El RD 1720/2007, de 21 de diciembre, aprueba
el Reglamento de la LOPD (RLOPD). En su artículo 55.2 "Los ficheros de
datos de carácter personal de titularidad privada serán notificados a la
Agencia Española de Protección de Datos por la persona o entidad privada que
pretenda crearlos, con carácter previo a su creación."
Aunque esto parece ser un punto
suficientemente conocido, pues incluso muchas entidades consideran que es la
única obligación que tienen respecto a esta legislación, también podemos
encontrarnos con casos en los que consideran que no es necesario.
En algunos casos, hay interpretaciones, que
dicen que no es necesario registrar ficheros, cuando lo realizamos como
encargados de tratamiento, acogidos al artículo 12 de la LOPD. Si entre las
obligaciones del responsable del fichero están "velar por que el encargado
de tratamiento reúna las garantías par el cumplimiento de lo dispuesto en este
Reglamento (artículo 20 del RLOPD) ", deberá por lo tanto, verificar la
existencia de ficheros registrados con el nivel de seguridad adecuado al
tratamiento a realizar, así como la existencia de un Documento de Seguridad del
encargado de tratamiento, entre otras medidas.
La propia Agencia Española de Protección de
Datos, en la información que facilita sobre "Cuestiones Generales sobre
notificación de ficheros", habla indistintamente de ficheros y de
tratamientos. Aunque solo deberemos de figurar en el registro, como Encargado
de Tratamiento, en determinadas circunstancias y será incluido por el
Responsable del Fichero al registrar el fichero.
Por lo tanto, previo a realizar cualquier
tratamiento, deberemos tener inscritos nuestros ficheros en la Agencia Española
de Protección de Datos, entre las múltiples medidas que hemos de recoger y
aplicar en el Documento de Seguridad, además de firmar un "contrato de
tratamiento de datos" conforme a las especificaciones recogidas en el
artículo 12 de acceso a datos por cuenta de terceros de la LOPD.