Nuevo Reglamento PDatos UE: ¿Debe eliminarse el Registro de Ficheros?

Este post tiene su origen en una “pachanga dominguera eleopediana” (nuevo término acuñado para las discusiones de fin de semana) en twitter con @LuisSalvadorMon, @eduardchaveli, y servidor de nadie.

Una de las novedades del Reglamento de Protección de Datos de la Unión Europea –ojo, todavía no está aprobado así que su contenido actual será modificado- es la eliminación de la obligación de inscribir los ficheros en el correspondiente Registro.

Esta supresión se ha justificado en que supone un ahorro en un doble sentido: económico y administrativo, e incluso se ha cuantificado monetariamente. Lo cual, dicho sea de paso, es totalmente falso.

 Si uno lee la propuesta de texto se dará cuenta que tanto económica como administrativamente surgen nuevas obligaciones: Responsable de Protección de Datos (digo yo que habrá que pagarle), informes de impacto de privacidad, privacidad por diseño (están cosas cuestan), las obligaciones documentales del responsable del fichero (de carácter llamémoslo administrativo), o incluso la obligatoriedad  de notificar las brechas de seguridad nos supondrá tener que elaborar protocolos de actuación para ello (también cuesta dinero y más obligaciones administrativas).

Así que el supuesto ahorro de no inscripción será imputable a otras “partidas presupuestarias”.

Sobre la eliminación del Registro de Ficheros, @eduardchaveli plantea que ya no habrá un instrumento para poder consultar en el ejercicio de los derechos ARCO y como se dará la publicidad exigida al DPO.

Por su parte, @LuisSalvadorMon  comenta que si el responsable no cumple con las obligaciones documentales del Reglamento, cómo le va a localizar el particular para el ejercicio de los citados ficheros.

Tras esta breve introducción, debemos plantearnos en primer lugar, si el Registro de Ficheros sirve para algo. Desde mi humilde punto de vista para lo siguiente:

Dejando de lado las finalidades jurídicas a las que sirve el citado Registro (ver LOPD y su Reglamento al respecto), desde una óptica meramente práctica creo que da cierto orden en el tratamiento de datos en tres niveles: empresa/administración/organización; profesionales de la privacidad (asesoramiento); y autoridades de control. En otras palabras, da respuesta al “qué tratamientos tenemos” y “para qué sirven” pero a nivel de profesionales.

Otra cuestión es si sirve para el ejercicio de los derechos ARCO. Y  aquí nos encontramos con una curiosidad: ni el artículo 5 de la LOPD obliga en el derecho de información a que en su contenido se incluya “el nombre del fichero en el que se van a almacenar los datos”, ni en el procedimiento de ejercicio de los derechos ARCO según el Reglamento de desarrollo de la LOPD el particular tiene que incluir “el nombre del fichero”.

Así que podríamos decir, que no siendo este elemento necesario, al particular lo que realmente le interesa saber es un listado de empresas/organizaciones/administraciones públicas que traten datos de carácter personal, y la dirección de los mismos para ejercitar esos derechos.

También podríamos añadir si los particulares consultan el Registro para ejercitar los derechos ARCO. Yo creo que no, pero obviamente, es más una intuición que otra cosa.

Conclusión: creo que debe mantenerse el Registro, más que por los derechos ARCO, por ese orden al que me he referido anteriormente.

 Sin embargo, hay cosas que deberían cambiarse en aras de un sistema más “amable” con el responsable, de forma que se intentasen buscar fórmulas para no estar constantemente actualizando la información de cada fichero inscrita en el Registro.

 Además, en las AAPP se debería usar el mismo sistema que en el ámbito privado, ya que tener que aprobar una disposición de carácter general  para crear, modificar o suprimir un fichero, desde el punto de vista práctico, es un auténtico disparate.

Por el contrario, si desaparece el Registro de Ficheros, positivamente –porque de todo en esta vida hay que extraer su vertiente buena- vamos a tener que desaparecerá la frase que tanto daño ha hecho a esta materia: “Registrado el Fichero, ya he cumplido con la LOPD”.

*Gracias a @LuisSalvadorMon y @eduardchaveli por su inspiración para la elaboración de este post. También a @Compliancero por la información dada sobre derecho de acceso en el ámbito de seguros.

Anuncios

2 Responses to “Nuevo Reglamento PDatos UE: ¿Debe eliminarse el Registro de Ficheros?”


  1. 1 salmonsa junio 4, 2012 en 6:39 pm

    Solo puntualizar que yo no defendía el uso del registro para localizar a responsables por parte de afectados, ese era Eduard, y yo lo que maticé fue que esa obligación material o formal (como se quiera) se sustituía por ese deber de diligencia reforzado que el legislador europeo denomina accountability por la cual el responsable deberá “cumplir sin lucir el cumplimiento” (lo cual dicho de paso, no sé cómo se comerá en Españistán, pero me da que mal: lo llevamos en la sangre)… Y en cualquier caso, esta misma tarde en otra conversación en Twitter, recordaba que esta obligación de notificar los ficheros a las Autoridades de Control, si bien se anula, no desaparecerá por completo.
    Personalmente, y como dices en tu entrada, no creo que haya mucha gente que consulte el registro para formular un derecho ARCO.
    Y en cualquier caso, esta misma tarde en otra conversación en Twitter, recordaba que esta obligación de notificar los ficheros a las Autoridades de Control, si bien se obliga, no desaparecerá por completo, ya que como muy bien indicas, el análisis de impacto nos obligará a analizar que tratamientos realizamos, para qué, de dónde vienen los datos, qué categorías de datos tratamos, a quién se revelan o se ceden, si se transfieren a otros países…. Vamos, que lo único que no tendremos que hacer será pulsar enviar en el formulario NOTA (que ya es algo 😉 pero “rellenarlo”, lo que se dice “rellenarlo”, seguiremos rellenándolo, me temo.
    Muy buenas tardes…
    @LuisSalvadorMon

  2. 2 María junio 5, 2012 en 6:53 am

    Buenos días Javier.
    Estupendo post y estupenda discusión twittera 😉 (twitter, esa gran herramienta).
    En cuanto al tema del post, mi opinión al respecto es que, como comentas, la posible eliminación de la obligación de registro ante el órgano de control no va a suponer ahorro de ningún tipo para el responsable (salvo pulsar a enviar en el NOTA como comenta @LuisSalvadorMon), sino que le va a exigir si cabe, mayor diligencia y compromiso para el cumplimiento de esta normativa (el llamado accountability?).
    En cuanto a su posible impacto sobre el ejercicio de derechos ARCO, personalmente creo que sería nulo, en cuanto a que la información sobre donde ejercitar los mismos debe constar en los avisos de privacidad (art. 5), que aunque no obliga a indicar el nombre del fichero, si limita los tratamientos en cuanto a sus finalidades, y esto debería ser, a priori, suficiente. Dudo mucho que los interesados acudan a los órganos de control a consultar donde ejercitar estos derechos, y más sabiendo “lo bien” que funcionan los buscadores de ficheros de estas entidades ….
    Un saludo y buenos días!
    @meryglezm


Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




Twitteando

¿De qué hablamos?


A %d blogueros les gusta esto: