El futuro de los Registros de Protección de Datos ¿Carga administrativa o herramienta de análisis?
El Reglamento general de Protección de Datos que previsiblemente sustituirá a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, continúa su interminable proceso de tramitación durante el que aún podrían verse suavizadas las ambiciosas expectativas que inicialmente recogía, en cuanto a las obligaciones de los responsables de ficheros y encargados del tratamiento relativas al tratamiento de datos de carácter personal.
Uno de sus objetivos es una reducción de la carga administrativa asociada al cumplimiento de la normativa, por lo que no se recoge en el Reglamento la obligación de inscripción registral desarrollada hasta ahora de manera desigual por las distintas legislaciones de los Estados Miembros.
La normativa española, Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), recoge actualmente en su artículo 20, el régimen de creación, modificación o supresión de ficheros por parte de las Administraciones públicas; y en su artículo 26, las obligaciones de notificación e inscripción registral para toda persona o entidad que proceda a la creación, modificación o supresión de ficheros de titularidad privada. Dichas obligaciones han sido desarrolladas en el Título V del Reglamento de desarrollo de la LOPD (RD 1720/2007, de 21 de diciembre).
De esta forma, las distintas autoridades de control existentes en España, según lo establecido en sus Estatutos, cuentan con un Registro de Protección de Datos cuya información revierte en el Registro General de la Agencia Española de Protección de Datos, al que en todo caso notifican sus ficheros las entidades privadas y las Administraciones públicas cuya actuación no está sujeta al control de las autoridades de control autonómicas.[1]
Se ha considerado, sin embargo, a raíz de las distintas consultas, análisis y debates que han dado lugar al Proyecto de Reglamento Europeo, que la obligación de notificación a las autoridades de control implica cargas administrativas y financieras, pero no ha contribuido en todos los casos a mejorar la protección de los datos personales. Por este motivo, tal y como esta redactado actualmente el texto, se eliminaría la obligación de notificación indiscriminada para sustituirla por procedimientos y mecanismos eficaces que se centren, en su lugar, en las operaciones de tratamiento que, por su naturaleza, alcance o fines, puedan presentar riesgos específicos a los derechos y libertades de los interesados.
La exigencia se dirige a supuestos muy concretos, quizás considerando que la preocupación por los tratamientos comunes debe de estar ya superada, dada la larga andadura de un derecho que ya no es tan reciente, estableciendo para ellos una obligación de documentación de todas las operaciones de tratamiento efectuadas por un responsable de ficheros, con un contenido similar al de la actual notificación.
Esta oportunidad de reflexión sobre los tratamientos realizados por parte del responsable del fichero, que puede llegar a redundar en una aproximación metódica y ordenada a la implementación del resto de obligaciones, no nos engañemos, tiene más posibilidades de calar en el responsable o en alguno de sus empleados, mientras estén obligados a marcar la casilla en la que se comprometen a notificar una información cierta y esta sea registrada por una autoridad de control. Esto, a día de hoy, aún puede ser el germen de la cultura de protección de datos en una empresa, ya que la notificación ha sido entendida muchas veces como el primer paso para el cumplimiento de la normativa, y a veces el único, por ser el más visible al tener los Registros carácter público, y fácilmente verificable por las autoridades de control.
Por su parte, la información facilitada por los responsables de ficheros ha permitido a las autoridades de control analizar y facilitar, periódicamente en sus páginas web y en forma de resumen a través de sus memorias, información valiosa sobre las notificaciones realizadas.
Esto ha permitido sacar conclusiones sobre el conocimiento e implantación, aunque fuese parcial, de la normativa en el sector público en relación con el privado, la distribución territorial de los ficheros, los tipos de datos que son tratados más habitualmente, las distintas finalidades para las que se realizan tratamientos, el número de notificaciones por sector de actividad o tipo de administración, la cantidad de ficheros que tienen inscritas transferencias internacionales de datos o el impacto de la generalización en el uso de ciertos dispositivos, como las cámaras de videovigilancia, en el tratamiento de datos personales.
También permite intuir que, si no hay garantías de que quienes notifican sus ficheros cumplan el resto de la normativa, para aquellos que no han notificado esta sigue siendo una desconocida o una asignatura pendiente, lo que da idea de las necesidades de concienciación y difusión que aún deben llevarse a cabo por las autoridades de control y profesionales en la materia, a pesar del camino ya recorrido.
Es posible que los Registros no desaparezcan completamente, actualmente no solo se inscriben ficheros, también autorizaciones y códigos tipo de acuerdo con nuestra actual normativa y el Proyecto de Reglamento Europeo contempla la notificación de violaciones de los datos personales que tendrán que ser recibidas por algún órgano de la autoridad de control. Si bien tampoco desaparecerán las cifras, especialmente las relativas a los procedimientos, consultas, denuncias o sentencias, con la ausencia de notificaciones perderemos la conciencia firme de todo lo que queda por hacer que nos transmite el dato de que a 31 de diciembre de 2014 había 3.746.930 ficheros inscritos en el Registro General de la Agencia Española de Protección de Datos, 3.594.106 ficheros de titularidad privada y 152.824 ficheros de titularidad pública.[2]
Mar del Peso Ruiz
Abogada y Licenciada en Ciencias Económicas y Empresariales
Consultora y Auditora Senior en IEE Informáticos Europeos Expertos.
__________________________________________________
[1] En la fecha de redacción de este artículo: Autoridad Catalana de Protección de Datos (APDCAT), Agencia Vasca de Protección de Datos (AVPD).
[2] Fuente: www.agpd.es