La notificación de ficheros en el Registro General de Protección de Datos

Valoración del Usuario:  / 4
MaloBueno 

¿Es una obligación realmente necesaria?

En España, existe la obligación legal de que toda empresa o institución que realice tratamientos de datos personales lo notifique al Registro General de Protección de Datos (RGPD).

En la práctica, esto supone que cada empresa deba rellenar correctamente tantos formularios técnico-jurídicos como ficheros utilice, y los presente en el RGPD.

Así, por ejemplo, todas las empresas que tengan empleados deben notificar al RGPD que tienen un fichero de empleados; todos los hospitales y médicos que tengan pacientes deben notificar al RGPD que tienen un fichero de pacientes; todas las comunidades de propietarios deben notificar al RGPD que tienen un fichero de vecinos (que forman dicha comunidad de propietarios); todas las empresas que se dediquen a la venta minorista deben notificar al RGPD que tienen un fichero de clientes; etc.

La principal crítica a esta obligación burocrática es evidente ¿Realmente es útil notificar la existencia de unos ficheros cuya utilización se sobreentiende o ya consta en la Administración? Es decir, si soy una empresa con empleados, cuyos datos ya he dado de alta en la Seguridad Social, ¿Por qué ahora también tengo que notificar a la AEPD que tengo empleados?, ¿No podrían coordinarse las administraciones entre sí y cruzarse esta información?, ¿No podría la Seguridad Social informar a la AEPD sobre todas las empresas que tienen empleados y así ahorrar este trámite burocrático?

En el caso del fichero de pacientes de los hospitales, en el caso del fichero de vecinos de las comunidades de propietarios, en el caso del fichero de clientes del comercio minorista, y en otros supuestos y ejemplos prácticos, ¿Realmente es útil la notificación de los ficheros o su existencia se debería sobreentender sin necesidad de notificación? ¿Acaso pueden existir hospitales sin pacientes, comunidades de propietarios sin vecinos o comercios minoristas sin clientes? Entonces, ¿Para qué sirve notificar los ficheros?

En la mayoría de los supuestos prácticos, la obligación de notificar ficheros al RGPD es de una utilidad cuanto menos cuestionable. Quizás por ello esta obligación de las empresas españolas de notificar ficheros no exista en muchos otros países de la Unión Europea.

Además, en la práctica, esta obligación puede tener un efecto perjudicial para las empresas. Tanta burocracia dificulta el cumplimiento por parte de los empresarios del derecho fundamental a la protección de datos. El hecho de que las empresas españolas dediquen recursos – tiempo y dinero - en cumplir obligaciones burocráticas (y quizás innecesarias) implica igualmente que no empleen dichos recursos – tiempo y dinero – en cumplir el resto de obligaciones sustantivas y de fondo que son necesarias para proteger la intimidad de las personas.

En fin, que hay no pocas empresas que se conforman con cumplir los aspectos formales y burocráticos de la LOPD y no sus aspectos de fondo e importantes.

Otro efecto negativo de las trabas burocráticas en materia de LOPD es que facilitan el intrusismo profesional en el sector. De protección de datos saben los abogados que además están especializados en la materia. Pero de rellenar casillas de formularios y demás burocracias sabe casi todo el mundo que se aprenda cuatro trucos. Por ello, el mercado de la LOPD está plagado de empresas no cualificadas que “venden” que cumplir la LOPD es sencillamente cumplir su burocracia. Estas empresas consiguen que sus clientes crean que han cumplido la LOPD, cuando en realidad sólo han cumplido la parte más superficial (e inútil) de la LOPD.

En nuestro despacho profesional no es infrecuente encontrarnos con multas a empresas que creían erróneamente que estaban cumpliendo la LOPD, pues habían confiado en una consultora no cualificada. Notificar los ficheros al RGPD no implica en absoluto cumplir la LOPD.

Resumiendo lo dicho hasta ahora, desde un punto de vista práctico, la existencia de una obligación de notificar ficheros al RGPD puede tener las siguientes connotaciones negativas:

  1. Puede ser bastante innecesario. Es innecesario, por reiterativo, inscribir un fichero de empleados si ya tienes a los empleados dados de alta en la Seguridad social; también, por ejemplo, es innecesario que, siendo un Hospital, tengas que notificar un fichero de pacientes, porque se sobreentiende; igualmente es innecesario notificar un fichero de clientes si te dedicas al comercio minorista; etc.
  2. Supone el uso de recursos de las empresas – tiempo y dinero – que se podrían emplear en otras cosas más importantes para el interés general.
  3. Puede confundir a las empresas que, con ánimo de cumplir la LOPD, acaben cumpliendo meramente sus disposiciones formales, descuidando las disposiciones materiales y realmente importantes.
  4. Puede fomentar el intrusismo profesional de empresas que, de forma irresponsable, vendan que cumplir la LOPD es mera burocracia, ajena al asesoramiento sustantivo y profesional realizado por abogados.

Con todas estas críticas, no es de extrañar que la Unión Europea esté elaborando un futuro Reglamento Europeo de Protección de Datos, que vaya a sustituir a la actual LOPD. Su principal novedad será que las empresas se verán dispensadas de realizar buena parte de los trámites burocráticos actualmente existentes, a la vez que, por otro lado, se incrementarán o modificaran las obligaciones materiales de cumplimiento del derecho fundamental a la protección de datos.

Esta reforma impuesta por Europa tiene buena pinta. Desde el punto de vista de los particulares, va a proteger más y mejor su derecho a la privacidad. Desde el punto de vista de las empresas, va a sustituir las trabas burocráticas existentes por nuevas obligaciones sustantivas que protejan los tratamientos de datos personales.

 

José Picón Rodríguez

Abogado del ICAM nº 65543

Share