Resolución de 12 de julio de 2006, de la Agencia Española de Protección de Datos, por la que se aprueban los formularios electrónicos a través de los que deberán efectuarse las solicitudes de inscripción de ficheros en el Registro General de Protección de Datos, así como los formatos y requerimientos a los que deben ajustarse las notificaciones remitidas en soporte informático o telemático (B.O.E. 181/28585 de 31 de julio de 2006)
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), publicada en el Boletín Oficial del Estado de 14 de diciembre, tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.
En su artículo 39, la LOPD prevé la existencia de un Registro General de Protección de Datos (RGPD), como órgano integrado en la Agencia Española de Protección de Datos al que corresponde velar por la publicidad de los tratamientos y ficheros de datos personales existentes con la finalidad de facilitar al ciudadano el ejercicio de los derechos que la propia Ley le reconoce.
A este fin establece la obligación de notificar los ficheros de carácter personal para su inscripción en el RGPD, a aquellas personas físicas o jurídicas, de naturaleza pública o privada, u órganos administrativos, que procedan a la creación de ficheros con datos de carácter personal, con carácter previo a la misma.
Esta obligación de notificar los ficheros implica la puesta en práctica de unos procedimientos de inscripción para poder tramitar un número creciente de notificaciones.
La notificación de ficheros al Registro está regulada en los artículos 20 y 26 de la LOPD, estableciéndose el procedimiento a través del cual se realiza la misma en el Real Decreto 1332/1994, de 20 de junio, que desarrolla determinados aspectos de la derogada Ley Orgánica 5/1992, cuyos artículos 5 y 6 habilitan a la Agencia Española de Protección de Datos para elaborar modelos normalizados de solicitud de inscripción para los ficheros de titularidad pública o privada, respectivamente. El Real Decreto 1332/1994 continúa vigente, según declara expresamente la Disposición transitoria tercera de la Ley Orgánica 15/1999, en cuanto no se oponga a la misma.
Mediante Resolución de 30 de mayo de 2000, de la Agencia Española de Protección de Datos, publicada en el Boletín Oficial del Estado n.º 153, de 27 de junio de 2000, se aprobaron los modelos normalizados en soporte papel, magnético y telemático a través de los que debe efectuarse la notificación de los ficheros y su solicitud de inscripción en el Registro General de Protección de Datos. Estos modelos reemplazaron a los establecidos en la Resolución de la Agencia Española de Protección de Datos de 22 de junio de 1994, publicada en el Boletín Oficial del Estado de 23 de junio de 1994, a fin de proceder a su adaptación a los nuevos requerimientos previstos en la LOPD.
El artículo 45 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, insta a las Administraciones Públicas a promover la incorporación de técnicas electrónicas, informáticas y telemáticas en el desarrollo de su actividad y el ejercicio de sus competencias. En este sentido, y como consecuencia del compromiso de la Agencia Española de Protección de Datos con la administración electrónica, la Resolución de 30 de mayo de 2000, incluía la aprobación de los modelos de notificación de ficheros en soporte magnético y telemático, así como la del programa informático de generación de notificaciones, permitiendo de ese modo la remisión de las solicitudes de inscripción en soporte informático o a través de Internet, con el requisito de la presentación convencional de la correspondiente hoja de solicitud debidamente cumplimentada y firmada.
La implantación de la administración electrónica exige que se realicen, entre otras, acciones encaminadas a la simplificación administrativa y a la adaptación normativa tendente a permitir una eficaz aplicación de las soluciones tecnológicas. A su vez, el desarrollo de la sociedad de la información y la difusión de los efectos positivos que de ella se derivan exige la generalización de la confianza de la ciudadanía en las comunicaciones telemáticas.
En este sentido, debía abordarse la incorporación de procedimientos que permitiesen la utilización de la firma electrónica en el proceso de notificación de tratamientos a través de Internet, eliminando los trámites añadidos que debían verificarse en formato papel y agilizando y facilitando el procedimiento de notificación.
La Ley 59/2003, de 19 de diciembre, de firma electrónica, regula en su artículo 4, el empleo de la firma electrónica en el ámbito de las Administraciones Públicas. La incorporación de la firma electrónica al procedimiento de notificación electrónica de inscripción de ficheros, elimina la necesidad de la presentación convencional de la hoja de solicitud.
Además, en el Real Decreto 1553/2005, de 23 de diciembre, que regula la expedición del documento nacional de identidad y sus certificados de firma electrónica, se establece que la firma electrónica realizada a través del documento nacional de identidad tendrá respecto a los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel.
Por otra parte, la Agencia debe llevar a la práctica las recomendaciones incluidas en el informe sobre la simplificación de los requerimientos para la notificación que, como consecuencia del primer informe sobre implementación de la Directiva 95/46/CE, fue adoptado en el seno del Grupo de Trabajo de autoridades de protección de datos creado por el artículo 29 de esta Directiva.
En este informe se establece la conveniencia de profundizar en el régimen de excepciones de la notificación de determinados ficheros prevista en la Directiva 95/46. Si bien la LOPD establece el carácter obligatorio de la notificación de todos los ficheros, sí resulta posible establecer procedimientos que faciliten el cumplimiento de esta obligación en determinados supuestos.
Del actual sistema de información del RGPD se observa que el 35% de los ficheros de titularidad privada y el 20% de los de titularidad pública, lo que supone una tercera parte del total de ficheros declarados en el Registro, se corresponden con categorías concretas de ficheros.
Así sucede con los ficheros de clientes, recursos humanos, nóminas, comunidades de propietarios, pacientes, libro recetario de oficinas de farmacia, en relación con los ficheros de titularidad privada y con los de recursos humanos, gestión del padrón, gestión económica o control de acceso, en el caso de ficheros de titularidad pública.
Teniendo en cuenta lo anterior, se ha previsto poner a disposición de los responsables que realicen este tipo de tratamientos una serie de notificaciones ya cumplimentadas, a fin de facilitar la notificación de estos ficheros mediante el formulario electrónico.
En todo caso, las solicitudes de inscripción de ficheros deberán cumplimentarse mediante los formularios electrónicos aprobados en esta Resolución y que podrán ser presentados en soporte papel, informático o telemático. Dichos formularios estarán disponibles de forma gratuita en la página web de la AEPD (www.agpd.es).
Además se pone a disposición de los responsables un sistema de intercambio basado en mensajes en formato XML, con o sin certificado de firma electrónica, a través del que se podrán enviar notificaciones mediante la utilización de programas propios. Para ello se establecen las normas que deberán cumplir las aplicaciones desarrolladas por terceros para que puedan presentar validamente las notificaciones al RGPD.
Las hojas de solicitudes correspondientes a las notificaciones de ficheros enviadas por Internet podrán ser firmadas electrónicamente, debiendo presentarse en el Registro Telemático de la Agencia Española de Protección de Datos, de acuerdo con las normas y requisitos establecidos en la resolución por la que se crea dicho Registro Telemático.
Las notificaciones también podrán continuar enviándose por Internet sin firma electrónica, si bien, en ese caso, deberá cumplimentarse y firmarse la hoja de solicitud de inscripción generada por el formulario, que habrá de presentarse en la Agencia Española de Protección de Datos, o en cualquiera de los registros y oficinas a que se refiere el artículo 38.4 de la Ley 30/1992, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.
Por último, mediante el formulario electrónico NOTA se podrán presentar notificaciones en formato papel, con la seguridad de que han sido correctamente cumplimentadas. Este formato de presentación incluye un código óptico de lectura para agilizar su inscripción en el RGPD.
Cuando las notificaciones hayan sido presentadas a través de Internet mediante certificado de firma electrónica reconocido, y así lo manifiesten los interesados expresamente en el formulario de notificación, podrán recibir por medios telemáticos la notificación de la resolución de inscripción, para lo que deberán disponer de una dirección electrónica a efectos de notificaciones del Servicio de Notificaciones Telemáticas Seguras.
Adicionalmente, los interesados que hayan presentado las notificaciones a través de Internet podrán consultar el estado de tramitación de su solicitud a través de la web de la AEPD.
Con los nuevos formularios electrónicos de Notificaciones Telemáticas a la AEPD (NOTA) se incorporan nuevos servicios electrónicos para facilitar el cumplimiento del trámite de notificación, al incorporar la posibilidad de su presentación telemática con firma electrónica, y que simplifican los modelos anteriores, mejorando los requisitos de accesibilidad y de independencia de plataforma informática.
Con el fin de que los responsables de ficheros puedan adaptarse a los nuevos formularios y teniendo en cuenta la amplia difusión y aceptación del programa de ayuda para la generación de notificaciones, se considera adecuado el establecimiento de un período transitorio durante el cual seguirán siendo válidos los modelos que preveía la Resolución de 30 de mayo de 2000, sin perjuicio de que sea también ya posible la presentación en los formularios que en la presente resolución se establecen. Este período concluirá, en cuanto a la presentación de notificaciones en soporte papel, el 1 de diciembre de 2006, a fin de garantizar el uso de medios electrónicos y telemáticos en el procedimiento.
Asimismo, a fin de garantizar la homogeneidad del Registro, se procederá a la adaptación de las inscripciones actualmente existentes y las que sean presentadas conforme a los modelos previstos en la Resolución de 30 de mayo de 2000 a los requerimientos derivados de esta Resolución.
Debe recordarse que la notificación de los ficheros en el Registro General de Protección de Datos tiene un carácter declarativo y la inscripción de un fichero en el RGPD, únicamente acredita que se ha cumplido con la obligación de notificación dispuesta en la Ley Orgánica 15/1999, sin que de esta inscripción se pueda desprender el cumplimiento por parte del responsable del fichero del resto de las obligaciones previstas en dicha Ley y demás disposiciones reglamentarias.
En su virtud, y de conformidad con lo dispuesto en el artículo 37.1.c de la Ley Orgánica 15/1999, de 13 de diciembre, resuelvo:
Primero.
Aprobar los formularios electrónicos NOTA a través de los que deberán efectuarse las solicitudes de inscripción en el Registro General de Protección de Datos. Dichos formularios estarán disponibles de forma gratuita en la página web de la Agencia Española de Protección de Datos (www.agpd.es), figurando su copia impresa en el anexo I de la presente Resolución.
Segundo.
Aprobar las normas de cumplimentación a las que habrán de adecuarse las notificaciones de ficheros de titularidad pública y privada en el Registro General de Protección de Datos y que figuran en el anexo II de esta Resolución.
Los formularios electrónicos de notificación de ficheros a la AEPD del sistema NOTA serán dinámicos y dispondrán de la correspondiente ayuda con el fin de facilitar su cumplimentación por el declarante.
En el caso de las inscripciones de alta de ficheros se mostrarán todos los apartados que definen el fichero, si bien únicamente deberán cumplimentarse los que correspondan en función del fichero objeto de la notificación.
En el caso de modificaciones, sólo se mostrarán aquellos apartados que el declarante haya señalado como objeto de la modificación. En el caso de las supresiones, se mostrará el apartado correspondiente en el que deberá indicarse el motivo de la supresión y el destino que se dará a los datos o las previsiones que van a adoptarse para su destrucción.
Tanto para notificar una modificación como una supresión de la inscripción deberá hacerse constar en el formulario el código de inscripción asignado por la Agencia, así como los datos identificativos del responsable del fichero que figuran en la inscripción del mismo.
Tercero.
Las notificaciones, una vez cumplimentadas mediante el formulario electrónico de Notificaciones Telemáticas a la AEPD (NOTA), podrán remitirse a la Agencia Española de Protección de Datos en formato papel, soporte informático o a través de Internet, de acuerdo con las normas de cumplimentación a las que habrán de adecuarse las notificaciones de ficheros incluidas en el anexo II de esta Resolución.
Cuarto.
Mediante el formulario electrónico NOTA se podrán presentar notificaciones a través de Internet firmadas mediante certificado digital de firma reconocido de acuerdo con lo establecido en la Ley 59/2003, de 19 de diciembre, de firma electrónica. La relación actualizada de certificados de firma válidos para presentar notificaciones en el registro Telemático de la AEPD se podrá consultar en la página web de la AEPD.
Quinto.
Cuando la notificación se envíe a través de Internet sin certificado de firma electrónica reconocido, sólo se considerará recibida la notificación efectuada desde la fecha en la que tenga entrada en la Agencia Española de Protección de Datos la hoja de solicitud firmada de forma manual. En todo caso, carecerán de efecto alguno las notificaciones si la hoja de solicitud, debidamente cumplimentada y firmada, no hubiera sido presentada en la Agencia Española de Protección de Datos o en alguno de los Registros y oficinas a los que se refiere el artículo 38.4 de la Ley 30/1992, en el plazo de los diez días siguientes al envío de la notificación a través de Internet sin certificado de firma electrónica reconocido.
Sexto.
Podrán desarrollarse utilidades informáticas para la remisión de notificaciones al Registro General de Protección de Datos, debiendo las mismas atenerse al formato XML y a las normas de cumplimentación aprobadas en el anexo II. Las especificaciones técnicas para la remisión de estos ficheros podrán consultarse en la página web de la AEPD.
Estos mensajes en formato XML pueden ser presentados con y sin certificado electrónico de firma reconocido. En el caso de que se presenten firmados electrónicamente deberán utilizar el estándar de firma Xml Digital Signature, cuya especificación de sintaxis y procesamiento se encuentra en http://www.w3.org/2000/09/xmldsig#. En este caso, una vez enviadas las notificaciones al Registro Telemático de la AEPD, éste devolverá un mensaje confirmando la recepción del envío incluyendo, a su vez, los datos necesarios para que el programa desarrollado por terceros configure el acuse de recibo de acuerdo con el formato que figura en el anexo III.
En el caso de que las notificaciones se presenten mediante formato XML sin certificado de firma electrónica, el servidor web de la AEPD devolverá un mensaje confirmando la recepción del envío e incluyendo, a su vez, los datos necesarios para que el programa desarrollado por terceros configure la Hoja de solicitud de acuerdo con el formato que figura en el anexo III. En todo caso, carecerán de efecto alguno las notificaciones si la hoja de solicitud, debidamente cumplimentada y firmada, no hubiera sido presentada en la Agencia Española de Protección de Datos o en alguno de los Registros y oficinas a los que se refiere el artículo 38.4 de la Ley 30/1992, en el plazo de los diez días siguientes al envío de las notificaciones a través de Internet mediante formato XML sin certificado de firma electrónica reconocido.
Séptimo.
Todas las recepciones de soportes informáticos y telemáticos serán provisionales, a resultas de su proceso y comprobación. Cuando no se ajusten al diseño y demás especificaciones establecidas en la presente Resolución, se requerirá al declarante para que subsane la notificación en el plazo de 10 días establecido en el artículo 71.1 de la Ley 30/1992, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común. Si transcurrido dicho plazo no se hubiera recibido su notificación, se le tendrá por desistido de su petición, procediéndose sin más trámite al archivo de su solicitud.
Octavo.
Las versiones actualizadas de los formularios electrónicos de notificaciones Telemáticas a la AEPD, así como los anexos y requerimientos técnicos a los que se hace referencia en la presente Resolución estarán disponibles en la página web de la Agencia Española de Protección de Datos.
Noveno.
En tanto no se dicte una Resolución de la Agencia Española de Protección de Datos en que se señale expresamente lo contrario continuarán siendo válidas las notificaciones cumplimentadas con arreglo al programa de generación de notificaciones de ficheros de titularidad pública y privada aprobado mediante Resolución de la Agencia Española de Protección de Datos 30 de mayo de 2000.
Las notificaciones efectuadas mediante los formularios de notificación en soporte papel de ficheros de titularidad pública y privada, aprobados mediante Resolución de 30 de mayo de 2000, continuarán siendo válidas siempre que las mismas tengan entrada en la Agencia Española de Protección de Datos con anterioridad al 1 de diciembre de 2006.
Décimo.
El Registro General de Protección de Datos adecuará de oficio las notificaciones efectuadas conforme a los dos últimos párrafos del apartado anterior a los nuevos modelos aprobados mediante la presente Resolución.
Del mismo modo, procederá a la adecuación a los nuevos modelos de las notificaciones referidas a los ficheros inscritos en el Registro en la fecha de entrada en vigor de la presente Resolución.
Undécimo.
La presente Resolución entrará en vigor el día 1 de septiembre de 2006
Madrid, 12 de julio de 2006
El Director de la Agencia Española de Protección de Datos, José Luis Piñar Mañas.
ANEXO I
Copia impresa del formulario electrónico de notificaciones telemáticas de la AEPD
ANEXO II
Normas para la cumplimentación del formulario electrónico de notificaciones telemáticas a la AEPD
ANEXO III
Modelos de acuse de recibo y hoja de solicitud para las notificaciones presentadas a través de Internet en formato XML con certificado de firma electrónica reconocido