RESOLUCIÓN DE 31 DE OCTUBRE DE 2014, DEL DIRECTOR DE LA AGENCIA VASCA DE PROTECCIÓN DE DATOS, POR LA QUE SE APRUEBAN LOS FORMULARIOS ELECTRÓNICOS DE NOTIFICACIÓN AL REGISTRO DE PROTECCIÓN DE DATOS, DE LA CREACIÓN, MODIFICACIÓN O SUPRESIÓN DE FICHEROS DE DATOS DE CARÁCTER PERSONAL, Y SE REGULA SU TRAMITACIÓN.
La Ley 2/2004, de 25 de febrero 
, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos, crea a su vez, en su artículo 18, el Registro de Protección de Datos, como órgano integrado en la Agencia Vasca de Protección de Datos, y establece que serán objeto de inscripción en el mismo los ficheros de datos de carácter personal, creados o gestionados para el ejercicio de potestades de derecho público por las Administraciones, Entidades, Instituciones y Corporaciones Públicas a que se refiere el artículo 2.1 de dicha Ley.
El Estatuto de la Agencia Vasca de Protección de Datos, aprobado por el Decreto 309/2005, de 18 de octubre , establece el su artículo 9 las funciones del Registro de Protección de Datos, entre las que incluye la de instruir los expedientes de inscripción, de modificación y de cancelación de los asientos relativos a los ficheros de datos de carácter personal. Su resolución es competencia del Director de la Agencia, a tenor de lo dispuesto en el artículo 7.2 del citado Estatuto.
Asimismo, el artículo 2 del Decreto 308/2005, de 18 de octubre, por el que se desarrolla la Ley 2/2004, de 25 de febrero, establece que los Entes Públicos de la Comunidad Autónoma del País Vasco habrán de notificar a la Agencia Vasca de Protección de Datos toda creación, modificación o supresión de ficheros de datos de carácter personal creados o gestionados por los mismos, para su inscripción en el Registro de Protección de Datos, a través del modelo normalizado que al efecto elabore la Agencia Vasca de Protección de Datos.
De acuerdo con ello, por Resolución de 21 de julio de 2005, del Director de la Agencia Vasca de Protección de Datos, se establecieron los modelos normalizados y los medios por los que debía procederse a la solicitud de las inscripciones de creación, modificación o supresión de tales ficheros en el Registro de Protección de Datos. Dicha resolución normalizaba los modelos para la tramitación de las notificaciones en soporte papel, o bien mediante un programa informático para su notificación mediante soporte digital. En el tiempo transcurrido desde la aprobación de aquella Resolución se han producido cambios, tanto en el contexto tecnológico como en el jurídico, que hacen necesario abordar una actualización del procedimiento y de las herramientas de notificación al Registro de Protección de Datos de la AVPD.
En el plano técnico, el nuevo procedimiento de notificación de ficheros sustituye la aplicación anterior, basada en la utilización local de un programa descargado previamente desde el portal de internet de la AVPD. El nuevo procedimiento se basa en una aplicación de internet, interactiva, que facilita la consulta y recuperación de datos de ficheros previamente declarados, valida en línea la información introducida y almacena la información suministrada en los servidores de la AVPD.
Además, incorpora una cierta simplificación en la notificación de determinados ficheros de uso frecuente, incorporando varias plantillas tipificadas que ya incluyen cumplimentados la mayor parte de los apartados, de acuerdo con sus características específicas.
Desaparece la posibilidad de efectuar notificaciones en soporte papel, puesto que los diferentes Entes Públicos obligados a notificar al Registro de Protección de Datos, tienen garantizado el acceso y disponibilidad de los medios tecnológicos precisos. Esta exigencia es coherente con la previsión de que las Administraciones Públicas utilicen preferentemente medios electrónicos en sus comunicaciones con otras Administraciones Públicas, contenida en el artículo 27.7 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, así como también en el artículo 29 del Decreto 21/2012, de 21 de febrero, de Administración Electrónica.
Por otra parte, el artículo 55.3 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, dispone que cuando exista una autoridad de control autonómica, las notificaciones de los ficheros se efectúen únicamente a ésta, y que de las inscripciones efectuadas se dé traslado al Registro General de Protección de Datos de la Agencia Española de Protección de Datos.
En virtud de lo anteriormente expuesto y de las facultades que el artículo 17 de la Ley 2/2004, de 25 de febrero, atribuye a esta Agencia,
DISPONGO:
Artículo 1.- Aprobación de los formularios electrónicos.
1.- Se aprueban los formularios electrónicos a través de los cuales deberán notificarse al Registro de Protección de Datos de la Agencia Vasca de Protección de Datos las disposiciones o acuerdos de creación, modificación o supresión de los ficheros de datos de carácter personal, creados o gestionados para el ejercicio de potestades públicas por las Administraciones Públicas, Instituciones, Corporaciones y Entes Públicos a que se refiere el artículo 2.1 de la Ley 2/2004, de 25 de febrero.
2.- Los formularios electrónicos estarán disponibles para su cumplimentación en línea y remisión electrónica en el portal de internet de la Agencia Vasca de Protección de Datos, a través de la dirección electrónica (URL) http://www.avpd.es/erregistro, donde también se facilitarán las instrucciones para su cumplimentación y remisión. En el Anexo I de la presente Resolución se recogen las capturas de imagen de dichos formularios electrónicos.
Artículo 2.- Contenido de los formularios electrónicos.
1.- Las notificaciones efectuadas mediante los formularios electrónicos recogen información relativa a la siguiente información.
a) Identificación del Organismo que notifica la creación, modificación o supresión de ficheros.
b) Identificación de la disposición o acuerdo de creación, modificación o supresión de ficheros.
c) Información de cada uno de los ficheros creados, modificados o suprimidos, según lo publicado en la disposición o acuerdo.
d) Datos de identificación y contacto de la persona que actúe como declarante.
2.- Para cada uno de los ficheros creados, modificados o suprimidos, los formularios electrónicos recogen de forma categorizada todas las previsiones contenidas en la disposición o acuerdo de creación, modificación o supresión de los ficheros, en los términos del artículo 54 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre. Asimismo, recogen también otros datos necesarios para mantener la compatibilidad con el Registro General de Protección de Datos, según los formatos y requerimientos aprobados por Resolución de 12 de julio de 2006, del Director de la Agencia Española de Protección de Datos.
a) En las notificaciones de creación de ficheros deberán cumplimentarse todos los apartados que componen los formularios descritos en el Anexo I, a excepción de los que estén designados como opcionales o resulten no aplicables.
b) En las notificaciones de modificación y de supresión de ficheros deberá identificarse cada fichero afectado mediante el “código de fichero” que le fue asignado por el Registro de Protección de Datos en el momento de su creación.
c) En las notificaciones de modificación de ficheros deberá indicarse cuáles son los apartados a modificar, cumplimentando éstos únicamente.
d) En las notificaciones de supresión de ficheros deberá indicarse el motivo de la supresión y el destino que se dará a los datos o las previsiones adoptadas para su destrucción. Cuando el destino sea su integración en otro fichero, deberá proporcionarse además el “código de fichero” destinatario.
3.- Los datos personales de la persona que actúe como declarante quedarán incorporados al fichero de datos de carácter personal “Registro de Protección de Datos”, creado por Resolución de 12 de septiembre de 2005, del Director de la Agencia Vasca de Protección de Datos, por la que se crean los ficheros de datos de carácter personal de la Agencia.
Artículo 3.- Notificación al Registro de Protección de Datos.
1.- Los responsables de fichero deberán notificar la creación, modificación o supresión de ficheros al Registro de Protección de Datos de la Agencia Vasca de Protección de Datos y solicitar su inscripción en el mismo, dentro del plazo de treinta días contados a partir de la publicación de la disposición o acuerdo en el diario oficial correspondiente. La falta de notificación constituye una infracción tipificada en el artículo 22.2.c de la Ley 2/2004, de 25 de febrero.
2.- La notificación se efectuará exclusivamente mediante la cumplimentación de los formularios electrónicos y su remisión electrónica a través del portal de internet de la Agencia Vasca de Protección de Datos. Cuando por alguna incidencia técnica no estén disponibles los formularios electrónicos o no resulte posible su remisión, se informará de ello a través del correo electrónico [email protected] para que el Registro de Protección de Datos tramite la inscripción de oficio.
3.- El conjunto de ficheros que se notifican mediante su remisión electrónica de una sola vez constituye un “lote de notificación”. Cada lote de notificación debe comprender una única disposición o acuerdo, y puede incluir la creación, modificación o supresión de ficheros de diferentes responsables de fichero, con una vinculación orgánica con el organismo principal declarante.
a) No se requiere ninguna identificación de usuario para el acceso y cumplimentación en línea de los formularios electrónicos. Una vez cumplimentados los datos del primer formulario, el sistema proporcionará una referencia o “código de lote”, que permitirá acceder con posterioridad a dicho lote de notificación.
b) La cumplimentación en línea de los formularios podrá interrumpirse por el usuario, quedando almacenada la información del formulario, con carácter provisional, en los servidores del Registro de Protección de Datos. La cumplimentación podrá reanudarse con posterioridad, identificando la referencia o “código de lote” proporcionado con anterioridad.
4.- En el momento de la remisión electrónica del lote de notificación se solicitarán los datos de identificación y contacto de la persona que actúe como declarante, a los efectos de servir como interlocutor para solventar cualquier incidencia que se pudiera presentar durante la tramitación del expediente de inscripción en el Registro de Protección de Datos.
Artículo 4.- Tramitación de la notificación.
1.- Una vez recibida electrónicamente la notificación, el Registro de Protección de Datos procederá a la revisión y validación de la información facilitada en el lote de notificación.
a) Cuando los datos de identificación de la disposición o acuerdo no posibiliten su localización en el diario oficial referenciado, se solicitará al declarante, por cualquiera de los medios de contacto proporcionados en la notificación, su subsanación en el plazo de diez días. Si transcurrido dicho plazo no se ha posibilitado la identificación o localización de la disposición o acuerdo, se considerará decaída la notificación.
b) Cuando existan errores materiales, omisiones o se presenten dudas acerca de la correspondencia del contenido de los formularios con lo publicado en la disposición o acuerdo, se solicitarán aclaraciones al declarante por cualquiera de los medios de contacto proporcionados en la notificación. El Registro de Protección de Datos procederá a subsanar de oficio, en su caso, el contenido de los formularios para que se ajuste a lo publicado en la disposición o acuerdo.
2.- Completada la revisión y validación del lote de notificación, el Registro de Protección de Datos elevará al Director de la Agencia Vasca de Protección de Datos la propuesta de resolución sobre la totalidad del lote de notificación. Se propondrá la inscripción de los asientos correspondientes a los ficheros correctamente notificados, excepto en los siguientes casos:
a) La disposición o acuerdo no contuviese la información preceptiva prevista en el artículo 54 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre.
b) La disposición o acuerdo contuviese errores u omisiones cuya subsanación requiriese de la modificación de la propia disposición o acuerdo. En particular, la falta de concordancia entre el nivel de seguridad asignado y las características del fichero.
c) La finalidad, usos previstos, información recogida o las cesiones previstas incumpliesen los principios de calidad, tratamiento de datos especialmente protegidos y demás principios y obligaciones de la legislación sobre protección de datos.
Artículo 5.- Resolución del Director.
1.- El Director de la Agencia Vasca de Protección de Datos, vista la propuesta del Registro de Protección de Datos, dictará resolución acordando para cada fichero y según proceda:
a) La inscripción del asiento de creación, modificación o supresión de fichero.
b) La denegación de la inscripción, cuando las previsiones respecto del fichero contenidas en la disposición o acuerdo no resulten conformes a la Ley Orgánica 15/1999, de 13 de diciembre . En este caso, la resolución indicará los motivos que impiden la inscripción.
2.- El plazo para dictar y notificar la resolución sobre la inscripción del lote de notificación será de un mes, contado desde la fecha de notificación. Transcurrido dicho plazo, se entenderá aceptada la inscripción de la totalidad del lote.
3.- En caso de denegación de la inscripción de algún fichero, la resolución requerirá al responsable del fichero para que proceda a la modificación de la disposición o acuerdo en el plazo de tres meses y a notificar nuevamente la disposición o acuerdo.
4.- El Registro de Protección de Datos procederá a la inscripción de los asientos que corresponda, en los términos contenidos en la resolución, asignando a cada fichero de nueva creación un “código de fichero” que servirá para facilitar su identificación inequívoca.
5.- La resolución se notificará al Responsable del Fichero y, en su caso, al declarante.
Artículo 6.- Traslado al Registro General de Protección de Datos.
1.- Los responsables de ficheros a que se refiere el artículo 2.1 de la Ley 2/2004, de 25 de febrero, únicamente notificarán las disposiciones o acuerdos de creación, modificación o supresión de sus ficheros al Registro de Protección de Datos de la Agencia Vasca de Protección de Datos.
2.- El Registro de Protección de Datos de la AVPD dará traslado de oficio de las inscripciones así efectuadas al Registro General de Protección de Datos de la Agencia Española de Protección de Datos, de acuerdo con lo previsto en el artículo 55.3 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre.
DISPOSICIÓN TRANSITORIA
Las notificaciones efectuadas al Registro de Protección de Datos de la AVPD mediante los modelos normalizados y los medios aprobados por Resolución de 21 de julio de 2005, del Director de la Agencia Vasca de Protección de Datos continuarán siendo válidas hasta el día 22 de diciembre de 2014.
DISPOSICIÓN DEROGATORIA
Queda derogada la Resolución de 21 de julio de 2005, del Director de la Agencia Vasca de Protección de Datos, por la que establecen los modelos normalizados y los medios por los que debe procederse a la solicitud de las inscripciones de creación, modificación o supresión de ficheros en el Registro de Protección de Datos.
DISPOSICIÓN FINAL
La presente Resolución entrará en vigor el día 1 de diciembre de 2014.
