Agencia española de protección de datos

Cuestiones generales sobre notificación de ficheros

¿Quiénes están obligados a notificar la creación, modificación o supresión de ficheros al RGPD?

Están obligados a notificar la creación, modificación o supresión de ficheros para su inscripción en el RGPD, de acuerdo a lo dispuesto en la LOPD, aquellas personas físicas o jurídicas, de naturaleza pública o privada, u órgano administrativo, que procedan a la creación de ficheros que contengan datos de carácter personal.

Los ficheros de datos de carácter personal de titularidad pública serán notificados a la Agencia Española de Protección de Datos por el órgano competente de la Administración responsable para su inscripción en el Registro General de Protección de Datos, en el plazo de treinta días desde la publicación de su norma o acuerdo de creación en el Diario Oficial correspondiente.

Los ficheros de datos de carácter personal de titularidad privada serán notificados a la Agencia Española de Protección de Datos por la persona o entidad privada que pretenda crearlos, con carácter previo a su creación. El RGPD inscribirá los ficheros si las notificaciones se ajustan a los requisitos exigibles. La inscripción de los ficheros en el RGPD es totalmente gratuita.

No se encuentran dentro del ámbito de aplicación de la LOPD, y por tanto no deben notificarse, los tratamientos referidos a personas jurídicas, ni a los ficheros que se limiten únicamente a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales. Tampoco deberán notificarse los ficheros con datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros.

La inscripción de un fichero deberá mantenerse actualizada en todo momento. Cualquier modificación que afecte al contenido de la inscripción deberá ser previamente notificada a la Agencia Española de Protección de Datos o a las autoridades de control autonómicas competentes, a fin de proceder a su inscripción en el registro correspondiente.

Cuando el responsable de un fichero decida su supresión, deberá notificarla a efectos de que se proceda a la cancelación de la inscripción.

¿Qué ocurre si no se notifica la existencia de un fichero?

En este caso podría incurrirse en falta leve, tal y como señala el artículo 44.2.b) de la Ley Orgánica 15/1999, quedando sujeto al régimen sancionador previsto en esta Ley.

¿Qué operaciones acerca de un fichero se notifican al RGPD?

Todo fichero de datos de carácter personal de nueva creación será notificado a la Agencia Española de Protección de Datos para su inscripción en el RGPD, o a las autoridades de control autonómicas competentes para sus correspondientes registros, por la persona o entidad privada que pretenda crearlo o por el órgano competente de la Administración responsable del fichero.

Igualmente, cualquier modificación que afecte al contenido de la inscripción deberá ser previamente notificada a fin de proceder a su inscripción y con objeto de cumplir con la obligación de mantener actualizada en todo momento la inscripción de los ficheros.

También deberán notificarse tanto las supresiones de ficheros para su inscripción correspondiente en el RGPD.

¿Cuando queda inscrito un fichero en el RGPD?

Si la notificación se ajusta a los requisitos exigibles, el fichero quedará inscrito en el RGPD; en caso contrario, se requerirá que se completen los datos o se proceda a su subsanación.

Una vez inscrito el fichero en el RGPD, se notificará la resolución de inscripción del Director de la Agencia Española de Protección de Datos en la que se comunicará el código de inscripción asignado, a la dirección que a esos efectos se ha hecho constar en el apartado correspondiente de la hoja de solicitud.

Igualmente, cuando los interesados así lo manifiesten expresamente en el formulario de notificación, podrán recibir por medios telemáticos la notificación de la resolución de inscripción, la comunicación de la necesidad de subsanar su solicitud, o cualquier otro escrito relacionado con la solicitud de inscripción de ficheros en el RGPD, para lo que deberán disponer de una dirección electrónica a efectos de notificaciones del Servicio de Notificaciones Telemáticas Seguras.

A través del Servicio de Notificaciones Electrónicas (http://www.notificaciones.060.es), se pone a disposición de cualquier persona física o jurídica que lo solicite la posibilidad de recibir de forma alternativa por vía telemática las notificaciones que actualmente reciben en papel. La suscripción a este servicio es voluntaria y tiene carácter gratuito.

En todo caso, la inscripción de un fichero en el RGPD, únicamente acredita que se ha cumplido con la obligación de notificación dispuesta en la Ley Orgánica 15/1999, sin que de esta inscripción se pueda desprender el cumplimiento por parte del responsable del fichero del resto de las obligaciones previstas en la Ley y demás disposiciones reglamentarias.

¿Cómo se notifica la existencia de un fichero al RGPD?

Mediante el formulario electrónico de NOtificaciones Telemáticas a la AEPD (NOTA) que puede obtenerse de forma gratuita en la página web de la AEPD.

Se puede optar por utilizar una de las notificaciones tipo precumplimentadas o bien por utilizar el formulario electrónico vacío para ser cumplimentado de forma completa.

¿Cómo se puede recibir telemáticamente la notificación de inscripción de ficheros en el RGPD?

Para recibir de forma telemática la notificación de inscripción de ficheros en el RGPD necesitará previamente y por una sola vez:

  • disponer de una Dirección Electrónica Habilitada del Servicio de Notificaciones Electrónicas.
  • suscribirse al procedimiento de la Agencia Española de Protección de Datos. Para ello, en el apartado "Suscripción a Procedimientos" de la web del Servicio de Notificaciones Electrónicas, seleccione "AEPD" como organismo emisor, la categoría "Todas" y la casilla "actualizar".

Además, en cada notificación de ficheros a través del formulario NOTA es preciso señalar expresamente DEH-SNE (Dirección Electrónica Habilitada del Servicio de Notificaciones Electrónicas) como medio de notificación en la casilla "Medio de notificación" de la hoja de solicitud del formulario de inscripción NOTA.

Esta opción sólo estará disponible para usuarios que hayan realizado su notificación de ficheros NOTA a través de Internet con certificado de firma electrónica reconocido.

¿En qué consiste la notificación mediante comparecencia en Sede Electrónica?

La notificación mediante comparecencia en Sede permite consultar el contenido de notificaciones de procedimientos administrativos tramitados en la Agencia Española de Protección de Datos a través de una dirección de correo electrónico.

Una vez tramitado el expediente que dio lugar a la solicitud, el solicitante recibirá, a través de la dirección de correo electrónico previamente facilitada y validada, un aviso en el que se informará de la existencia de una notificación disponible en Sede Electrónica, así como de una clave de acceso para su descarga.

Una vez tramitado el expediente que dio lugar a la solicitud, el solicitante recibirá, a través de la dirección de correo electrónico previamente facilitada y validada, un aviso en el que se informará de la existencia de una notificación disponible en Sede Electrónica, así como de una clave de acceso para su descarga.

El plazo para acceder al contenido de la notificación será de 10 días naturales, tal como determina la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. Cuando, existiendo constancia de la puesta a disposición transcurrieran 10 días naturales sin que se acceda a su contenido, se entenderá que la notificación ha sido practicada.

En los formularios de los procedimientos administrativos que admitan esta modalidad, deberá seleccionar SEDE ELECTRÓNICA en el campo correspondiente al medio de notificación.

El solicitante deberá facilitar la dirección de correo electrónico en la que desee recibir los correspondientes avisos de notificaciones disponibles en Sede Electrónica, la cual deberá estar previamente validada. Si es la primera vez que se utiliza, el solicitante recibirá en esa dirección un mensaje de correo electrónico con un enlace al que deberá acceder para validar su correo electrónico.

¿Cómo se notifica la inscripción, modificación o supresión de la inscripción?

Para realizar la inscripción inicial del fichero y, en su caso, la posterior modificación o supresión de la inscripción, en la Sede Electrónica de la AEPD se encuentra disponible el Servicio Electrónico NOTA a través del que deberán efectuarse las solicitudes de inscripción de ficheros en el Registro General de Protección de Datos (aprobado mediante Resolución de la AEPD de 12 de julio de 2006- B.O.E. 181 de 31 de julio).

Este formulario permite la presentación de forma gratuita de notificaciones a través de Internet con certificado de firma electrónica. En caso de no disponer de un certificado de firma electrónica, también puede presentar la notificación a través de Internet, para lo cual deberá remitir a la Agencia la hoja de solicitud correspondiente al envío realizado debidamente firmada.

Así mismo, permite notificar de forma simplificada una serie de ficheros relacionados con la gestión de comunidades de propietarios, clientes, libro recetario de las oficinas de farmacia, pacientes, gestión escolar, videovigilancia, nóminas y recursos humanos de titularidad privada y con los de recursos humanos, gestión del padrón, gestión económica o control de acceso, en el caso de ficheros de titularidad pública. En el supuesto de que ninguna de las notificaciones tipo previstas por la AEPD se adapte al fichero que pretende notificar, podrá seleccionar la opción de notificación normal.

Para modificar la inscripción de un fichero previamente inscrito en el RGPD, se deberá cumplimentar el formulario electrónico, la hoja de solicitud, el apartado de Modificación de la inscripción del fichero, indicando el código de inscripción asignado por la Agencia y señalando aquellos apartados que se modifican respecto a la notificación anterior, según las instrucciones que acompañan al modelo.

Los apartados señalados que se pretendan modificar, deben cumplimentarse por completo, indicando todos los datos y no sólo los modificados respecto a notificaciones previas, ya que esta notificación es sustitutiva a efectos de inscripción en el RGPD. Así mismo, únicamente se cumplimentarán los apartados que hayan sido señalados para su modificación en el apartado Modificación de la inscripción del fichero.

En el caso de que se notifique la supresión de un fichero, deberá cumplimentarse, la hoja de solicitud y el apartado de Supresión, indicando el código de inscripción del fichero asignado por la Agencia. También se deberá indicar el motivo de la supresión en el texto correspondiente y el destino de la información en el siguiente campo. Si se va a proceder a destruir el fichero, se deberán indicar las previsiones adoptadas para ello.

La notificación de un nuevo fichero o tratamiento nunca invalida o sustituye a una inscripción previa. Si no se notifica una solicitud de supresión de la inscripción anterior se produciría un duplicado de la inscripción.

¿Qué nivel de medidas de seguridad deben implantarse en un fichero de titularidad privada?

Todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de nivel básico establecidas en el Reglamento de desarrollo de la LOPD aprobado mediante Real Decreto 1720/2007, de 21 de diciembre (RLOPD).

Deberán implantarse, además de las medidas de nivel básico, las medidas de nivel medio, cuando:

  • se trate de un fichero responsabilidad de las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.
  • se trate de un fichero para la prestación de servicios de información de solvencia patrimonial o crédito.
  • tenga la finalidad de realizar tratamientos sobre cumplimiento/incumplimiento de obligaciones dinerarias.
  • se trate de ficheros responsabilidad de las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
  • contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

Se implantarán las medidas de seguridad de nivel alto para cualquier fichero de datos de carácter personal que se refiera a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, así como para los que contengan datos derivados de actos de violencia de género y los ficheros a los que se refiere el artículo 32 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.

Excepcionalmente podrán implantarse las medidas de nivel básico en ficheros que traten datos especialmente protegidos cuando:

  • dichos datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros
  • se trate de ficheros no automatizados en los que de forma incidental o accesoria se contengan datos especialmente protegidos sin guardar relación con su finalidad.

También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud referentes, exclusivamente, al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.

En la página web de la Agencia (www.agpd.es > Canal del Responsable) se encuentra disponible la Guía de Seguridad, un manual práctico y básico para todos aquellos que deban adecuarse a las exigencias de la Ley en la que se explican los niveles de seguridad aplicables y las medidas que deben implantarse en función de los datos que maneje cada entidad. Por otro lado, recoge un modelo para que las entidades elaboren el "Documento de Seguridad" , documento interno obligatorio en cualquier organización en el que deben recogerse entre otros elementos, el tipo de datos, las medidas y procedimientos de seguridad aplicables, las obligaciones y funciones del personal, o las medidas adoptadas en su transporte y destrucción.

Asimismo, la Guía de Seguridad de Datos recoge en su apartado final un cuestionario de "autoevaluación", especialmente dirigido a facilitar la realización de una auditoría de seguridad, que permite a las entidades analizar el grado de seguridad aplicado a la información que manejan y el nivel de adecuación a la normativa vigente.

¿Qué nivel de medidas de seguridad deben implantarse en un fichero de titularidad pública?

Todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de nivel básico establecidas en el Reglamento de desarrollo de la LOPD (RD 1720/2007, de 21 de diciembre).

Deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas de nivel medio en los siguientes ficheros de datos de carácter personal:

  • los relativos a la comisión de infracciones administrativas o penales
  • aquellos de los que sean responsables Administraciones Tributarias y se relacionen con el ejercicio de potestades tributarias
  • aquellos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social
  • aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos

Se implantarán las medidas de seguridad de nivel alto para cualquier fichero de datos de carácter personal que se refiera a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas, así como para los que contengan datos derivados de actos de violencia de género y en los ficheros de las Notarías para la gestión y registro de las obligaciones en materia de blanqueo de capitales.

Excepcionalmente podrán implantarse las medidas de nivel básico en ficheros que traten datos especialmente protegidos cuando:

  • dichos datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros
  • se trate de ficheros no automatizados en los que de forma incidental o accesoria se contengan datos especialmente protegidos sin guardar relación con su finalidad.

También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud referentes, exclusivamente, al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.

En la página web de la Agencia (www.agpd.es > Canal del Responsable) se encuentra disponible la Guía de Seguridad, un manual práctico y básico para todos aquellos que deban adecuarse a las exigencias de la Ley, en la que se explican los niveles de seguridad aplicables y las medidas que deben implantarse en función de los datos que maneje cada entidad. Por otro lado, recoge un modelo para que las entidades elaboren el "Documento de Seguridad"”, , documento interno obligatorio en cualquier organización en el que deben recogerse, entre otros elementos, el tipo de datos, las medidas y procedimientos de seguridad aplicables, las obligaciones y funciones del personal, o las medidas adoptadas en su transporte y destrucción.

Asimismo, la Guía de Seguridad de Datos recoge en su apartado final un cuestionario de "autoevaluación", especialmente dirigido a facilitar la realización de una auditoría de seguridad, que permite a las entidades analizar el grado de seguridad aplicado a la información que manejan y el nivel de adecuación a la normativa vigente.

¿Pueden añadirse aclaraciones en el formulario electrónico fuera de los espacios preparados para ser cumplimentados?

El formulario electrónico ha de cumplimentarse conforme a las instrucciones que lo acompañan, no pudiendo hacer constar los datos que se solicitan en un lugar distinto del previsto en el modelo. No obstante, si el responsable desea hacer alguna aclaración adicional a la declaración, puede acompañar junto al modelo de notificación, correctamente cumplimentado, un escrito en el que se incluyan las aclaraciones que considere necesarias a su declaración.

¿Cómo notificar un cambio de responsable?

Deberá indicar en el apartado Modificación de la inscripción los datos correspondientes al responsable del fichero (Razón social y NIF/CIF) que figuran en la inscripción del fichero.

Los datos correspondientes a la nueva denominación del responsable del fichero (razón social y NIF/CIF) se introducirán en el apartado 1. Responsable del fichero.

Además de la notificación se deberá adjuntar la documentación que justifique el cambio de titular.

Se deberá tener en cuenta lo dispuesto en el Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por el Real Decreto 1720/2007, de 21 de diciembre, que en su artículo 19 establece que "En los supuestos en que se produzca una modificación del responsable del fichero como consecuencia de una operación de fusión, escisión, cesión global de activos y pasivos, aportación o transmisión de negocio o rama de actividad empresarial, o cualquier operación de reestructuración societaria de análoga naturaleza, contemplada por la normativa mercantil, no se producirá cesión de datos, sin perjuicio del cumplimiento por el responsable de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre".

Si el cambio se debe a un error en la consignación de los datos del responsable durante la inscripción inicial del fichero, será suficiente con enviar un escrito firmado por persona con representación suficiente del responsable del fichero indicando la subsanación correspondiente.

¿Cómo se notifica una supresión de la inscripción por responsable distinto del que figura inscrito en el RGPD?

Deberá indicar en el apartado de Supresión de la inscripción los datos correspondientes al responsable del fichero (Razón social y NIF/CIF) que figuran en la inscripción del fichero.

Cuando se notifique la supresión de la inscripción de un fichero por responsable distinto del que figura inscrito en el RGPD, deberá acompañar documentación que justifique el cambio de titular.

Se deberá tener en cuenta lo dispuesto en el Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por el Real Decreto 1720/2007, de 21 de diciembre, que en su artículo 19 establece que "En los supuestos en que se produzca una modificación del responsable del fichero como consecuencia de una operación de fusión, escisión, cesión global de activos y pasivos, aportación o transmisión de negocio o rama de actividad empresarial, o cualquier operación de reestructuración societaria de análoga naturaleza, contemplada por la normativa mercantil, no se producirá cesión de datos, sin perjuicio del cumplimiento por el responsable de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre".

¿Qué se entiende por encargado del tratamiento?

Según establece el artículo 3 g) de la LOPD, se entenderá por encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.

El apartado de encargado de tratamiento únicamente habrá de cumplimentarse cuando un tercero trate datos por cuenta del responsable. Esta realización de tratamiento por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito, estableciéndose expresamente que el encargado del tratamiento tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

¿El encargado de tratamiento debe constar inscrito en el RGPD?

A efectos de inscripción, el encargado del tratamiento (art. 12 LOPD) no deberá figurar inscrito en el RGPD como entidad responsable de los ficheros o tratamientos. Únicamente el responsable del fichero deberá hacer constar los datos identificativos del encargado del tratamiento en el apartado 4 de la notificación.

¿Cómo cumplimentar el apartado 4. Encargado del Tratamiento?

Cuando la prestación de servicio implique que el fichero se encuentre ubicado en los locales del encargado del tratamiento, se podrá indicar este extremo cumplimentando el apartado de Encargado del tratamiento.

Si existen varios encargados en estas condiciones, únicamente se consignarán en dicho apartado los datos de uno de los encargados del tratamiento. Se recomienda que se haga constar la denominación del encargado que realice el tratamiento de datos que pueda implicar una mayor duración en el tiempo o riesgos mayores según el tipo y la cantidad de datos tratados. El resto de los encargados del tratamiento, se podrán comunicar mediante un escrito adjunto a la notificación para que el RGPD tome nota a los efectos informativos.

No obstante, si se desea que figuren inscritos más de un encargado en el apartado 4. encargado del tratamiento se podrán notificar tantas inscripciones como encargados diferentes existan. Estas notificaciones se diferenciarían en los datos consignados en el apartado 4 y en su caso, en los apartados 5. identificación y finalidad del fichero, 7. tipos de datos, estructura y organización del fichero.

¿Cómo se deben notificar los tratamientos que se realizan sobre los ficheros de exclusión del envío de comunicaciones comerciales (LISTAS ROBINSON)?

El artículo 49.1 del Reglamento de desarrollo de la LOPD (RD 1720/200, de 21 de diciembre) prevé la creación de ficheros comunes, de carácter general o sectorial, en los que sean objeto de tratamiento los datos de carácter personal que resulten necesarios para evitar el envío de comunicaciones comerciales a los interesados que manifiesten su negativa u oposición a recibir publicidad

Con el fin de facilitar su consulta en el Catálogo de ficheros, estos deberán ser notificados por sus promotores para su inscripción en el Registro General de Protección de Datos haciendo constar como nombre del fichero LISTAS ROBINSON o FICHERO COMÚN DE EXCLUSIÓN DEL ENVÍO DE COMUNICACIONES COMERCIALES. Asimismo, se advierte que el tratamiento que de los ficheros comunes creados en aplicación del art. 49.1 del RLOPD puedan realizar las entidades que los consulten no será preciso notificarlos, siempre que se limiten a la consulta regulada en el art. 49.4 del RLOPD.

En relación con los tratamientos necesarios para identificar y adoptar las medidas necesarias que eviten el envío de publicidad al que se refiere el art. 48 del RLOPD, los responsables de los mismos podrán incluir la finalidad de evitar el envío de comunicaciones comerciales a aquellas personas que han manifestado su negativa u oposición a recibir publicidad, en el fichero relacionado con la gestión comercial de clientes de la entidad. Alternativamente, podrán notificar el RGPD un nuevo fichero en el que se hará constar como nombre del mismo GESTIÓN DE EXCLUIDOS DE COMUNICACIONES COMERCIALES.

¿Cómo cumplimentar el apartado 7 Tipos de datos, estructura y organización del fichero en los ficheros o tratamientos que tengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos en los que se puedan implantar las medidas de seguridad de nivel básico (Art.81.6 Reglamento de desarrollo de la LOPD?

Como norma general, este tipo de tratamientos se podrá notificar con nivel de medidas de seguridad de nivel básico señalando el Tipo de datos de salud junto con algunas de las finalidades tipificadas como «Gestión de Nóminas» o «Recursos Humanos» (Apartado 5 del formulario).

Para aquellos tratamientos que se encuentren amparados en la excepción prevista en el apartado 6 del artículo 81 del Reglamento de desarrollo de la LOPD y su finalidad no sea la Gestión de Nóminas o la Gestión de los Recursos Humanos, se podrá indicar que se tratan datos relativos a la salud con motivo del cumplimiento de deberes públicos en el campo de texto libre «Otros datos de carácter identificativo» del apartado 7 «Tipos de datos, estructura y organización del fichero», pudiendo señalar, en este caso, el nivel de medidas de seguridad básico.