se abrirá en el navegador) un mensaje deconfirmación de la solicitud, en el que constarán los datos proporcionados por elinteresado, junto con la acreditación de la fecha y hora en que se produjo la recep-ción y una clave de identificación de la transmisión. El mensaje de confirmacióngarantizará la identidad del registro y tendrá el valor de recibo de presentación.

La no recepción del mensaje de confirmación, o en su caso la recepción de un mensajede indicación de error, implica que no se ha producido su recepción, debiendo realizarsela presentación en otro momento o utilizando otros medios.

La presentación de solicitudes, escritos y comunicaciones al Registro Telemático podrárealizarse, como es lógico, durante las veinticuatro horas de todos los días del año.

A los efectos del cómputo de plazo, la recepción en un día inhábil se entenderá efectuada el primerdía hábil siguiente. En este caso, en el asiento de entrada se inscribirán como fecha y hora depresentación aquéllas en que se produjo efectivamente la recepción, constando como fecha y hora deentrada las cero horas y un segundo del primer día hábil siguiente. El calendario de días inhábilesa efectos de este Registro Telemático será el que se determine en la resolución anual publicada en elBoletín Oficial del Estado para todo el territorio nacional por el Ministerio de AdministracionesPúblicas, según lo dispuesto en el artículo 48.7 de la Ley 30/1992.

Si se ha optado por presentar la notificación a través de Internet con certificado digitalde firma y se dispone de una dirección electrónica habilitada a efectos de notificacionesdel Servicio de Notificaciones Electrónicas hay que indicar este extremo en el apartadode Medio de notificación, donde se notificará la inscripción del fichero.

El Servicio de Notificaciones Electrónicas es un servicio que ofrece el Ministerio de Hacienda yAdministraciones Públicas en colaboración con Correos para la gestión de notificaciones telemáticasentre las administraciones públicas y los ciudadanos. Por tanto, darse de alta en este servicio permitea ciudadanos y empresas recibir de forma electrónica las notificaciones administrativas que recibenen papel. La suscripción a este servicio es voluntaria y tiene carácter gratuito. Para más informaciónsobre las Notificaciones Electrónicas con la Administración puede consultarse la dirección web:https://notificaciones.060.es/PC_init.action.



Impresión de pantalla del Servicio de Notificaciones Electrónicas y la suscripción para recibir notifi-caciones en los procedimientos de la AEPD (acceso 20/10/2014).

II) En segundo lugar, es posible presentar el formulario NOTA a través de Internet,pero sin que el mismo vaya firmado con un certificado electrónico. En este caso,una vez cumplimentada de forma correcta la notificación y la Hoja de solicitud,se deberá enviar aquélla, mediante el formulario electrónico, pulsando el botónGenerar/Enviar que se encuentra en la Hoja de solicitud.

El formulario indicará que se está conectando con el servidor de la AEPD y, actoseguido, el sistema enviará la Hoja de solicitud (en formato «pdf») que confirma quela notificación ha sido enviada correctamente. Dicha Hoja de solicitud se deberá remitira la AEPD, debidamente firmada por la persona que efectúa la notificación.

Las presentaciones de notificaciones realizadas mediante este sistema no se considera-rán recibidas, careciendo de efecto alguno, sino desde la fecha en la que tenga en-trada en la AEPD la hoja de solicitud firmada de forma manual, habiéndose presen-tado en la propia Agencia o en alguno de los Registros y oficinas a los que se refiereel artículo 38.4 de la Ley 30/1992. Las hojas de solicitud firmadas manualmente sedeben remitir, bien por carta a la AEPD (C/ Jorge Juan, 6, 28001, Madrid), o bienpor fax a los números 91 445 25 29 ó 91 448 36 80.

III) También es posible la presentación del formulario NOTA, mediante formularioen papel con código de nube de puntos.

Una vez que cumplimentada la Hoja de solicitud, para obtener el modelo que puedeser presentado en la AEPD deberá pulsar el botón «Finalizar formulario» que seencuentra al final de la Hoja de solicitud. En el caso de la presentación en papel, segenerará el código de barras bidimensional PDF 417 (nube de puntos), así como elcorrespondiente código de envío que establece la correspondencia entre el contenidoque figura en cada una de las páginas que componen el modelo de notificación y lanube de puntos generada. Es necesario que la nube de puntos aparezca impresa deforma correcta sin marcas sobre ella.

Una vez cumplimentada la notificación y la Hoja de solicitud de forma correcta, sedeberá imprimir la correspondiente notificación en la que figurará el código de ba-rras bidimensional PDF 417. Una vez firmada la Hoja de solicitud por la persona que,con representación suficiente del responsable del fichero, formula la notificación, sedebe presentar en la AEPD o en alguno de los Registros y oficinas a los que se refiereel artículo 38.4 de la Ley 30/1992.


3/50

148 | 7. Operativa de cumplimentación del formulario NOTA

IV) Finalmente, a través del sistema de tramitación telemática en el mismo procesode constitución de una empresa, es posible realizar el proceso de notificación ala AEPD integrado en el sistema del Centro de Información y Red de Creaciónde Empresas (CIRCE). Como consecuencia de un convenio de colaboración conla AEPD se permite realizar de forma telemática, a través del sistema de tramita-ción del CIRCE, el trámite de inscripción de ficheros. Este proceso lo puedenutilizar aquellas empresas que se constituyan a través del Documento Único Elec-trónico (DUE) en el sistema de tramitación telemática del citado CIRCE, y através del la Red PAE (Puntos de Asesoramiento al Emprendedor).

Más información al respecto en las direcciones electrónicas www.creatuempresa.org y www.paee-

lectronico.es (acceso 20/10/2014).

Una vez inscrito el fichero en el RGPD, la AEPD notificará la resolución de inscrip-ción del Director de la Agencia en la que se comunicará el código de inscripciónasignado, a la dirección que a esos efectos se ha hecho constar en el apartado corres-pondiente de la Hoja de solicitud. Si no se recibe esta notificación con el código deinscripción, es probable que el fichero no se haya inscrito correctamente. Es recomen-dable contactar con la AEPD para verificar este dato, o bien consultar el sitio web dela Agencia donde constan inscritos todos los ficheros, con el fin de hacer la correspon-diente comprobación.

Además, se puede realizar el seguimiento del estado de tramitación de las notifica-ciones remitidas a la AEPD a través de Internet, mediante certificado de firma electró-nica de la persona que presentase en su día la notificación.

En caso de no disponer de un certificado de firma electrónica se puede realizar la consulta identifi-cándose mediante el DNI y el código de envío facilitado por el formulario electrónico.

7. OPERATIVA DE CUMPLIMENTACIÓN DEL FORMULARIO NOTA

7.1. Cuestiones iniciales

Una vez abierto el formulario NOTA en formato «pdf» el asistente señala varias pre-guntas iniciales acerca del tipo de solicitud de inscripción (debiendo señalarse lacasilla que corresponda, en función de si se va a notificar una nueva inscripción, unamodificación o una supresión de un fichero) y el modelo de declaración. En estesentido, se puede optar por utilizar una de las notificaciones tipo precumplimentadasque aparecen en el formulario, o bien utilizar el formulario electrónico vacío paraser cumplimentado manualmente de forma completa.

Mediante la opción tipo del formulario electrónico se pueden notificar de formasimplificada una serie de ficheros relacionados, para los de titularidad privada, conla gestión de comunidades de propietarios, clientes, libro recetario de las oficinas defarmacia, pacientes, gestión escolar, nóminas, recursos humanos y videovigilancia ylos de titularidad pública de recursos humanos, gestión del padrón, gestión econó-mica o control de acceso. A través de esta opción, el formulario electrónico muestrauna notificación precumplimentada que se podrá completar, o en su caso adaptar ala situación concreta del fichero a notificar. En el caso de que ninguna de las notifi-caciones tipo previstas por la AEPD se adapte al fichero que pretende notificar, sedeberá seleccionar la opción de notificación normal.

Finalmente, se solicitará al usuario que señale la forma de presentación que deseapara proceder a la formalización de la solicitud de notificación de ficheros.



No es posible realizar comentarios o aclaraciones en el formulario electrónicoNOTA fuera de los espacios habilitados al efecto. No obstante, si el responsabledesea hacer alguna aclaración adicional a la declaración, puede acompañar juntoal modelo de notificación, correctamente cumplimentado, un escrito en el que seincluyan las aclaraciones que considere necesarias.

7.2. Responsable del fichero y encargado del tratamiento

En el apartado inicial del formulario de notificaciones NOTA es preciso indicar, comoresponsable del fichero, la persona física o jurídica que decida sobre la finalidad,contenido y uso del mismo. Cuando se tenga previsto crear un fichero del que resul-ten responsables varias personas o entidades simultáneamente, cada una de ellas debeproceder a inscribir el correspondiente fichero.

Recordamos que si esto se produce debe existir un protocolo de gestión del fichero, que determine laresponsabilidad de cada uno, los controles de acceso, los ejercicios de derechos, las concretas medidasde seguridad, etc.

En este sentido, debemos aclarar que en el caso de un fichero de control de accesos a un edificio quecomparten varias empresas puede ser responsable la empresa de seguridad del edificio (tal y comoseñala la AEPD en su Instrucción 1/1996). Por otro lado, en el supuesto de un fichero de undespacho colectivo de abogados no nos encontramos ante un único fichero con varios responsables,

3/55



sino que cada letrado es responsable de sus propios expedientes, debiendo impedirse el acceso a losdatos y expedientes que no son de su competencia.

Cuando el responsable del fichero no esté establecido en la Unión Europea y utilice,en el tratamiento de datos, medios situados en territorio español, debe designar, salvoque tales medios se utilicen con fines de tránsito, un representante en España. Eneste caso, se deberán cumplimentar obligatoriamente los datos de su representanteen España en el apartado relativo a los derechos de oposición, acceso, rectificación ycancelación.

Por otro lado, debe indicarse la actividad del responsable, previa elección de unarelación de tipificaciones de códigos de actividad, en el que se incluyen, entre otros:comercio; sanidad; contabilidad, auditoría y asesoría fiscal; asociaciones y clubes; acti-vidades inmobiliarias; educación; servicios informáticos; entidades bancarias y finan-cieras; actividades jurídicas, notarios y registradores; actividades diversas de serviciospersonales; publicidad directa; seguridad; selección de personal; actividades políticas,sindicales y religiosas; mutualidades colaboradoras de los organismos de la seguridadsocial; solvencia patrimonial y crédito; y comunidades de propietarios.

Existen una serie de campos de cumplimentación voluntaria, como teléfono, fax ydirección de correo electrónico.

El apartado referido a los «Derechos de oposición, acceso, rectificación y cancelación» única-mente deberá cumplimentarse en el caso de que la dirección donde se prevea atenderal ciudadano que desee ejercitar sus derechos de acceso, rectificación, cancelacióny oposición sea diferente a la indicada en el apartado relativo al responsable delfichero.

Respecto al apartado de «Encargado del tratamiento», únicamente habrá de cumplimen-tarse cuando un tercero realiza el tratamiento por cuenta del responsable e impliqueuna ubicación del fichero distinta a la indicada en el apartado relativo al responsabledel fichero. Es necesario consignar, por otro lado, el nombre del país, en caso de queéste no sea España. Si esta dirección se encuentra fuera de la Unión Europea deberácumplimentarse obligatoriamente el apartado de Transferencias internacionales.

Recordamos en este punto que no debe ser el encargado del tratamiento el que seocupe de la comunicación para la inscripción de los ficheros, debiendo ser el respon-sable del fichero el que cumpla con esta obligación legal. Por tanto, a efectos deinscripción, el encargado del tratamiento no deberá figurar inscrito en el RGPDcomo entidad responsable de los ficheros o tratamientos.

En el caso de que existan varios encargados del tratamiento la AEPD recomienda queen el apartado correspondiente del formulario normalizado de inscripción, dondesólo se establece espacio para un encargado, se haga figurar a aquel que realice eltratamiento de datos que pueda implicar una mayor duración en el tiempo, o riesgosmayores, según el tipo y la cantidad de datos tratados.

No obstante, se puede comunicar el nombre del resto de los encargados del trata-miento que intervengan, a efectos informativos, mediante un escrito adjunto a lanotificación, ya que no cabe en el formulario hacer constar más datos de los que sesolicitan, mediante su inclusión en un lugar distinto del previsto en el modelo. Porello, si se desea aclarar o añadir algo más se puede adjuntar un escrito en el que seincluyan las notas que se consideren necesarias.



7.3. Identificación y finalidad del fichero

En el apartado dedicado a la «identificación y la finalidad del fichero» es necesario indicarel nombre que identifique el fichero y una descripción detallada de la finalidad yusos previstos.

Es preciso seleccionar la/s tipificación/es que se corresponda/n con dicha descrip-ción disponible en la lista del formulario NOTA; entre las más habituales que secontienen, mencionamos las siguientes: gestión de clientes, contable, fiscal y administra-tiva; recursos humanos; gestión de nóminas; prevención de riesgos laborales; prestación de servi-cios de solvencia patrimonial y crédito; cumplimiento/incumplimiento de obligaciones dinerarias;servicios económicos-financieros y seguros; publicidad y prospección comercial; prestación de servi-cios de comunicaciones electrónicas; comercio electrónico; historial clínico; y videovigilancia.

3/60


3/65


7.4. Origen y procedencia de los datosEn la sección del formulario NOTA relativo al «origen y procedencia de los datos» se debeseleccionar por parte del responsable, al menos, una de las casillas correspondientesal origen de los datos de carácter personal del fichero. Se deben seleccionar, además,de la lista los colectivos o personas origen de la información del fichero, tanto si elcolectivo o grupo de personas está recogido explícita o implícitamente en el fichero.

En el caso de que el colectivo no se encuentre identificado en la lista, hay que señalarla casilla correspondiente a Otros colectivos y describirlo brevemente.

Respecto a la relación de tipificaciones de colectivos que se incluye en el NOTAaparecen las siguientes: empleados; clientes; proveedores; asociados o miembros; pro-pietarios o arrendatarios; pacientes; estudiantes; personas de contacto; padres o tuto-res; representante legal; solicitantes; beneficiarios; y cargos públicos.



7.5. Tipos de datos, estructura y organización del fichero

En el apartado acerca de los «tipos de datos, estructura y organización del fichero» que sedeclara, mediante el formulario NOTA, es preciso seleccionar los tipos de datos decarácter personal incluidos en el fichero de la lista disponible en el formulario. Encaso de que los datos incluidos en el fichero no se encuentren identificados en dichalista, hay que señalar la casilla correspondiente a Otros tipos de datos y proceder a sudescripción, de modo breve.

La relación de tipificaciones de datos se reproduce a continuación: 1. Característicaspersonales (datos de estado civil; de familia; fecha y lugar de nacimiento; edad, sexo,nacionalidad; lengua materna; características físicas o antropométricas); 2. Circunstan-cias sociales (características de alojamiento, vivienda; situación militar; propiedad yposesiones; aficiones y estilo de vida; pertenencia a clubes y asociaciones; licencias,permisos y autorizaciones); 3. Académicos y profesionales (formación y titulaciones; histo-rial del estudiante; experiencia profesional; pertenencia a colegios o asociaciones pro-fesionales); 4. Detalles del empleo (profesión; puestos de trabajo; datos no económicosde nómina; historial del trabajador); 5. Información comercial (actividades y negocios;licencias comerciales; suscripciones a publicaciones y/o medios de comunicación;creaciones artísticas, literarias, científicas o técnicas); 6. Económicos, financieros y deseguros (ingresos y rentas; inversiones y bienes patrimoniales; créditos, préstamos yavales; datos bancarios; planes de pensiones y/o de jubilación; datos económicos denómina; datos de deducciones impositivas e impuestos; seguros; hipotecas; subsidioso beneficios sociales; historial de créditos; tarjetas de crédito); y 7. Transacciones debienes y servicios (bienes y servicios suministrados o recibidos por el afectado; transac-ciones financieras; compensaciones e indemnizaciones).

3/70


3/75

3/80


Finalmente, debe indicarse cuál es el sistema de tratamiento en la entidad. En estepunto, debemos aclarar que se entiende por sistema de tratamiento el modo en que seorganiza la información o se utiliza un sistema de información. Atendiendo al sistemade tratamiento, los sistemas de información podrían ser automatizados, no automati-zados (manual o en soporte papel) o parcialmente automatizados (mixto).

7.6. Medidas de seguridad

Existe un apartado específico donde se debe indicar el nivel de seguridad (básico,medio o alto) aplicado al fichero que está siendo objeto de notificación.

A la hora de cumplimentar este apartado debe tenerse en cuenta lo establecido enel artículo 81.5 del RLOPD, en el que se señala que, en el caso de ficheros o trata-mientos de datos de ideología, afiliación sindical, religión, creencias, origen racial,salud o vida sexual basta la implantación de las medidas de seguridad de nivel básicoen dos supuestos: a) Cuando los datos se utilicen con la única finalidad de realizaruna transferencia dineraria a las entidades de las que los afectados sean asociados omiembros. b) Cuando se trate de ficheros o tratamientos en soporte papel en los que,de forma incidental o accesoria, se contengan aquellos datos sin guardar relación consu finalidad.

Igualmente, pueden implantarse las medidas de seguridad de nivel básico en los fi-cheros o tratamientos que contengan datos relativos a la salud, referentes, exclusiva-mente, al grado de discapacidad o la simple declaración de la condición de discapaci-dad o invalidez del afectado, con motivo del cumplimiento de deberes públicos. Esdecir, los ficheros de nóminas en los que puedan constar datos de salud, como elgrado de discapacidad, debido a las obligaciones del IRPF, pueden declarar un nivelbásico de seguridad.

En cualquier caso, nos remitimos al contenido del Capítulo 6 correspondiente a las «medidasde seguridad».

7.7. Comunicaciones o cesiones de datos

En el supuesto de que se prevea realizar cesiones o comunicaciones de datos existela obligación de rellenar un apartado específico del formulario NOTA. Recordemosque las cesiones de datos previstas deben contar con el consentimiento previo delinteresado, o ampararse en alguno de los supuestos legales establecidos en el artículo11 de la LOPD.

En consecuencia, es necesario seleccionar de la lista propuesta por el formularioelectrónico NOTA los destinatarios o categorías de destinatarios de las cesiones. Enel caso de que los destinatarios no se hallen en la lista se debe señalar la casillacorrespondiente a Otros destinatarios y proceder a su descripción, de una forma breve.La relación de tipificaciones de destinatarios de las cesiones es la siguiente: organiza-



ciones o personas directamente relacionadas con el responsable; organismos de la SeguridadSocial; registros públicos; colegios profesionales; Administración Tributaria; otros órganos de laAdministración Pública; CNMV; Comisión Nacional del Juego; notarios y procuradores; Fuerzasy Cuerpos de Seguridad del Estado; organismos de la Unión Europea; entidades dedicadas alcumplimiento o incumplimiento de obligaciones dinerarias; bancos, cajas de ahorros y cajasrurales; entidades aseguradoras; otras entidades financieras; entidades sanitarias; prestacionesde servicios de telecomunicaciones; empresas dedicadas a publicidad o marketing directo; asocia-ciones y organizaciones sin ánimo de lucro; sindicatos y juntas de personal; AdministraciónPública con competencia en la materia.

7.8. Transferencias internacionales de datos (TID)

Únicamente ha de cumplimentarse el apartado referente a TID en el formularioNOTA si el responsable del fichero realiza o tiene previsto realizar un tratamiento dedatos fuera del territorio del Espacio Económico Europeo.

Cuando la TID tenga como destino un país que no proporcione un nivel de protec-ción adecuado, deberá tenerse en cuenta que la LOPD establece que las previsionespara realizar transferencias internacionales son diferentes, dependiendo de que lospaíses destinatarios tengan un nivel de protección adecuado o no.

En el caso de que la transferencia tenga como destino un país que no proporcioneun nivel de protección adecuado al que presta la LOPD, dicha transferencia deberáampararse en alguna de las excepciones previstas en el artículo 34 de la LOPD. Si laTID no se encuentra amparada en ninguno de los supuestos citados, deberá solici-tarse la preceptiva autorización del Director de la AEPD.

La relación de categorías de destinatarios de TID que se proporciona en el formularioNOTA es la siguiente: compañías filiales; compañía matriz; compañías del grupo; prestadoresde servicio; universidades y centros educativos; órganos públicos de otros estados; organismosinternacionales; entidades sanitarias; órganos judiciales; entidades financieras; datos de pasaje-ros con destino a los organismos de fronteras de EE.UU. y Canadá.

3/85


3/90

156 | 8. Modificación de la inscripción del fichero previamente...

8. MODIFICACIÓN DE LA INSCRIPCIÓN DEL FICHERO PREVIAMENTE INS-CRITO EN EL RGPD

La inscripción del fichero debe encontrarse actualizada en todo momento, por loque cualquier modificación que afecte al contenido de la inscripción de un ficherodebe ser previamente notificada. Por tanto, deben notificarse las modificaciones queafecten, entre otras, al cambio de denominación social, la forma societaria o de perso-nalidad jurídica. Igualmente, las modificaciones del nivel de seguridad (básico, medioo alto) aplicable.

Para ello, se debe indicar el código de inscripción del fichero asignado por la AEPDy los datos identificativos del responsable del fichero, señalando aquellos apartadosque se modifican respecto a la notificación anterior. Si se ha extraviado el código deregistro se deberá dirigir una comunicación a la AEPD para que remita una copia dela documentación que se encuentra registrada a nombre del responsable del fichero.

Los apartados señalados que se pretendan modificar deben rellenarse por completo,indicando todos los datos, y no sólo los modificados, respecto a notificaciones previas,ya que esta notificación es sustitutiva a efectos de inscripción en el RGPD.

Para modificar el NIF/CIF o la denominación social del responsable del fichero laAEPD podría requerir para que se aporte la correspondiente documentación quejustifique el cambio.

En consecuencia, cualquier modificación se debe comunicar a la AEPD dentro delmes siguiente a la fecha en que aquélla se hubiera producido.

El artículo 62 del RLOPD permite que el RGPD rectifique, en cualquier momento,de oficio o a instancia de los interesados, los errores materiales, de hecho o aritméti-cos que pudieran existir en las inscripciones.



9. SUPRESIÓN DE LOS FICHEROS INSCRITOS EN EL RGPD

Para suprimir un fichero previamente registrado se deberá indicar su código de ins-cripción asignado por la AEPD y los datos identificativos del responsable del fichero.Además, se deberá indicar el motivo de la supresión y el destino de la información.Si se va a destruir el fichero, hay que describir el procedimiento que se va a seguir.

Cuando se notifique la supresión de un fichero por responsable distinto del quefigura inscrito en el RGPD se deberá acompañar documentación fehaciente que justi-fique el cambio del titular.

Para la supresión, al igual que en los casos de modificación, se debe comunicar a laAEPD, dentro del mes siguiente a la fecha en que aquélla se hubiera producido, aefectos de la cancelación del correspondiente asiento de inscripción.

Los ficheros que se encuentren en fase de «bloqueo» pueden ser suprimidos. Recorda-mos que el bloqueo consiste en la identificación y reserva de los datos con el fin deimpedir su tratamiento, excepto para su puesta a disposición de las AdministracionesPúblicas, Jueces y Tribunales, para la atención de las posibles responsabilidades naci-

3/95


158 | 9. Supresión de los ficheros inscritos en el RGPD

das del tratamiento y sólo durante el plazo de prescripción de dichas responsabilida-des. Transcurrido ese plazo debería producirse la supresión definitiva de los datos.

La notificación de solicitud de una nueva inscripción de un fichero no invalida nisustituye a una inscripción previa. Si no se notifica una solicitud de supresión de lainscripción anterior se produciría un duplicado de la inscripción.

Por último, hay que señalar que el Director de la AEPD puede, en el ejercicio de suscompetencias, acordar de oficio la cancelación de la inscripción de un fichero cuandoconcurran circunstancias que acrediten la imposibilidad de su existencia, debiendola resolución que lo acuerde estar debidamente motivada, con indicación expresa delas causas que justifican la adopción de esta medida excepcional.


Documents

Obligaciones formales. inscripción, modificación y ... · sión de ficheros: Formulario NOTA ... y 19 refiere la obligación de notificación a la autoridad de control, además