Obligación de Notificación de la creación del fichero a la AEPD

¿ Qué es lo que debe registrarse en la AEPD, a efectos de notificación? ¿Ficheros físicos, o ficheros lógicos?

El RLOPD, en su artículo 5.1.k), define como "fichero de datos personales" a:
“todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”.

Nos encontramos ante una definición de carácter genérico y que puede resultar tan amplia que en la práctica no ha sido de gran ayuda, creando incluso confusión en numerosas ocasiones en las que, atendiendo a la misma, no queda claro si nos encontramos ante un fichero protegido por la normativa de protección de datos personales y que, por consiguiente, debe ser declarado ante la AEPD para su inscripción en el RGPD o, por el contrario, podríamos estar ante varios ficheros cuya declaración debe hacerse de forma independiente.

Dentro de esta definición podemos englobar muchos términos utilizados habitualmente, tales como base de datos, aplicación, programa, tabla, fichero… -en relación con el tratamiento informatizado-, o cajonera, armario, archivo… -si nos referimos a tratamientos no informatizados, sino manuales-. Estos términos vienen a identificar los denominados ficheros físicos.

Frente a estos, existen los llamados ficheros lógicos, que podemos definir como ficheros o conjunto de ficheros físicos que contienen el mismo tipo de datos y son
tratados para la misma finalidad.

La AEPD ha considerado que sólo los ficheros lógicos son objeto de declaración. Esto significa que, una vez identificados los ficheros físicos, el responsable de
los mismos podrá agruparlos en ficheros lógicos atendiendo a los criterios indicados. Así por ejemplo, en una empresa pueden existir diversos ficheros físicos con datos de clientes (datos bancarios, gestión de la relación comercial, marketing, gestión de impagados). Todos estos tienen datos de clientes y comparten la finalidad consistente en gestionar la relación con los mismos, de manera que se pueden agrupar en un único fichero lógico y declararse ante la AEPD, por ejemplo, bajo el nombre de clientes.

El concepto anteriormente indicado puede matizarse aún más teniendo en cuenta lo establecido en el artículo 2.c) de la Directiva 95/46/CE, dado que el mismo aclara la referencia a la forma de creación, almacenamiento, organización y acceso del fichero al indicar que el conjunto de datos tendrá esa consideración “ya sea centralizado, escentralizado o repartido de forma funcional o geográfica”.

En cuanto al reparto geográfico, podemos afirmar que el concepto de fichero no va directamente vinculado a la exigencia de que el mismo se encuentre en una única ubicación. Es posible la existencia de ficheros distribuidos en lugares geográficos remotos entre sí, siempre y cuando la organización y sistematización de los datos responda a un conjunto organizado y uniformado de datos, sometido a algún tipo de gestión centralizada.

La AEPD se ha pronunciado en este sentido a través de un informe jurídico ( Vid. AEPD, Informe Jurídico 368/2003 Inscripción de ficheros situados en múltiples ubicaciones ) emitido en respuesta a una consulta planteada por una entidad que disponía de diversos centros, ubicados en distintos lugares y carentes de personalidad jurídica
propia, disponiendo de información sometida a tratamiento similar repartida en ficheros idénticos y alojada en servidores diferentes, dada su ubicación en los distintos centros, pero administrados y gestionados de forma centralizada.

En relación con este tema, el RLOPD -artículo 56- viene a aclarar que:
“la notificación de un fichero de datos de carácter personal es independiente del sistema de tratamiento empleado en su organización y del soporte o soportes emplea dos para el tratamiento de los datos” y que “cuando los datos de carácter personal objeto de tratamiento estén almacenados en diferentes soportes, automatizados y no automatizados, o exista una copia en soporte no automatizado de un fichero automatizado, sólo será preciso una sola notificación, referida a dicho fichero”.

Fuente: La protección de datos personales. Soluciones en entornos Microsoft. AEP, Microsoft Iberica.

Unless otherwise stated, the content of this page is licensed under Creative Commons Attribution-ShareAlike 3.0 License