Hasta 2018, el Registro General de Protección de Datos era el órgano de la AEPD en la que las empresas y las administraciones debían inscribir los ficheros en los que almacenaban los datos personales de sus usuarios. Con la entrada en vigor del RGPD, este órgano perdió sus funciones y se crearon nuevos requisitos para cumplir con el reglamento de protección de datos. En esta entrada vamos a ver cómo funcionaba en su momento este registro general de la Agencia de Protección de Datos y qué lo ha sustituido.
Funciones del Registro General de Protección de Datos
La principal función del Registro General de Protección de Datos era garantizar la publicidad de los ficheros de datos personales que manejaban tanto entidades privadas como públicas, de manera que con ello se garantizaba por un lado, que los usuarios pudieran conocer qué tratamiento se aplicaba a esos ficheros y las características que tenían, y por otro lado y en relación con esto, que pudieran ejercer sus derechos ARCO (acceso, rectificación, cancelación y oposición.
Aparte de la obligación de inscripción en Registro General de Protección de Datos de los ficheros de datos que tenían las empresas, este órgano de la Agencia Española de Protección de Datos también llevaba a cabo otras funciones, como:
- Llevar a cabo campañas de concienciación sobre la protección de datos.
- Atender las consultas que les planteaban los ciudadanos en materia de protección de datos
- Elaborar códigos de conducta para el correcto trato y uso de datos personales.
¿Qué se inscribía en el Registro General de Protección de Datos?
La anterior versión de la LOPD decía que «serán objeto de inscripción en el Registro General de Protección de Datos»:
- Ficheros gestionados por las administraciones públicas.
- Ficheros que tengan titularidad privada.
- Códigos Tipo.
- Autorizaciones relacionadas con la transferencia internacional de datos.
- Datos que guarden relación con los ficheros inscritos y que a su vez sean necesarios para el ejercicio de los derechos ARCO.
¿El Registro General de Protección de Datos era público?
Sí, el Registro General de Protección de Datos era de carácter público, por lo que cualquiera podía entrar en la web de la AEPD y realzar una consulta en el Registro General de Protección de Datos. Esta consulta era gratuita y permitía acceder a los ficheros que cualquier entidad tuviera registrados en el registro solo introduciendo el nombre o el CIF de la empresa.
Esto también servía para saber si estábamos inscritos en la Agencia de Protección de Datos y además asegurada el derecho de consulta al Registro General de Protección de Datos por parte de los ciudadanos particulares, como ya hemos mencionado.
¿Estoy sujeto a sanciones por no inscribir en el Registro General de Protección de Datos?
Sí, no inscribir los ficheros de datos en el Registro General de Protección de Datos cuando se tenía la obligación de hacerlo podía acarrear las siguientes sanciones:
- Infracción leve con sanciones entre 601,01 y 60.101,21 euros:
- Por no solicitar la inscripción del fichero en la AEPD.
- Infracciones graves con sanciones entre 60.101,21 y 300.506,25 euros:
- Por no inscribir los ficheros en la AEPD.
- Utilizar los ficheros con distinta finalidad para la que se crearon.
- No permitir el acceso a los ficheros.
- Mantener datos inexactos o no efectuar las modificaciones solicitadas.
- Infracciones muy graves con sanciones entre 300.506,25 euros y 601.012,1 euros:
- Por crear ficheros para almacenar datos que revelen datos especialmente protegidos.
Estas son algunas de las infracciones relacionadas con la obligatoriedad que existía para inscribir los ficheros de datos en el Registro General de Protección de Datos de acuerdo a la LOPD.
También era motivo de sanción que el registro de ficheros de una empresa en la AEPD no coincidiera exactamente con lo descrito en el Documento de Seguridad.
¿Qué sustituye al Registro General de Protección de Datos?
Como ya hemos dicho al comienzo de este artículo, el Registro General de Protección de Datos dejó de funcionar con la entrada en vigor del RGPD en mayo de 2018 y las empresas ya no tenían la obligación registrar sus ficheros para cumplir con los requisitos de la nueva ley.
Sin embargo, esto no quiere decir que no exista otro tipo de obligación, el RGPD dice que las empresas o entidades deberán guardar un registro de actividades de tratamiento, donde deberá recogerse qué tipos de datos se tratan, su categoría y en qué cantidad. Además, en este registro de actividad debe figurar también la finalidad para la que son recogidos, el lugar dónde se guardan, los medios de tratamiento y si existirán cesiones a terceros (internacionales o no).
Este registro de actividades de tratamiento debe estar preferiblemente por escrito y mantenerse siempre actualizado, puesto que en una inspección de la AEPD, esta podría solicitarlo y las empresas tienen la obligación de entregarlo.
Aparte del registro de actividades de tratamiento, aquellas empresas que tengan un delegado de protección de datos (DPO) están obligadas a registrarlo en la AEPD con sus datos personales y de contacto.
Eso sí, solo están obligadas a realizar un registro de actividades de tratamiento las empresas con más de 250 empleados y aquellas en las que el tratamiento de datos no sea ocasional y pueda entrañar un riesgo para los derechos y libertades de los interesados, así como si se tratan datos de categorías especiales o relativos a condenas e infracciones penales.