Conoce Atico34 - Solicita presupuesto
ConsejosLOPDGDD & RGPD

¿Es necesario darse de alta en protección de datos?

Pese al tiempo que lleva en vigor el RGPD y la LOPDGDD, todavía recibimos preguntas relativas a si es necesario darse de alta en la Agencia de Protección de Datos o si sigue siendo necesario inscribir los ficheros de datos en ella. En este artículo vamos a resolver estas dudas relativas al alta en protección de datos.

¿Hay que darse de alta en protección de datos?

La respuesta es no, ya no es necesaria el alta en protección de datos, puesto que ya no es necesario inscribir los ficheros de datos en la AEPD (Agencia Española de Protección de Datos).

Esta obligación de alta en protección de datos quedó obsoleta el 5 de diciembre de 2018, el día que entró en vigor la LOPDGDD, que siguiendo las directrices del RGPD, eliminaba esta obligación de responsables y encargados del tratamiento de inscribir los ficheros de los tratamientos de datos que llevaban a cabo en la AEPD.

Sin embargo, la desaparición de la obligación de esta alta LOPD no implica la desaparición de la obligación de seguir llevando un registro de los tratamientos de datos personales que realizamos como responsables o encargados del tratamiento, puesto con la entrada en vigor del RGPD y la LOPDGDD, del alta en protección de datos pasamos a tener que llevar al día un registro de actividades de tratamiento (RAT).

Del alta en protección de datos al registro de actividades de tratamiento

Como decíamos, de la obligación del alta en la Agencia de Protección de Datos y la inscripción de ficheros de datos en ella, hemos pasado a tener que llevar un registro de tratamiento de actividades.

El cambio a esta nueva obligación no supuso mucha complicación, puesto que la información que debía figurar en el fichero de datos, es prácticamente la misma que debe incluirse en el RAT. Además, y simplificando los trámites de la derogada LOPD, este registro de actividades de tratamiento no es necesario inscribirlo en la AEPD, aunque sí es obligatorio facilitárselo si nos lo solicita en el contexto de una inspección o investigación.

Como ya os hemos hablado en su correspondiente artículo sobre el RAT (que podéis visitar pulsando en enlace que os hemos dejado más arriba), aquí vamos a resumir la información que debe incluirse en él (recordad que debe hacerse un registro por cada actividad de tratamiento de datos personales que llevéis a cabo):

  • Identificación y datos de contacto del responsable del tratamiento y del Delegado de Protección de Datos (en su caso).
  • Finalidad del tratamiento.
  • Descripción de categorías de interesados y datos.
  • Categorías de destinatarios existentes o previstos.
  • Transferencias internacionales de datos y sus correspondientes garantías.
  • Plazos de conservación de los datos.
  • Descripción general de las medidas de seguridad.

Así mismo, llevar el registro de actividades de tratamiento solo es obligatorio para:

  • Empresas de más de 250 trabajadores.
  • Los datos tratados puedan entrañar un riesgo para los derechos y libertades de los interesados.
  • Sean datos relativos a condenas e infracciones penales.
  • El tratamiento de datos personales es recurrente.
  • Se tratan datos personales de categorías especiales (art. 9 del RGPD).

¿Por qué es recomendable llevar el registro de actividades de tratamiento?

Si no es obligatorio para todos los responsables y encargados del tratamiento llevar un RAT, ¿por qué es recomendable hacerlo? Por dos motivos:

El primero, llevar un registro de actividades de tratamiento permite tener un mejor control sobre los tratamientos de datos personales que se realizan en la empresa, lo que a su vez permite tener una mejor gobernanza de datos (cumpliremos con los plazos de supresión, con las medidas de seguridad que debemos aplicar, evitaremos tratamientos ilícitos, etc.).

El segundo, cuánto mayor sea nuestra proactividad en protección de datos, es decir, cuánto más diligentes seamos y mayores medidas de control y seguridad apliquemos, más posibilidades tendremos de que ante un procedimiento sancionador de la AEPD, la sanción sea menor o no se nos sancione.

Además, gracias a programas de gestión de protección de datos, como Atico34 Platform, al que tendrás acceso si contratas los servicios de Grupo Atico34, podrás realizar el registro de actividades de tratamiento de manera sencilla y tenerlo siempre actualizado y disponible, en caso de que debas presentarlo ante la AEPD.

BANNER

El DPO sí debe comunicarse a la AEPD

Finalmente, si bien no es necesario que responsables o encargados se den de alta en protección de datos en la AEPD, lo que sí deben hacer es comunicar el DPO cuando designen uno para la empresa, sea este nombramiento obligatorio por su tipo de actividad o el volumen o tipo de datos personales que traten, o lo hagan de manera voluntaria.

En definitiva, la obligación de darse de alta en protección de datos ante la AEPD desapareció con la entrada en vigor de la LOPDGDD, pero aunque no sea obligatorio inscribir los ficheros de datos, es recomendable (cuando no se esté obligado a ello) llevar un registro de actividades de tratamiento, para documentar los tratamientos que se realizan en la empresa y tener un mayor y mejor control sobre ellos.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.