Agustín Puente Escobar Abogado del Estado-Jefe del Gabinete Jurídico

Transcripción

1 1

2 Agustín Puente Escobar Abogado del Estado-Jefe del Gabinete Jurídico 2

3 Carácter de los datos relativos a la asignación a la iglesia católica, donaciones deducibles a ONG, grado de discapacidad, cuota sindical y matrimonio entre personas del mismo sexo, su publicación para el conocimiento público de los ciudadanos Según el informe 158/08 de la AEPD la decisión del contribuyente de asignar un porcentaje de la recaudación de sus tributos a la Iglesia Católica no revela necesariamente sus creencias por lo que no son datos especialmente protegidos. En las donaciones deducibles debe darse la misma respuesta que a la anterior pregunta. En cuanto al grado de discapacidad y cuota sindical son datos especialmente protegidos. En cuanto a su publicación, en principio se aplicarían cuando procediera las reglas del artículo 7.3; es decir, solo operaría para los datos de salud, origen racial y vida sexual y cuando existiera cobertura por una norma con rango de Ley. Ha de tenerse en cuenta también que respecto de estos datos operan circunstancias especiales en cuanto al nivel de seguridad cuando son tratados por el empresario en cumplimiento de sus obligaciones legales o para la mera detracción en nómina. El dato del matrimonio con persona del mismo sexo puede revelar la vida sexual del afectado, si bien debe tenerse en cuenta que se someterá a un régimen de divulgación menos restrictivo, al haberse hecho manifiestamente público por el interesado (art. 7.3 LOPD en conexión con el art. 8.2 e) Directiva 95/46/CE). 3

4 En las últimas resoluciones la Agencia está exigiendo la realización de un requerimiento de pago fehaciente, como único medio de prueba, y sin embargo la "fehaciencia" no viene exigido por la normativa de protección de datos. El requerimiento de pago viene impuesto por la propia LOPD y explicitado en el RLOPD. La AN ha considerado que este requisito es de ineludible cumplimiento y que corresponde la carga de probar dicho cumplimiento a quien realiza el requerimiento; de ahí que el mismo deba ser fehaciente. La AN no ha considerado suficiente la aportación de meros pantallazos, emisión de facturas o recibos o la mera declaración de la realización del envío. Además, el requerimiento debe referirse a una deuda concreta (que se corresponda con la incluida luego en el fichero) y especificar la advertencia de que en caso de impago los datos serán incorporados a los ficheros. En cuanto al medio probatorio podría establecerse un procedimiento similar al previsto para la notificación de inclusión en ficheros de solvencia según el RLOPD. 4

5 Qué criterios han de imperar a la hora de publicar los ficheros en las webs de Organismos Públicos? Debe existir una legitimación suficiente para que proceda la cesión de los datos derivada de esa publicación (art. 11 LOPD). Generalmente está vendrá determinada por la declaración del carácter público de un determinado fichero o registro (aunque podrían existir otras causas legitimadoras). En todo caso, la mera creación de un registro público no implica necesariamente la publicación de todos los datos incluidos en el fichero, sino que debería efectuarse un test de proporcionalidad vinculado a la finalidad que justifica la publicidad de los datos, atendido el interés legítimo en la publicación y el derecho a la protección de datos de los interesados. Además será preciso que se respeten los restantes principios de la LOPD. En particular, los datos deberán ser exactos y encontrarse actualizados, respondiendo a la situación del interesado (art. 4.3 LOPD). 5

6 Ante un cambio del administrador de fincas en una comunidad de vecinos Cómo proceder? Debo notificar a la AEPD el cambio de titularidad en la responsabilidad de un fichero de datos de propietarios siendo el nuevo administrador de fincas cuando el anterior ya lo ha registrado? La AEPD ha venido señalando que en los ficheros de los que ha de ser responsable una comunidad de propietarios el Administrador de Fincas tiene una doble condición. Encargado del tratamiento cuando mantiene los datos en sus sistemas de información. Usuario de los ficheros de la Comunidad en cuanto órgano de la misma. En ningún caso, respecto de estos ficheros, el Administrador será responsable del fichero. De este modo, en caso de que se produzca un cambio en el administrador de fincas debería estarse a las circunstancias de cada caso: Si los ficheros han permanecido en la Comunidad, sin alojarlos el administrador en sus sistemas, solo habría un cambio de usuario. Si el administrador se encargaba de la conservación era encargado del tratamiento y deberá devolver los datos al responsable (la comunidad de propietarios) o al nuevo administrador/encargado que la misma designe conforme a la LOPD y al RLOPD. 6

7 Quería me explicaran cómo se debe actuar en materia de prevención de blanqueo de capitales. Cuándo hay que dar de alta el fichero? La Ley 10/2010 impone a los sujetos obligados una serie de obligaciones que implican necesariamente el tratamiento de datos personales; fundamentalmente en cuanto se refiere al cumplimiento del deber de diligencia debida y el examen especial de operaciones y comunicación al SEPBLAC. Además impone la creación de un órgano específico de prevención de blanqueo que deberá ser quien lleve a cabo las actuaciones a las que se refiere la segunda de estas obligaciones. De este modo, las empresas crearán ficheros específicos con estas finalidades que deberán quedar en cuanto a su acceso limitados a la citada unidad y que deberán ser objeto de notificación al RGPD. Es posible que, por otra parte, determinados datos relacionados con el deber de diligencia debida se incorporen al fichero de clientes del sujeto obligado del que, en su caso, habrá de solicitarse una modificación. 7

8 Ficheros con datos de salud y relaciones con entidades aseguradoras. Protección de datos en el sector sanitario de entidades privadas. Relación entre aseguradoras y hospitales Debería diferenciarse la rama aseguradora a la que se esté haciendo referencia: Respecto del seguro de Responsabilidad civil, la AEPD (en criterio confirmado por la AN y el TS) ha considerado que es posible la cesión de los datos por los centros sanitarios al asegurador para el cumplimiento de las obligaciones legales de provisión de las cantidades que resulten necesarias para el abono de la indemnización. En asistencia sanitaria no existe tal cobertura, por lo que la AEPD, de conformidad con el criterio de la Dirección General de Seguros y Fondos de Pensiones ha venido exigiendo el consentimiento del asegurado al firmar la póliza y en cada acto médico, habiendo dado su visto bueno al modelo de cláusula presentada por UNESPA. No obstante, está en trámite una modificación de la legislación de ordenación del seguro privado, elaborada con la opinión de la AEPD, en la que podría exceptuarse, con determinadas condiciones, esa exigencia del consentimiento. 8

9 Qué se considera como cliente, a efectos de la LSSI? La LSSI exceptúa del consentimiento del interesado las comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente. La Directiva 2009/136/UE vincula este supuesto con que el emisor obtenga de sus clientes la dirección de correo electrónico, en el contexto de la venta de un producto o de un servicio, vinculando este artículo a la legitimación como consecuencia de una relación contractual. De este modo, para que un determinado destinatario pueda ser considerado cliente, el emisor de las comunicaciones debe poder acreditar fehacientemente que el mismo ha adquirido realmente bienes y servicios similares a los que son objeto de la comunicación, debiendo entenderse en este sentido el concepto de cliente a estos efectos. 9

10 En relación con la reforma del artículo 21 de la LSSICE, que considera la Agencia por "dirección electrónica válida" para poder ejercitar el derecho de oposición? La Directiva 2009/136/UE al referirse a este supuestos indica que serán nulas las comunicaciones que no contengan una dirección válida a la que el destinatario pueda enviar una petición de que se ponga fin a tales comunicaciones, de lo que parece deducirse que en las comunicaciones debería constar una dirección de correo electrónico a la que remitir de forma inmediata las peticiones. No obstante, hasta la fecha la Audiencia Nacional viene indicando que es posible que en el mensaje se redirija al destinatario a una página web donde manifestar su negativa, por lo que cabría considerar que en este caso también se ofrece una dirección electrónica, siempre que sea sencillo para el usuario a partir de la dirección web comunicada ejercer el derecho a negarse a seguir recibiendo las comunicaciones. En todo caso, como indica la norma, la dirección deberá ser válida, es decir,: Deberá encontrarse operativa; y Deberá permitir atender efectivamente la solicitud de oposición del interesado. 10

11 Un encargado de tratamiento que presta al responsable servicios de telemárketing, realiza grabaciones de las llamadas al teléfono de la empresa del responsable para verificar la calidad del servicio que prestan sus empleados. En este caso, es necesario informar a los empleados de que se está grabando la conversación e informarles sobre lo que establece el artículo 5 de la LOPD. Dado que en este caso se trata de una medida de control de los trabajadores, que puede encontrarse amparada por el Estatuto de los Trabajadores, sería lícito el tratamiento, pero resultaría imprescindible para ello informar con carácter previo a los trabajadores. En todo caso, debe tenerse en cuenta que la empresa sigue siendo encargada del tratamiento del fichero que contiene las grabaciones, toda vez que la actuación de la misma se realiza en el marco del encargo. Por ello, deberán respetarse los límites y obligaciones impuestos por la LOPD y el RLOPD al encargado. 11

12 Si remitimos la respuesta a ejercicio de derechos por carta certificada y ésta viene devuelta, se entiende por contestado el derecho en plazo o sería necesario hacer un segundo envío teniendo en cuenta que la carta certificada te da un plazo para recoger el escrito en correos (salvo en los supuestos de dirección errónea)? Las normas de protección de datos establecen el principio de que el afectado puede elegir el medio a través del cual se debe dar respuesta al derecho, sin perjuicio de las normas del RLOPD para el caso de que el medio elegido sea de un coste elevado o implique una seguridad menor que el puesto a disposición del afectado por el responsable. De este modo, si el interesado ha solicitado que se dé respuesta al ejercicio del derecho a través del medio descrito y, no obstante, no se produce la entrega y el envío aparece como devuelto debe considerarse que el responsable ha dado adecuado cumplimiento a la solicitud de ejercicio. Deben exceptuarse los supuestos en los que se produzca un error en el envío que resulte imputable al propio responsable (por ejemplo, al dirigir la comunicación a una dirección errónea). 12

13 En un despacho de varios profesionales autónomos, que comparten instalaciones, quién es el responsable de tratamiento si el fichero lo comparten todos? Para dar respuesta a esta pregunta deberá atenderse al concepto de responsable del fichero o del tratamiento; es decir, determinar quién decide sobre la finalidad, contenido y uso del tratamiento, pudiendo obtenerse distintas respuestas atendiendo al supuesto real planteado: Si se tratase de un despacho, de una sociedad profesional o de un gabinete en que se contratan por el cliente los servicios de todos los profesionales existiría una solo fichero del que sería responsable el despacho o la sociedad profesional o del que podrían ser corresponsables todos los profesionales. Si el cliente únicamente contrata los servicios de un profesional, no existiendo ningún vínculo jurídico entre los profesionales más que la compartición de las instalaciones y de los gastos, cada profesional sería responsable de su propio fichero de clientes. El hecho de que los ficheros se estructurasen en una sola base de datos no alteraría esta conclusión, pero deberían adoptarse medidas que permitieran una adecuada compartimentación de los distintos ficheros para que cada profesional únicamente pudiese acceder a los datos de sus clientes. 13

14 José López Calvo Subdirector General de Inspección de Datos 14

15 Un organismo de la administración publica, podría hacer una auditoría del uso adecuado del correo electrónico por sus trabajadores accediendo al contenido? podría alcanzar el control a las carpetas privadas? El T. S. en su Sentencia, de 26/09/2007, se ha pronunciado sobre el control empresarial del correo electrónico previendo la posibilidad de que el empresario pueda acceder al control del ordenador, del correo electrónico y los accesos a Internet de los trabajadores, siempre que la empresa de "buena fe" haya establecido "previamente las reglas de uso de esos medios con aplicación de prohibiciones absolutas o parciales e informado de que va existir un control y de los medios que han de aplicarse en orden a comprobar la corrección de los usos. La STC, Sala Primera, de 11/02/2013, establece la necesidad, además de la información previa y expresa, precisa, clara e inequívoca a los trabajadores de la finalidad del control de la actividad laboral, de que la información concrete las características y el alcance del tratamiento de datos que va a realizarse. Respecto al control de carpetas personales de los trabajadores concurren dos situaciones: Si la carpeta es un servicio que la empresa ha decidido prestar a sus empleados, no lo considera instrumento de trabajo y no puede controlarlo como empresario. Si por el contrario la carpeta personal la crea por propia iniciativa el trabajador puede ser objeto de monitorización como el resto del ordenador profesional (uso Internet, correo electrónico ) previo establecimiento de las condiciones de uso e información (STS y STC ). 15

16 En sistemas de videovigilancia activada por sensores de movimiento, (alarmas con captación de imágenes o videograbaciones), es necesario notificar los ficheros a la AGPD, y poner cartel informativo si no se graba continuamente, sino que solo graba en el momento que se activa la alarma, ante un intruso o fuera del horario laboral? Sí, en todo caso al no resultar aplicable la excepción prevista en la Instrucción 1/2006, que dispone que 7.2. A estos efectos, no se considerará fichero el tratamiento consistente exclusivamente en la reproducción o emisión de imágenes en tiempo real. En consecuencia, el régimen vigente resulta aplicable con independencia de la concurrencia del suceso o incidencia que ponga en marcha el sistema de grabación de imágenes, incluido también el deber de informar mediante cartel informativo. 16

17 Legalidad de las cámaras de videovigilancia que también graban la voz. La definición de dato personal se recoge en el artículo 5.1.f) del Real Decreto 1720/2007, de 21 de diciembre: cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. Las grabaciones de voz son consideradas grabaciones de datos personales. La omisión de la referencia a la voz en la Instrucción 1/2006 de la Agencia, no supone su exclusión del régimen de la LOPD. La grabación del sonido de voz en un soporte informatizado constituye un almacenamiento de datos personales (tratamiento). En el supuesto planteado, el hecho de que resulte legítima la videovigilancia no implica necesariamente que se legitime la grabación de la voz, tratamiento que tendría que tener su justificación propia. 17

18 La D.G.P ha emitido una recomendación sobre los sistemas de videovigilancia en la que se indica que las cámaras de seguridad deberían ubicarse a la altura del rostro. Dado que una cámara instalada en un cajero automático a esa altura también grabaría el resto de la calle y a las personas que por ella pasan, nos gustaría saber su opinión sobre la compatibilidad de esta recomendación con la Instrucción 1/2006 sobre videovigilancia. Las instalaciones de videovigilancia utilizadas en Bancos, Cajas de Ahorro y demás entidades de crédito están sujetas a reglas específicas (Ley Seguridad Ciudadana). Estas instalaciones son de titularidad privada siendo estas entidades responsables de las mismas. El artículo 120 del Reglamento de Seguridad Privada define peculiaridades en su régimen jurídico. Entre ellas se encuentra que las imágenes estarán exclusivamente a disposición de las autoridades judiciales y de las dependencias de las Fuerzas y Cuerpos de Seguridad, a las que facilitarán inmediatamente aquellas que se refieran a la comisión de hechos delictivos. De esta forma, se respeta el principio según el cual la utilización de instalaciones de videovigilancia en la vía pública se reserva a las Fuerzas y Cuerpos de Seguridad por la Ley Orgánica 4/1997, de 4 de agosto por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad del Estado en lugares públicos. 18

19 El tiempo máximo de almacenamiento de imágenes es de 30 días, pero el mínimo, está definido o queda a libre elección? No existe obligación de grabar según la LOPD por lo tanto tampoco de almacenamiento mínimo. El responsable del fichero es quien determina si almacena o no almacena imágenes y, en su caso, el tiempo mínimo de almacenamiento. 19

20 Cabe la posibilidad de la colocación de cámaras privadas sin estar conectadas a una central de alarmas, que no hayan sido instaladas por una empresa registrada en el Ministerio del Interior? Según el artículo 14 de la Ley 25/2009 (Ley Ómnibus) la concurrencia de una empresa de seguridad para la instalación de videocámaras es exigible únicamente cuando las mismas se encuentran conectadas con Centrales Receptoras de Alarmas. 20

21 Que requisitos se deben cumplir para instalar videovigilancia visualizando el portal de un inmueble? La Junta de Propietarios es el órgano de gobierno que debe legitimar la instalación de las videocámaras. El acuerdo para la instalación de las cámaras deberá reflejarse en el acta de la Junta de Propietarios en los términos que determina la Ley de Propiedad horizontal. Las cámaras pueden captar imágenes de zonas comunes pero en ningún caso podrán captar imágenes del interior de los domicilios. Las imágenes serán accesibles únicamente por las personas que determine la Junta de Propietarios que se especificarán en el documento de seguridad. Con carácter general se dará cumplimiento a lo previsto en la Instrucción 1/2006 en lo que respecta al deber de información e inscripción de fichero. 21

22 Es lícito informar y solicitar el consentimiento a los interesados mediante pantallas digitales donde se contenga el aviso legal correspondiente y se firme con un bolígrafo digital? El artículo 5 de la LOPD reconoce el derecho a la información en la recogida de datos y, salvo la indicación de que la información ha de ser expresa, precisa e inequívoca, no contiene, como señala la STS de 15 de julio de 2010, ninguna referencia a la forma, pudiendo ser, en consecuencia, verbal, escrita, telemática, etc. Solo establece en su apartado 2 una forma específica cuando se utilizan cuestionarios o impresos. Del mismo modo, la LOPD recoge, como regla general, el principio de libertad de forma en la prestación del consentimiento con la sola indicación de que ésta manifestación de voluntad deberá ser libre, inequívoca, específica e informada. Por ello, nada obsta a que la información y el consentimiento se presten utilizando pantallas digitales que capturan la firma del afectado. 22

23 Cuando se llama a un servicio de emergencias se debe o no informar sobre la LOPD? Los usuarios de los servicios de emergencia pueden ser informados mediante la inclusión en la página web y/o en su publicidad institucional, recogiendo la información que contuviera los extremos previstos en el artículo 5 de la LOPD. La entidad tiene que establecer un procedimiento para informar a los afectados de forma que no interfiera la eficaz prestación de sus servicios en los que el derecho a la salud o seguridad reviste un carácter prevalente y no puede ser amenazado por la necesidad de que finalice una locución grabada. 23

24 Cuando el artículo 12 de la LOPD se refiere a que el Encargado del Tratamiento "también" puede ser responsable, significa que además del Encargado deberá siempre ser sancionado el Responsable del Fichero? Cada agente involucrado en el tratamiento deberá responder por las responsabilidades que, en su caso, le resulten imputables de acuerdo con la tipificación prevista en el artículo 44 de la LOPD y las obligaciones del encargado que se desarrollan en los artículos 20, 21 y 22 del RLOPD. PS/142/2011: se sancionó a un encargado de tratamiento como responsable de una insuficiente implantación de medidas de seguridad, que dio lugar a la difusión de datos a través de Internet. Se exoneró de responsabilidad al responsable, al haberse constatado que el encargado se había comprometido contractualmente a adoptar medidas para evitar, concretamente, la divulgación de tales datos sin que se le pudiera exigir diligencia adicional. En casos de alta en servicios sin consentimiento pueden ser sancionados tanto el encargado (comercial) como el responsable si ninguno de los dos adopta la diligencia necesaria para contrastar la identidad del solicitante. 24

25 Julián Prieto Hergueta Subdirector General del Registro General de Protección de Datos 25

26 El Reglamento define como usuario "sujeto o proceso autorizado para acceder a datos o recursos. Tendrán la consideración de usuarios los procesos que permitan acceder a datos o recursos sin identificación de un usuario físico". Qué utilidad tiene? Se podrían excluir? La obligación de mantener un registro de accesos es una medida de seguridad exigible en los ficheros a los que aplican las medidas de seguridad de nivel alto. Su finalidad es garantizar la trazabilidad de todos los accesos a aquellos tipos de datos que, por su especial sensibilidad, requieren un mayor nivel de protección. El hecho de que el acceso sea realizado por un proceso automatizado no elimina la necesidad de control de acceso a los datos, ya que dicho proceso estará en última instancia bajo el control de una organización y de unas personas que podrán acceder a los resultados del tratamiento efectuado. 26

27 Según el art RLOPD, es posible disponer de un Documento de Seguridad común a las distintas entidades de un mismo grupo, particularizando dentro del Documento todo lo particularizable, siendo la mayoría de cuestiones (ficheros, sistemas, procedimientos, Responsable Seguridad, Dpto. de Informática, etc.) idénticas o muy similares? Es posible elaborar un documento de seguridad común a varias entidades de un mismo grupo empresarial que compartan recursos de procesamiento de información, siempre que tanto las responsabilidades como las especificidades de cada entidad estén claramente identificadas y diferenciadas en el mismo. En todo caso, cada entidad conserva responsabilidad propia en el cumplimiento de las obligaciones impuestas por la LOPD y su reglamento de desarrollo. 27

28 Los ficheros de currículum para la propia gestión por parte del Responsable del Fichero de selección de personal destinada a su organización, debe cumplir con las medidas de seguridad de nivel medio? Por otro lado, el fichero de nóminas y recursos humanos del Responsable del Fichero (gestión de RRHH de la propia organización), debe cumplir con las medidas de seguridad de nivel medio? Con carácter general, a los ficheros de currículum vítae destinados a la selección de personal les serían de aplicación las medidas de seguridad de nivel básico. Igualmente, como regla general a los ficheros de nóminas les serían de aplicación las medidas de seguridad de nivel básico, siempre que el eventual tratamiento de datos de afiliación sindical o de salud se ajuste a las excepciones previstas en el artículo 81.5 del RLOPD. Respecto al fichero de recursos humanos, el nivel de medidas de seguridad aplicable vendrá determinado por el tipo de datos que sean objeto del tratamiento (art. 81 del RLOPD), teniendo igualmente presentes las excepciones previstas en el artículo 81.5 del RLOPD. 28

29 En una óptica el pedido a mayoristas de lentes del cliente se identifica con un código (no nombre). Es un dato disociado? Se debe aplicar la LOPD? El artículo 3.f) de la LOPD define el procedimiento de disociación como todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable. Y el artículo 5.1.e) del RLOPD define dato disociado como aquél que no permite la identificación de un afectado o interesado. Por tanto, siempre que se adopten medidas técnicas y organizativas para evitar que el pedido se asocie a datos identificativos de la persona en el momento del encargo ni en el de la entrega de las lentes, la LOPD no sería aplicable al tratamiento realizado por el mayorista. 29

30 Si una compañía "A" ha sido designada como encargado del tratamiento de los ficheros responsabilidad de otra compañía "B", tiene obligación la compañía "A" de planificar y llevar a cabo la auditoría bienal (si se aplica por el nivel de seguridad)?, o, por el contrario, es la compañía B la que está obligada a planificar y realizar la auditoría, teniendo que incluir a la compañía A en la misma? El responsable del fichero tiene una obligación específica de diligencia en orden a estipular en el contrato de prestación de servicios las medidas de seguridad que debe implantar el encargado del tratamiento (art.12 LOPD y 20.2 RLOPD). La auditoría, prevista en el art. 96 RLOPD, está dirigida a la verificación del cumplimiento de las medidas de seguridad, en consecuencia, el responsable del fichero puede solicitar al encargado su realización. El informe que resulte de la auditoría deberá ser analizado por el responsable de seguridad que elevará su conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas. 30

31 Sería necesario llevar el registro de acceso para un Sociedad Limitada Unipersonal solamente con el administrador (dueño) el que trata los datos personales. Podemos entender que si en una empresa solo hay un usuario que acceda a datos de nivel alto en soporte automatizado, no es necesario el mantenimiento del registro de accesos? El registro de acceso está previsto para los ficheros o tratamientos sometidos a medidas de seguridad de nivel alto (artículo 81.3 RLOPD). No obstante, el artículo del RLOPD prevé que NO será necesario si el responsable del fichero o tratamiento es una persona física y si garantiza que únicamente él tiene acceso y trata los datos personales. Circunstancias ambas que deben hacerse constar en el documento de seguridad. 31

32 Se considera transferencia internacional la cesión de datos de clientes entre la sucursal extranjera y la matriz de una empresa? Según el art. 5.1.s) del RLOPD transferencia internacional de datos es el tratamiento que supone una transmisión de los mismos fuera del territorio del EEE, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta de un responsable del fichero establecido en territorio español. Si el flujo de datos personales entre la sucursal y la matriz se produce entre un Estado EEE y otro que no lo es entonces estamos ante una transferencia internacional de datos. 32

33 Por qué no se refleja en la página web de la AEPD con más rapidez las modificaciones, supresiones o altas de ficheros? El plazo máximo para dictar y notificar la resolución sobre inscripción, modificación y cancelación de ficheros es de un mes (art. 134 RLOPD). La duración media en la inscripción de ficheros es de 4 días, incluyendo la tramitación de los que son objeto de requerimiento para subsanar deficiencias. El catálogo de ficheros de la WEB de la AEPD se actualiza diariamente con las inscripciones de altas, modificaciones y supresiones de ficheros que se vayan produciendo. 33

34 Se mantienen los códigos de inscripción de los ficheros declarados por la extinta Agencia de Protección de Datos de la Comunidad de Madrid? No. Los códigos de inscripción de los ficheros que hasta el pasado 31 de diciembre estaban inscritos en el Registro de la suprimida Agencia de Protección de Datos de la Comunidad de Madrid son los que asigna el Registro General de protección de datos de la AEPD. Se ha comunicado por carta a los responsables de ficheros de titularidad pública de los Ayuntamientos de la Comunidad de Madrid la relación de ficheros inscritos en el Registro de la AEPD, su código de inscripción, así como el que le fue asignado por la APDCM para su más fácil localización con la finalidad de que se compruebe la situación registral de los ficheros y, en su caso, se proceda a su actualización. 34

35 5ª sesión anual abierta de la Agencia Española de Protección de Datos 35