¿El huevo o la gallina…? O ¿cuándo inscribir los ficheros en el Registro General de Protección de Datos?

Miniatura noticia

Uno de los problemas con que nos encontramos, tanto los que ofrecemos servicios en el sector del cumplimiento normativo en materia de protección de datos, como los destinatarios de los mismos, es la inexistencia de una metodología comúnmente aceptada –debidamente estandarizada y extendida-  para la adecuación de los procesos (en los que se producen tratamientos de datos) a tal cumplimiento legal.

Hace algunos meses, tuve la suerte de colaborar de forma especialmente activa en el desarrollo de un documento que publicó APEP describiendo a grandes rasgos qué debería englobar un proyecto de adecuación, pero en mi contribución a tal trabajo, decidí no descender “tanto” en el nivel de detalle porque entendí que muchas circunstancias podían y debían incluirse en el know-how particular de cada consultor, que tales circunstancias no implicaban a priori que el proyecto fuera mejor o peor, y que únicamente afectarían a valores de eficacia y no de eficiencia del trabajo desarrollado por cada consultora.

He leído algunos manuales que contienen, bien como tema central, o bien como capítulo accesorio, recomendaciones o “guías de implantación” más o menos rigurosas. He recibido algunos cursos y/o asistido a seminarios que incidían en el mismo sentido. He participado en numerosas conversaciones con compañeros profesionales en las que hemos intercambiado opiniones sobre el tema. Y curiosamente –al menos en mi opinión- tanto en una gran mayoría de esos manuales, cursos y seminarios, como entre muchos compañeros del sector, está bastante extendido aceptar la consideración como primer paso del proyecto de adecuación la inscripción de ficheros en el Registro General de Protección de Datos (RGPD).

Yo no comparto esta opinión… creo más bien todo lo contrario: que no hay prisa ninguna en hacerlo… trataré de justificar mi opinión.

¿Cuándo y con qué finalidad hay que notificar las inscripciones de creación de ficheros? La LOPD establece en su artículo 26 la necesidad de notificación de creación de ficheros a la Agencia con carácter previo a tal creación. Así mismo, el artículo 55 del Reglamento, insiste en el carácter previo de la inscripción a la creación de los ficheros… y todo ello, en teoría, para facilitar al ciudadano la protección de su derecho fundamental a conocer y decidir quién y para qué trata sus datos personales, vía reconocimiento de su derecho de consulta gratuita (en el artículo 14 de la Ley) del contenido de las inscripciones de ficheros en el Registro. No deja de darme la sensación de que también hay “algo” de carácter “fiscalizador o controlador” en la recogida de esta información por parte de la Agencia, pero desde luego esta finalidad, no la he visto recogida en ningún precepto.

Los plazos que se establecían en las principales normas vigentes en materia de  privacidad, la LOPD y su reglamento de desarrollo (disposición adicional primera relativa a los ficheros preexistentes incluida en la primera de las normas mencionadas y la transitoria primera del Real Decreto que aprueba el reglamento referente a los plazos de implantación de medidas) dibujan –o nos podrían hacer llegar a pensar que existe- un “utópico escenario para el cumplimiento” en el cual, a estas alturas de la película, cualquier empresa existente debería tener adecuados todos sus procedimientos de trabajo para la total observancia de, entre otras, ambas normas, y por descontado, las nuevas empresas que se crean, al tiempo que comenzaran a desarrollar su plan de negocio, deberían comenzar -en prevención de encontrarse en su camino con sanciones graves- a analizar los flujos de datos previstos para que sus requerimientos de tratamientos de datos personales nazcan cumpliendo todos los requisitos legales, tanto formales como materiales… Es obvio que a ningún administrador de cualquier sociedad de nueva creación en su sano juicio se le ocurriría emitir una factura a un cliente o solicitar a un proveedor que le facture sin que la AEAT le haya expedido un código de identificación fiscal, aunque sea provisional, pero… ¿ocurre lo mismo con la protección de datos? ¿Es que nadie trata datos sin haber analizado los tratamientos e implementado las medidas de seguridad requeridas, sin haber desarrollado procedimientos técnicos y organizativos, sin haberlos documentado, sin haber inscrito sus ficheros, sin haber impartido formación y sobre todo sin haber concienciado a su personal de estos temas relacionados con la privacidad? En mi experiencia, desde luego, esto no existe… por gracia o por desgracia, la situación no tiene nada que ver con este escenario… La inmensa mayoría de empresas para las que he prestado y presto servicios de adecuación o de readaptación de procesos, vienen “del lado oscuro”, del incumplimiento… es decir, son sujetos que vienen tratando datos de carácter personal, habiendo adaptado su actividad de forma incorrecta o insuficientemente a las obligaciones legales –en el mejor de los casos-, o sencillamente, no habiendo tenido en cuenta para nada tales obligaciones.

Incluso la propia AEPD conoce perfectamente que este escenario que califico como utopía dista una barbaridad de la realidad, cuando hace escasas fechas ha puesto a disposición de las Administraciones públicas una nueva herramienta para la confección de las disposiciones de creación de ficheros de titularidad pública, viniendo a reconocer de alguna manera que hay que ayudar a estas Administraciones para que tengan algunas “dificultades” menos en su camino hacia el cumplimiento.

Y este tipo de clientes “que quieren venir a la luz” y esta creencia de que lo primero que se debe hacer es notificar la inscripción de ficheros me hace reflexionar y compartir con Ustedes mis reflexiones.

Personalmente, cuando presto servicios a empresas tratando de ayudarlas a  simplificar su camino hacia el cumplimiento normativo en este campo del respeto a la privacidad, empiezo por “impregnarme” de la actividad de esa empresa; trato de “husmear” y de recoger suficiente información para realizar un análisis profundo de los usos de los datos que dicha empresa realiza para conseguir sus objetivos empresariales… Este análisis, me ayuda a agrupar datos en ficheros o en tratamientos según sus categorías y finalidades, a determinar la sensibilidad de esos datos que me llevará  a establecer las medidas de seguridad que será necesario y/o recomendable implementar, los usuarios, los posibles terceros que accedan a datos –ya sea por cuenta del responsable o como cesionarios de los mismos- o los que no deben acceder en ningún caso, en definitiva, este análisis resulta determinante también para completar muchos de los campos que debo rellenar a la hora de notificar la inscripción de ficheros al RGPD. Por supuesto que cuando recibo y acepto un encargo de una empresa, antes ni siquiera de visitarla, preconcibo una estructura de ficheros en función del objeto social o de la actividad que desarrolla la organización, así como de la posible normativa específica que le pueda aplicar debido a su naturaleza o al sector en el que opere. Y esta idea preconcebida, en muchas ocasiones, se aproxima mucho a la que finalmente constituye la estructura real de datos y flujo de los mismos que se adopta y desarrolla en la organización. Pero no es menos cierto que en numerosas ocasiones esta idea preconcebida, puesto que no hay dos organizaciones idénticas, se ve sujeta a cambios o modificaciones en la fase de análisis, incluso en la de implementación de medidas y documentación, apareciendo incluso nuevos ficheros y o tratamientos, nuevas finalidades, y/u otros aspectos como variantes a la hora de implementar medidas, que podrían y deberían generar modificaciones en las inscripciones de ficheros si estas se hubieran realizado como primera fase de mi actuación sin haber dado otros pasos anteriores…

Además, también barajo, para argumentar mi opinión, la cuantía de las sanciones tal y como las gradúa el legislador: la ley establece que el no haber procedido a la solicitud de inscripción de un fichero en el RGPD constituye una infracción calificada como leve en el artículo 44.3, y la tipifica por tanto en el 45 con una sanción de entre 900 y 40.000 euros (con una altísima probabilidad de quedarse, en el peor de los casos, en un apercibimiento, y si acaso). En el otro plato de la balanza tendríamos el resto de obligaciones “formales y materiales” que impone la normativa (obtención de consentimiento si éste fuera preciso, posibilidad de conculcación de los principios del artículo 4, la vulneración del deber de secreto, el dificultar o impedir los derechos ARCO –harto probable si no se han creado y documentado los oportunos procedimientos organizativos-, el incumplimiento en deberes de información al recabar datos para su tratamiento y/o cesión –altamente probable si no se han redactado las oportunas cláusulas tras analizar de forma exhaustiva el flujo de datos que se produce y la finalidad de los tratamientos-, etc…). Pues bien, el legislador estimó que todas estas obligaciones suponen un incumplimiento más grave que no haber inscrito los ficheros, puesto que cualquier incumplimiento de las obligaciones descritas es considerado como infracción grave en el artículo 44.3 de la ley y, por tanto, estas conductas se tipifican con sanciones de entre 40.001 y 300.000 euros…

Y como último argumento que traigo para reforzar mi idea de que la notificación tiene menor importancia que el resto de obligaciones materiales y formales en un proceso de adecuación o adaptación, aunque haya quien lo defienda como imprescindible -quizá por la visibilidad que conlleva precisamente la posibilidad de consulta pública del RGPD-, me referiré a la futura desaparición de esta obligación que se prevé en el borrador de Reglamento que Europa nos tiene preparado para sustituir la actual Directiva y con ello, la normativa nacional que la traspone… La Comisión Europea, inclina la balanza hacia la eliminación de la obligación de la inscripción de ficheros y /o tratamientos, frente a los posibles beneficios que pudiera conllevar tal obligación, al ponderar los costes que tal obligación supone para los sujetos obligados a la misma.

Por todos los motivos aludidos, me inclino a pensar, como vengo avanzando en toda esta entrada, que la inscripción de ficheros, debe ser uno de los últimos pasos a dar al adecuar una empresa para que cumpla con los requerimientos legales en materia de privacidad y que solo podremos realizar una correcta (en términos de eficiencia y eficacia) inscripción y que no precise de la notificación de modificaciones posteriores (evidentemente en tanto no varíen las condiciones existentes en la fase de análisis y desarrollo del proyecto) cuando hayamos realizado ese profundo análisis de las circunstancias en que se realizan los tratamientos de datos, quién y cómo los realiza, qué medidas se precisan, y cuando se hayan implementado, documentado y comunicado internamente en la organización todos estos extremos precisos para un adecuado cumplimento material. ¿Qué opinan Ustedes?

Muy buenos días…

 

© Imagen: www.agpd.es


14 comentarios

  1. María (@meryglezm)
    20 de marzo de 2012 @ 09:42

    Excelente artículo D. Luis, en el que coincido plenamente con su opinión. En todos los proyectos relacionados con la LOPD que he venido ejecutando en los ultimos 10 años, siempre, la inscripción formal de los ficheros y tratamientos, era uno de las ultimas acciones… El porque? Bien sencillo, antes he tenido tiempo de analizar procesos, procedimientos, informaciones, sistemas de información, etc, lo que me permite estructurar el listado de ficheros de un determinado cliente, de forma que responda a la realidad de su actividad, así como plantearselo de una forma cuya gestión no incida en el desarrollo de su negocio, que su gestión sea práctica y sencilla.
    Un abrazo
    @meryglezm

    Responder

    • Luis Salvador Montero
      20 de marzo de 2012 @ 11:11

      Gracias por tu comentario, María… Efectivamente, como afirmas, ese es, en mi opinión el camino correcto a seguir, pero me sorprende que haya quien, con tanta experiencia como tiene a sus espaldas, defienda lo contrario y que vean la inscripcción como algo vital sin lo cual no pueden vivir: como anécdota, te contaré que hace unos días, en un proyecto de un cliente mío que tiene como encargado de tratamiento a una gran laboratorio, me hizo gracia que ante mi petición para celebrar un contrato de encargado del artículo 12, el laboratorio nos contestó, que había consultado el registro y que no encontraba ficheros declarados, y que por tanto, debíamos preocuparnos antes de eso que de regular las relaciones con terceros… y hablamos de datos de nivel alto!!!!

      Abrazo fuerte y gracias por dejarte caer por aquí 😉

      @LuisSalvadorMon

      Responder

  2. María del Águila Bigorra (@mdelaguilab)
    20 de marzo de 2012 @ 11:12

    Plenamente de acuerdo contigo, ya que de hecho esta era precisamente mi forma de proceder desde los inicios de mi experiencia laboral en estos temas, por cuestiones obvias que has detallado a la perfección (conocimiento del cliente, ante todo)… hasta que en el curso de una adecuación LOPD, una reclamación de un tercero (por circunstancias previas a mi llegada a escena) tuvo como consecuencia un requerimiento de información de la AEPD solicitando precisamente la inscripción del fichero. En ese momento no existía apercibimiento, y la sanción se quedó en la mínima pero desde entonces, procuro consensuar con el cliente, poniendo todas las cartas sobre la mesa, y en su caso modificando ficheros a posteriori. Más vale prevenir…

    Responder

    • Luis Salvador Montero
      20 de marzo de 2012 @ 12:28

      Interesante aportación, María… Importante dejar claro con el cliente el cronograma del proyecto, y, como en este caso, los riesgos que se asumen con este cronograma…

      Saludos.

      Responder

  3. Héctor Guzmán
    20 de marzo de 2012 @ 11:40

    Buenos días D. Luis:

    Coincido con su análisis y con la aproximación que realiza en sus proyectos.
    Con la normativa vigente (que aún pide la inscripción de ficheros), esta tarea en realidad es una consecuencia de todas las demás que usted indica. No concibo este trámite sin que antes se hubiesen abordado los análisis y adecuaciones oportunas en los procesos de la organización objeto de adecuación.

    Frente a la inminente desaparición de esta obligación, sin embargo, soy un poco pesimista en relación con el efecto que tendrá en el medio.

    Si ya podemos decir que poco ha servido la existencia de esta obligación para que los sujetos obligados se ocupen (y se preocupen) de cumplir con la normativa, en cuanto ésta desaparezca me parece a mí que muchos sentirán que tienen un problema menos del cual ocuparse.

    No lo sé… sinceramente no soy fanático de la burocracia, pero ya se verá en qué termina la eliminación de este engorroso trámite.

    Muchos saludos,
    Héctor

    Responder

    • Luis Salvador Montero
      20 de marzo de 2012 @ 12:26

      Es muy posible que tengas razón en tus premoniciones, Héctor… Es posible que la medida, aunque persiga un fin más que loable, como es la rebaja en las obligaciones a las empresas, con el consiguiente ahorro de costes para éstas, sea leída como una “barra libre” para no hacer ni siquiera eso… pero la anulación de esta obligación, no nos olvidemos, irá acompañada de otras muchas en ese proyecto o borrador de reglamento, y que ese reglamento prevé un régimen sancionador nada despreciable, así que volveremos al palo y a la zanahoria que “tan buenos resultados” da 😉

      Un abrazo y gracias por tu participación

      Responder

  4. Gontzal Gallo (@gongaru)
    20 de marzo de 2012 @ 13:38

    Buenos días,

    Interesante entrada y comentarios.

    Está claro que un buen profesional que se dedique a este mundo de la privacidad, lo primero que debe realizar es un análisis de la entidad a “adecuar” y, para mí, lo más importante, analizar los flujos de la información. De donde vienen los datos, a donde van los datos, quién los maneja, para que se manejan….Lo importante, reitero y en contra de como piensan algunos, no son los ficheros…sino los flujos de información.

    Ya sabemos que un proyecto de este tipo no es lo mismo para una empresa que para una administración pública (conozco muy bien los dos casos) y quizás, se puede “estandarizar más en el caso de empresas o “sectores de empresas”, pero tampoco podemos caer en el riesgo de que sólo van a haber ficheros de clientes, proveedores y recursos humanos….

    Respecto a la “futura eliminación” de este registro, a mí, particularmente, me gusta. Me explico. Si con la normativa actual no tengo la obligación de tener unos ficheros “tipo”, sino que me permite autoorganizarme como me venga en gana…¿para que me haces tener un trámite de registro? Es más, y en muchos casos, con motivo de esa autoorganización, puedo estar modificando ficheros todos los días, porque ahora he decido tratarlos de otra manera….con el consiguiente coste “actual” de trámites burocráticos.

    Termino ya diciendo que en este mundo de la privacidad lo importante, como piensas algunos, no son los ficheros…sino los flujos de información.

    Saludos.

    Responder

    • Luis Salvador Montero
      20 de marzo de 2012 @ 13:57

      Muchas gracias Gontzal… A pesar de tu comentario, sigo manteniendo el mismo temor que manifestó anteriormente Héctor Guzmán… Tiempo al tiempo 😉

      Un abrazo!

      Responder

  5. Kike Soria @kike_soria
    21 de marzo de 2012 @ 20:02

    Hola

    Comparto totalmente la postura de Gonzalo. Quizá la parte más importante y una de las que más tiempo lleva (metodologías aparte, cada maestrillo …) es la completa comprensión de qué se hace en la empresa, organización o AA.PP. Incluso es importante liberarte de la incómoda situación inicial en la que el propio cliente tiende a verte como un inspector de la Agencia tratando así de no contarte nada o lo menos posible. Una vez hecho eso, habiéndote reunido con todos y cada uno de los departamentos, que alguno de estos complete lo que el otro no ha dicho, cruzando información con las conclusiones a las que llegas viendo su web y aplicando la pericia de otras “experiencias” del mismo sector, consigues la trazabilidad de la información y con ella, la de los datos de carácter personal.

    Y es ahí y nunca antes, al menos en mi humilde opinión, cuando se deban declarar los ficheros y librar otra soberana batalla: los “NOTA”, aunque esa es otra historia. Dicho esto, no obsta a que en el proceso de declaración o incluso en eventuales labores de mantenimiento se puedan hacer modificaciones a los ficheros declarados, que para eso somos consultores y, seguramente, una vez metidos a hacer las cosas bien, surjan nuevas finalidades que no tenían muy claro antes de tu llegada, como la realización de mailings o incluso aprovechar el social media.

    Permitidme que aproveche y salude, que sigo “medio” desaparecido, aunque leeros siga siendo una de mis prioridades.

    Responder

  6. Luis Salvador Montero
    22 de marzo de 2012 @ 10:00

    Me alegra ver que vamos por la misma senda… Gracias Kike por tu comentario… Un abrazo.

    Responder

  7. Rafael Varela
    22 de marzo de 2012 @ 18:53

    Buenas tardes Luis. Buen comentario para hacer una buena tertulia.
    Yo le añadiria al resto de comentarios, que en todo caso y como diria la DGT: “precaución, amigo conductor”. Todo el mundo habla de la importancia de cumplir, cuando menos, los aspectos formales (argumento de venta), entre el que se encuentra el registro de ficheros y por tanto como argumento de venta y de precaución le veo mucho sentido. Lo importante es como quede la “tortilla”, pero de entrada su aspecto dirá mucho y luego el paladar nos dirá el resto.
    Un saludo, Rafa

    Responder

    • Luis Salvador Montero
      23 de marzo de 2012 @ 11:32

      Estimado Rafael,

      En mi opinión, y siguiendo con tu símil culinario, el sabor de la tortilla es lo más (y “casi” único) importante… Y si para hacer que la tortilla tenga un aspecto “inmejorable” desde “antes siquiera de cascar los huevos” tengo que hacer el trabajo tres veces, y para colmo, las dos primeras lo tengo que hacer mal (sería el equivalente a declarar los ficheros sin conocer exactamente qué ficheros tengo que declarar, cuál será el contenido esencial de esas inscripciones, y demás aspectos fundamentales de la notificación de inscripciones), pues o lo cobro, o directamente hablamos con “otro cocinero”… Eso sí, de forma consensuada con el cliente y con la debida información del “riesgo” que asumimos… ¿no te parece? [Y desde luego, al analizar riesgos de sanción, no me parece comparable el de una sanción -como decía en la entrada- de 900 euros por no haber notificado inscripciones, que una de a partir de 40.001 por no haber implantado medidas de seguridad, por ejemplo… ¿no?] Por no hablar del riesgo que podrías correr como consultor si declaras “provisionalmente” unos ficheros a sabienda que esa inscripción requerirá de modificación (incluso de supresión) y en ese momento justo, recibes inspección… ¿Tirarías contra tu responsabilidad por un trabajo que ejecutas “mal” -a sabiendas de que no es correcto- por “ese aspecto” de la tortilla?

      Un abrazo y muy buen fin de semana!

      Responder

      • Rafael Varela
        23 de marzo de 2012 @ 12:22

        Buenas nuevamente. No sé si me he explicado correctamente, quizás querer ser breve y dar un punto de vista distinto hace que olvidemos lo importante, que comparto con el resto, que es hacer un buen trabajo (como quede la tortilla, no solo de aspecto, también de sabor), pero entre medias y en función del alcance o dimensión del proyecto hay demasiados factores que condicionan o pueden condicionar el resultado. Factores temporales, como la demora en la adecuación total de una empresa sobre la que no tienes capacidad de “imponer/marcar” tiempos, responsables, interlocutores y tareas, hacen que en ocasiones primen unos aspectos u otros, siempre consensuados con el cliente. La diferencia es que cada proyecto es distinto en tamaño, interlocutores, medios, etc y es en esa variedad en donde el buen profesional sabe adaptarse y proponer opciones de abordarlo, valorando riesgos que han de exponerse al Cliente y que tendrá que asumir en función de la opción adoptada. Creo que casi es una cuestión de ver el vaso medio lleno o vacio pero en todo caso presentando al cliente el vaso y hacerle llegar nuestras propuestas.
        Estimado Luis y demás contertulios, si esta fuese una ciencia exacta y no hubiese argumentos interesados (he dicho que el de venta tiene mucho sentido), quizás no estaríamos opinando sobre la manera en cómo enfocar la adecuación a una Ley, la manera de abordarla y la cronología de las tareas que hemos de realizar. Yo no hablo de hacer mal el trabajo en ningún caso, ni siquiera incompleto, hablo de hacer cada tarea en su momento, cuando se dispone de la información necesaria y se ha podido validar y eso puede ser el primer día de proyecto o el vigésimo pero mi experiencia me dice que se tiene la información necesaria para la inscripción de ficheros antes que la necesaria para implementar las medidas de seguridad (técnicas u organizativas) sobre todo por no depender de nosotros y sí del Cliente. Al hablar de aspectos “formales” creo que también se incluyen los “visuales”, aquellos que evidencian que se incumple la LOPD. En todo caso, me quedo con las reflexiones aportadas que creo que enriquecen y nos hacen reflexionar sobre el tema.
        Buen fin de semana, gracias y espero no haberme extendido demasiado

        Responder

        • Luis Salvador Montero
          23 de marzo de 2012 @ 12:56

          se tiene la información necesaria para la inscripción de ficheros antes que la necesaria para implementar las medidas de seguridad (técnicas u organizativas)

          Yo creo que esta información para implementar medidas de seguridad, puede llegar a condicionar, incluso la existencia de un fichero. Por ejemplo, no sería la primera empresa que al analizar flujos de datos, vemos que recaban currículums… Al tener un único sistema de información “no segregable”, la existencia de este fichero, le eleva a medio el nivel de medidas exigibles… Pues bien, yo he visto empresas que al verse obligadas a, por ejemplo, implementar auditoría bienal, deciden dejar de recabar currículums y acudir a ETTs a hacer sus selecciones (digo antes, cuando se todavía se contrataban trabajadores ;). Por tanto, si hubieras notificado la inscripción, posteriormente tendrías que notificar la supresión ¿no?… A eso me refería en mi contestación anterior…

          Aquí siempre son bienvenidas todas las opiniones, Rafa… y la extensión, tampoco es problema -en principio, jajaja-… Lo dicho, que sigue en pie el abrazo y mis deseos para tu fin de semana 😉

          Responder

Responder a Luis Salvador Montero Cancelar

Protección de datos de carácter personal: con el envío del comentario, el usuario admite haber leído y aceptado la información en materia de protección de datos de carácter personal que se incluye en la información legal existente en esta página, al que se accede a través de pestaña bajo ese título, "Información legal" , situada en la parte superior de la página de inicio de este blog, y donde se informa de los titulares del blog, de las finalidades para las que se utilizarán los datos personales comunicados, así como la dirección para el ejercicio de los derechos reconocidos en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Los datos marcados con asterisco, son de obligado cumplimiento para aceptar la publicación del comentario. Si tales datos no fuesen facilitados, el comentario enviado será eliminado sin proceder a su publicación.

*