La inscripción de ficheros en el Registro General de Protección de Datos es una de las obligaciones básicas que establece la LOPD, en concreto es su artículo 26. Su finalidad principal es poner a disposición de cualquier interesado los datos necesarios para conocer cómo ponerse en contacto con una determinada entidad a la hora de ejercitar sus derechos de acceso, rectificación, cancelación y oposición. Pese a que se trata de un trámite básico en el cumplimiento de la normativa sobre protección de datos, lo cierto es que es habitual encontrarse con creencias erróneas en relación con la inscripción de ficheros, o cuestiones que a menudo se olvidan. Abordaremos en este artículo algunos de estos aspectos.
– Nunca está de más recordar que inscribir los ficheros no equivale a cumplir con la LOPD. Quién no ha escuchado alguna vez comentarios como «sí que cumplo la LOPD: ya he inscrito los ficheros». Es un requisito básico, pero no es el único, por supuesto, ni siquiera el más importante. Cumplir con la normativa de protección de datos es algo mucho más complejo que un mero trámite administrativo.
– El contenido de la inscripción ha de ser actualizado cada vez que se produzcan cambios en algunos de los aspectos que contienen la inscripción. No es suficiente inscribir un fichero y olvidarse de ello.
– Es fundamental tener en cuenta la definición de fichero que establece la LOPD: «todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso«. El fichero es a estos efectos un concepto jurídico, cuyo alcance vendrá determinado fundamentalmente respecto a su finalidad. No debe confundirse el fichero jurídico a efectos de protección de datos con lo que es un fichero físico (una base de datos de clientes, un archivador con facturas, etc.). La gran mayoría de las empresas tendrán que inscribir muy pocos ficheros, muchas de ellas exclusivamente dos: «clientes y proveedores» y «recursos humanos» (o con otros nombres similares, el nombre no es relevante). No tiene sentido, y además dificulta tanto el ejercicio de derechos por parte de los afectados, como la actualización futura de la inscripción por parte del responsable, tener un número elevado de ficheros inscritos cuando pueden englobarse muchos ficheros físicos en unos solo jurídico.
– Lo mismo sucede con ficheros situados en múltiples ubicaciones. Una entidad bancaria, por ejemplo, no tendrá que inscribir tantos ficheros de videovigilancia como oficinas con este sistema tenga, sino que será suficiente con inscribir un único fichero comprensivo de todos los ficheros físicos que generen las cámaras de cada una de las oficinas.
– Por último, un obligado por la LOPD puede ser responsable del fichero o responsable del tratamiento. Si no hay fichero, no habrá obligación de inscribirlo, lo que no quita para que se deban cumplir, respecto a ese tratamiento de datos, el resto de obligaciones de la LOPD.
