El registro general de protección de datos era un órgano de la Agencia Española de Protección de Datos en los que las empresas tenían la obligación de registrar los ficheros que almacenaban sobre sus usuarios. Sin embargo, con la entrada en vigor del Reglamento General de Protección de Datos (que heredó las siglas), este órgano quedó inhabilitado. Actualmente, para cumplir con la normativa de protección de datos hay requisitos diferentes.
Tabla de contenido
Funciones del registro general de protección de datos
Entre las funciones del registro general de protección de datos estaba garantizar la publicidad de los ficheros de datos personales. También que el usuario supiera qué tratamiento se aplicaba a esos ficheros y qué características tenían, para facilitar el ejercicio de los derechos ARCO.
En el registro general de protección de datos se inscribían los ficheros de las administraciones públicas, los ficheros privados, las autorizaciones de transferencias internacionales de datos, los códigos tipo y los datos necesarios para el ejercicio de derechos.
Este registro era de consulta pública y estuvo online hasta el 14 de mayo de 2018, cuando el Reglamento General de Protección de Datos pasó a ser de obligada aplicación.
¿Qué sustituye al registro general de protección de datos?
La nueva ley no exige registrar los ficheros en ningún lugar para cumplir con la ley de protección de datos. En su lugar, el RGPD pide que la empresa o entidad guarde un registro de actividades, en el que se refleje qué y cuantos datos trata. Aquí se incluye su tipología, la finalidad, el lugar donde se guardan, si hay transferencia o cesiones de los datos y los medios de tratamiento.
Lo ideal es tenerlo por escrito y siempre actualizado, ya que en el caso de que la Agencia Española de Protección de Datos haga una inspección podrían pedirlo.
Análisis de riesgos
Otro de los documentos obligatorios para cumplir con el RGPD es un análisis de riesgos. Esto es un informe en el que están pormenorizados los riesgos que tienen los datos almacenados y como está previsto paliarlos.
Tras realizar el análisis, es necesario también aplicar medidas de seguridad que puedan hacer frente a un ataque informático para salvaguardar los datos.
A este respecto, es importante tener en cuenta que el Reglamento General de Protección de Datos impone la obligación de notificar cualquier brecha de seguridad en las siguientes 72 horas desde que se produce.
¿Qué papel juega la Agencia?
Cabe preguntarse si la Agencia ya no conserva ese registro general de protección de datos, qué vinculación tiene con las empresas o entidades. O si es necesario hacerle alguna comunicación al respecto de la protección de datos.
La respuesta es sí. La Agencia inauguró un registro de delegados de protección de datos, una figura obligatoria para determinadas entidades (listadas en la nueva LOPD). Por medio de un buscador podemos encontrar al delegado de protección de datos de cualquier entidad.
Por ello, es necesario comunicar a la AEPD cualquier designación, nombramiento o cese de un DPO.
