Preguntas Frecuentes FAQ

El objeto de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.

Su ámbito de aplicación se desarrolla en el artículo 2: La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.

Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:

a.      Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.

b.      Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.

c.       Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de transito

¿En qué consiste la Inscripción de ficheros?

Siempre que se proceda al tratamiento de datos personales, definidos en el art. 3,a) de la Ley Orgánica 15/1999, como «cualquier información concerniente a personas físicas identificadas o identificables,» que suponga la inclusión de dichos datos en un fichero, considerado por la propia norma (artículo 3.b).), como «conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso,» el fichero se encontrará sometido a la Ley, siendo obligatoria su inscripción en el Registro General de Protección de Datos, conforme dispone el artículo 26:

«Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia Española de Protección de Datos.

Por vía reglamentaria se procederá a la regulación detallada de los distintos extremos que debe contener la notificación, entre los cuales figurarán necesariamente el responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad, con indicación del nivel básico, medio o alto exigible y las cesiones de datos de carácter personal que se prevean realizar y, en su caso, las transferencias de datos que se prevean a países terceros.

Deberán comunicarse a la Agencia Española de Protección de Datos los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación.

El Registro General de Protección de Datos inscribirá el fichero si la notificación se ajusta a los requisitos exigibles. En caso contrario podrá pedir que se completen los datos que falten o se proceda a su subsanación.

Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la Agencia Española de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el fichero automatizado a todos los efectos.»

Tanto para inscribir, como para suprimir o modificar la inscripción de un fichero en el Registro General de Protección de Datos, se deberá cumplimentar el modelo establecido en la Resolución de 12 de julio de 2006, de la Agencia Española de Protección de Datos, (B.O.E. 181 de 31 de julio de 2006), por la que se aprueban los formularios electrónicos a través de los que deberán efectuarse las solicitudes de inscripción de ficheros en el Registro General de Protección de Datos, así como los formatos y requerimientos a los que deben ajustarse las notificaciones remitidas en soporte informático o telemático.

El formulario electrónico de NOtificaciones Telemáticas a la AEPD (NOTA) permite la presentación de notificaciones a través de Internet (con y sin certificado de firma electrónica reconocido) y en soporte papel

Un Fichero se define como “todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”. 

En consecuencia, la empresa será responsable de tantos ficheros como conjuntos estructurados de datos, adscritos a una determinada finalidad legítima utilice. Cada conjunto estructurado de datos aplicado a una finalidad concreta constituye un fichero, con independencia de los datos de carácter personal que se incluyen.

Partiendo de la definición anterior, la libreta de direcciones de Outlook – usada en su ámbito profesional o comercial – es un fichero que contiene datos de carácter personal, ya que el e-mail es tal si puede identificarse a su titular.

Debido a lo cual, debe procederse a la inscripción de ficheros en el Registro General de Protección de Datos, así como a la implantación de las medidas de seguridad correspondientes.

Con carácter general, todo responsable de ficheros debe dar cumplimiento a los principios de la protección de datos recogidos en el Título II de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD):

Calidad de los datos: los datos sólo se podrán recoger y tratar, cuando sean adecuados, pertinentes y no excesivos, no pudiendo ser usados para finalidades incompatibles con aquellas para las que hubieran sido recabados. Asimismo, serán exactos y puestos al día, debiendo ser cancelados cuando hayan dejado de ser necesarios.

Deber de información: Los interesados a los que se soliciten datos personales deberán ser previamente informados de la existencia de un fichero de datos personales, de su finalidad y de los destinatarios de la información. Igualmente, se les deberá informar de la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición, así como de la identidad y dirección del responsable.

Consentimiento y comunicación de datos. El tratamiento de datos personales requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa. Asimismo, y con carácter general, los datos sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el consentimiento previo del interesado.

Deber de secreto: el responsable del fichero y quienes intervengan en el tratamiento de los datos personales están obligados al secreto profesional respecto de los mismos, obligación que subsistirá aun después de finalizar sus relaciones con el titular o responsable del fichero.

Seguridad: el responsable del fichero y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativa que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, y su tratamiento o acceso no autorizado.

Los responsables de ficheros o tratamientos de datos personales están igualmente obligados a atender los derechos de acceso, rectificación, cancelación y oposición que la LOPD reconoce a los interesados.

Por otra parte, todo fichero de datos de carácter personal deberá ser notificado por su responsable a la Agencia Española de Protección de Datos para su inscripción en el Registro General de Protección de Datos. En el caso de los ficheros de titularidad pública, es preceptiva con carácter previo a la notificación la publicación de la disposición general o acuerdo de creación, modificación o supresión del fichero en el Boletín Oficial del Estado o diario oficial correspondiente.

Asimismo, los responsables de ficheros tienen el deber de colaborar con la Agencia Española de Protección de Datos en la forma que ésta estime necesaria para el desempeño de sus funciones.

Efectivamente. El tratamiento de datos personales conlleva la obligatoriedad de la inscripción de ficheros porque el criterio determinante para proceder a la inscripción de un fichero es el tratamiento automatizado o no de los datos relativos a personas físicas por lo tanto, debe inscribir en el Registro General de Protección de Datos todos los ficheros que contengan datos de carácter personal (por ejemplo: fichero usuarios, fichero informes, fichero nóminas, fichero becas, fichero prestamos, fichero de control horario, etc.), aunque contengan solamente el nombre y apellidos de una persona,  salvo que dichos ficheros se usen con fines exclusivamente personales o domésticos.

Al ser sus ficheros automatizados pertenecientes a una Administración Publica, se consideran ficheros de titularidad publica, razón por la que tiene que usar los formularios de inscripción de ficheros públicos.

El artículo 20 de la Ley Orgánica de Protección de Datos, relativo a la  Creación, modificación o supresión de Ficheros de titularidad pública, establece que:

1. La creación, modificación o supresión de los ficheros de las Administraciones Públicas sólo podrán hacerse por medio de disposición general publicada en el “Boletín Oficial del Estado” o diario oficial correspondiente.

            2. Las disposiciones de creación o de modificación de ficheros deberán indicar:

            a) La finalidad del fichero y los usos previstos para el mismo.

            b) Las personas o colectivos sobre los que se pretenda obtener datos de carácter personal o que resulten obligados a suministrarlos.

            c) El procedimiento de recogida de los datos de carácter personal.

            d) La estructura básica del fichero y la descripción de los tipos de datos de carácter personal incluidos en el mismo.

e) Las cesiones de datos de carácter personal y, en su caso, las transferencias de datos que se prevean a países terceros.

            f) Los órganos de las Administraciones responsables del fichero.

            g) Los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso, rectificación, cancelación y oposición.

            h) Las medidas de seguridad con indicación del nivel básico, medio o alto exigible.

            3. En las disposiciones que se dicten para la supresión de los ficheros se establecerá el destino de los mismos o, en su caso, las previsiones que se adopten para su destrucción.

La expresión  Disposición se refiere a la Orden de creación de sus ficheros que debe ser publicada en algún Boletín Oficial con carácter previo a la notificación de los ficheros al Registro General de Protección de Datos, de conformidad con lo establecido en el articulo 20 de la Ley Orgánica 15/1999, de 13 de diciembre.

Los modelos de inscripción de ficheros públicos se encuentran en nuestra pagina Web www.agpd.es. (apartado Canal del responsable del fichero / inscripción de ficheros / notificación por cuestionario / Inscripción de ficheros de titularidad pública)

De conformidad con el Reglamento aprobado por Real Decreto 1720/2007, de 21 de diciembre (BOE 19-01-2008) deberán de adoptar en sus ficheros el nivel de seguridad básico, medio o alto en función del tipo de datos que manejen y redactar el documento de seguridad regulado en el articulo 88 del referido Reglamento no teniendo la obligación de presentarlo en la Agencia, sino tan sólo tenerlo disponible por si les fuera requerido. Al propio tiempo se le informa que la Agencia ha elaborado un modelo de este documento de seguridad que se encuentra disponible en nuestra página Web

El principio de seguridad de datos establecido en el artículo 9 de la Ley Orgánica 15/1999, impone al responsable del fichero adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.

Estas medidas han sido desarrolladas en el Título VIII – De las medidas de seguridad en el tratamiento de datos de carácter personal, del Real Decreto 1720/2007, de 21 de diciembre(RDLOPD), por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre , de protección de datos de carácter persona, en adelante RDLOPD.

Artículo 9 LOPD. Seguridad de los datos.

«El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.»

De conformidad con lo dispuesto en el artículo 44,3,h) de la Ley Orgánica 15/1999, constituye infracción grave, «mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.»

El artículo 79 del RDLOPD establece que los responsables de los tratamientos o los ficheros y los encargados del tratamiento deberán implantar las medidas de seguridad con arreglo a lo dispuesto en el Título VIII, con independencia de cuál sea su sistema de tratamiento.

El Reglamento trata de ser particularmente riguroso con la atribución de los niveles de seguridad, en la fijación de las medidas que corresponda adoptar en cada caso y en la revisión de las mismas cuando resulte necesario. Por otra parte, ordena con mayor precisión el contenido y las obligaciones vinculadas al mantenimiento del documento de seguridad.

El responsable encontrará en el artículo 88 la concreción del contenido del documento de seguridad, y por tanto, un índice de ayuda para llevar a cabo su construcción.

Con el objeto de facilitar a los responsables de los ficheros la adopción de las disposiciones del Reglamento de Seguridad, se ha elaborado un modelo de » documento de seguridad «, disponible en la página web de la Agencia, que puede servir de guía en el desarrollo de las previsiones del Real Decreto.

El reglamento de desarrollo de la LOPD ha pretendido regular la materia de modo que contemple las múltiples formas de organización material y personal de la seguridad que se dan en la práctica. Así, se regula un conjunto de medidas destinadas a los ficheros y tratamientos automatizados y no automatizados que ofrezca a los responsables un marco claro de actuación.

Como regla general, la inclusión de datos de carácter personal en un fichero supondrá un tratamiento de datos de carácter personal, que requerirá, en principio, el consentimiento del afectado.

Entendemos como consentimiento, la definición dada en el artículo 3,h) de la Ley Orgánica 15/1999 “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen». De ello se desprende la necesaria concurrencia para que el consentimiento pueda ser considerado conforme a derecho de los cuatro requisitos enumerados en dicho precepto.

A juicio de esta Agencia la interpretación que ha de darse a estas cuatro notas características del consentimiento, siguiendo a tal efecto los criterios sentados en las diversas recomendaciones emitidas por el Comité de Ministros del Consejo de Europa, será las siguientes:

·         Libre, lo que supone que el mismo deberá haber sido obtenido sin la intervención de vicio alguno del consentimiento en los términos regulados por el Código Civil.

·         Específico, es decir, referido a una determinada operación de tratamiento y para una finalidad determinada, explícita y legítima del responsable del tratamiento, tal y como impone el artículo 4.2 de la Ley Orgánica 15/1999.

·         Informado, es decir que el afectado conozca con anterioridad al tratamiento la existencia del mismo y las finalidades para las que el mismo se produce. Precisamente por ello el artículo 5.1 de la Ley Orgánica impone el deber de informar a los interesados de una serie de extremos que en el mismo se contienen.

·         Inequívoco, lo que implica que no resulta admisible deducir el consentimiento de los meros actos realizados por el afectado (consentimiento presunto), siendo preciso que exista expresamente una acción u omisión que implique la existencia del consentimiento.

De lo que se ha indicado se desprende que de las características del consentimiento no se infiere necesariamente su carácter expreso en todo caso, razón por la cual en aquellos supuestos en que el legislador ha pretendido que el consentimiento deba revestir ese carácter, lo ha indicado expresamente; así sucede en el caso de tratamiento de datos especialmente protegidos, indicando el artículo 7.2 la necesidad de consentimiento expreso y escrito para el tratamiento de los datos de ideología, religión, creencias y afiliación sindical, y el artículo 7.3 la necesidad de consentimiento expreso aunque no necesariamente escrito para el tratamiento de los datos relacionados con la salud, el origen racial y la vida sexual.

Por tanto, el consentimiento podrá ser tácito, en el tratamiento de datos que no sean especialmente protegidos (artículo 7.2 y 7.3 de la Ley Orgánica 15/1999) si bien para que ese consentimiento tácito pueda ser considerado inequívoco será preciso otorgar al afectado un plazo prudencial para que pueda claramente tener conocimiento de que su omisión de oponerse al tratamiento implica un consentimiento al mismo, no existiendo al propio tiempo duda alguna de que el interesado ha tenido conocimiento de la existencia del tratamiento y de la existencia de ese plazo para evitar que se proceda al mismo.

El tratamiento de datos sin consentimiento previo del afectado en aquellos supuestos no exceptuados legalmente, puede ser motivo de infracción grave de acuerdo con lo dispuesto en el artículo 44.3.c) de la Ley Orgánica 15/1999.

Cesión de datos

En cuanto a la cesión de datos, si la misma comporta identificación de concretas personas físicas constituye una comunicación de datos de carácter personal, definida en el artículo 3, i) de la Ley Orgánica 15/1999, como «toda revelación de datos realizada a persona distinta del interesado».

El régimen de las cesiones de datos se contiene en el artículo 11 de la citada Ley Orgánica:

“Artículo 11. Comunicación de datos.

·       Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

·       El consentimiento exigido en el apartado anterior no será preciso:

o   Cuando la cesión está autorizada en una Ley.

o   Cuando se trate de datos recogidos de fuentes accesibles al público.

o   Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.

o   Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.

o   Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

o   Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

·       Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquél a quien se pretenden comunicar.

·       El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.

·       Aquél a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley.

·       Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores.»

En atención a lo establecido en el art.44,4, b). de la Ley Orgánica se considera infracción muy grave la cesión de datos de carácter personal sin consentimiento del interesado, fuera de los casos en que estén permitidas.

El artículo 88 del Reglamento 1720/2007, de 21 de diciembre, por el que se desarrolla la LOPD, regula su contenido mínimo de los mismos, que será el siguiente:

1.      Ámbito de aplicación del documento, con especificación detallada de los recursos protegidos

2.      Medidas, normas, procedimientos y estándares encaminados a garantizar el nivel de seguridad exigido

3.      Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros

4.      Estructura de los ficheros con datos personales y descripción de los sistemas de información que los tratan

5.      Procedimientos de notificación, gestión y respuesta ante las incidencias

6.      Procedimientos de realización de copias de respaldo y recuperación de los datos en los ficheros o tratamientos automatizados

7.      Las medidas para el transporte de soportes o documentos y su destrucción o reutilización

Es muy importante destacar que, en dicho documento (artículo 89 del Reglameno) deberán constar las funciones y obligaciones de las personas con acceso a los datos de carácter personal y a los sistemas de información que estarán claramente definidas y documentadas, debiendo adoptar el responsable del fichero las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.

Dentro del apartado denominado ámbito de aplicación deben delimitarse el fichero o los ficheros a los que es de aplicación dicho documento: si a uno o a varios ficheros.

Respecto al documento de seguridad no es necesario presentarlo ante esta Agencia. Solamente, en caso de que le sea requerido por la misma. Se trata de un documento interno de la organización y dinámico, es decir, que debe reflejar con veracidad la situación real de los ficheros y de los sistemas de información de la empresa en cada momento.

El Artículo 81 del Reglamento que desarrolla la LOPD (RLOPD), aprobado por Real Decreto 1720/2007, de 21 de diciembre, dispone que existen 3 niveles de seguridad.

Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel BÁSICO.

Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, aquellos de los que sean responsables Administraciones Tributarias y se relacionen con el ejercicio de sus potestades tributarias, aquellos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros, ficheros de las Entidades Gestoras y Servicios Comunes, de la mutuas de accidentes y enfermedades de la Seguridad Social y se relacionen con el ejercicio de sus competencias, aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar aspectos de su personalidad o de su comportamiento y aquellos cuyo funcionamiento se rija por el artículo 29 de la LOPD (es decir, los relativos a solvencia patrimonial y crédito) deberán reunir, además de las medidas de nivel básico, las calificadas como de nivel MEDIO.

Finalmente, se aplicarán las medidas de seguridad de nivel ALTO en los siguientes ficheros o tratamientos de datos de carácter personal:

1.    Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual.

2.    Los que contengan o se refieran a datos recabados para fines policiales, sin consentimiento de los afectados.

3.    Aquéllos que contengan datos derivados de actos de violencia de género.

4.    A los ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización, se aplicarán, además de las medidas de seguridad de nivel básico y medio, la medida de seguridad de nivel alto contenida en el artículo 103 del RLOPD.

En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando:

Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.

Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.

También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos

Según dispone el artículo 13 del Real Decreto 1720/2007, de 21 de diciembre, que desarrolla la LOPD, podrá procederse al tratamiento de los datos de los mayores de 14 años con su consentimiento, salvo para aquellos casos en que la ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de 14 años se requerirá siempre el consentimiento de los padres o tutores.

En ningún caso podrán recabarse datos del menor que permitan obtener información sobre los demás miembros del grupo familiar o sobre las características del mismo, como actividad profesional de los progenitores, información económica, datos sociológicos o cualesquiera otros, sin el consentimiento de los titulares de tales datos.

Tal previsión recogida en el apartado 2 del citado artículo 13 al no establecer especificación se debe entender referida a todos los menores de 18 años

Están obligados a notificar la creación, modificación o supresión de ficheros para su inscripción en el RGPD, de acuerdo a lo dispuesto en la LOPD, aquellas personas físicas o jurídicas, de naturaleza pública o privada, u órgano administrativo, que procedan a la creación de ficheros que contengan datos de carácter personal.

Los ficheros de datos de carácter personal de titularidad pública serán notificados a la Agencia Española de Protección de Datos por el órgano competente de la Administración responsable del fichero para su inscripción en el Registro General de Protección de Datos (RGPD), en el plazo de treinta días desde la publicación de su norma o acuerdo de creación en el Diario Oficial correspondiente.

Los ficheros de datos de carácter personal de titularidad privada serán notificados a la Agencia Española de Protección de Datos por la persona o entidad privada que pretenda crearlos, con carácter previo a su creación. El RGPD inscribirá el fichero si la notificación se ajusta a los requisitos exigibles. La inscripción del fichero en el RGPD es totalmente gratuita.

No se encuentran dentro del ámbito de aplicación de la LOPD, y por tanto no deben notificarse, los tratamientos referidos a personas jurídicas, ni a los ficheros que se limiten únicamente a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales. Tampoco deberán notificarse los ficheros con datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros.

La inscripción de un fichero deberá mantenerse actualizada en todo momento.

Cualquier modificación que afecte al contenido de la inscripción deberá ser previamente notificada a la Agencia Española de Protección de Datos o a las autoridades de control autonómicas competentes, a fin de proceder a su inscripción en el registro correspondiente.

Cuando el responsable de un fichero decida su supresión, deberá notificarla a efectos de que se proceda a la cancelación de la inscripción.