A partir del 25 de maig de 2018, ha desaparegut la notificació de fitxers davant el Registre general de protecció de dades. Per bé que aquesta inscripció de fitxers desapareix, l'RGPD regula en l'article 30 el denominat «Registre d'activitats de tractament» així:
1. Cada responsable i, si escau, el seu representant han de mantenir un registre de les activitats de tractament que es duen a terme sota la seva responsabilitat. Aquest registre ha de contenir tota la informació que s'indica a continuació:
a) el nom i les dades de contacte del responsable i, si escau, del corresponsable, del representant del responsable, i del delegat de protecció de dades;
b) els fins del tractament;
c) una descripció de les categories d'interessats i de les categories de dades personals;
d) les categories de destinataris a què es van comunicar o es comunicaran les dades personals, incloent-hi els destinataris en tercers països o organitzacions internacionals;
e) si escau, les transferències de dades personals a un tercer país o una organització internacional, incloent-hi la identificació d'aquest tercer país o organització internacional i, en el cas de les transferències indicades en l'article 49, apartat 1, paràgraf segon, la documentació de garanties adequades;
f) quan sigui possible, els terminis prevists per a la supressió de les diferents categories de dades;
g) quan sigui possible, una descripció general de les mesures tècniques i organitzatives de seguretat a què es refereix l'article 32, apartat 1.
2. Cada encarregat i, si escau, el representant de l'encarregat han de mantenir un registre de totes les categories d'activitats de tractament que s'han duit a terme a compte d'un responsable que contengui:
a) el nom i les dades de contacte de l'encarregat o encarregats i de cada responsable a compte del qual actuï l'encarregat i, si escau, del representant del responsable o de l'encarregat, i del delegat de protecció de dades;
b) les categories de tractaments duits a terme a compte de cada responsable;
c) si escau, les transferències de dades personals a un tercer país o una organització internacional, incloent-hi la identificació d'aquest tercer país o organització internacional i, en el cas de les transferències indicades en l'article 49, apartat 1, paràgraf segon, la documentació de garanties adequades;
d) quan sigui possible, una descripció general de les mesures tècniques i organitzatives de seguretat a què es refereix l'article 30, apartat 1.
3. Els registres a què es refereixen els apartats 1 i 2 han de constar per escrit, incloent-hi en format electrònic.
4. El responsable o l'encarregat del tractament i, si escau, el representant del responsable o de l'encarregat han de posar el registre a disposició de l'autoritat de control que li ho sol·liciti.
5. Les obligacions indicades en els apartats 1 i 2 no s'apliquen a cap empresa ni organització que ocupi menys de 250 persones, llevat que el tractament pugui comportar un risc per als drets i les llibertats dels interessats, no sigui ocasional, o inclogui categories especials de dades personals indicades en l'article 9, apartat 1, o dades personals relatives a condemnes i infraccions penals a què es refereix l'article 10.
És en aquest punt on l'existència del Registre de fitxers pot convertir-se en una eina d'ajuda i un punt de partida per a la tasca que ara ha d'emprendre.
Aquesta matèria ha estat complementada per l'article 31 de la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals. Aquest precepte disposa en l'incís segon del paràgraf primer que:
El registre, que pot organitzar-se al voltant de conjunts estructurats de dades, ha d'especificar, segons les seves finalitats, les activitats de tractament duites a terme i les altres circumstàncies establertes en el Reglament.
En la pràctica, això permet mantenir l'estructura tradicional en fitxers sota un nou criteri d'agregació. D'altra banda, el paràgraf segon assenyala:
2. Els subjectes enumerats en l'article 77.1 d'aquesta Llei orgànica han de fer públic un inventari de les seves activitats de tractament accessible per mitjans electrònics en què ha de constar la informació establerta en l'article 30 del Reglament (UE) 2016/679 i la seva base legal.
Aquesta previsió s'ha articulat mitjançant una reforma de la Llei 19/2013, de 9 de desembre, de transparència, accés a la informació pública i bon govern, en la disposició addicional final onzena de la LOPDGDD:
Disposició final onzena. Modificació de la Llei 19/2013, de 9 de desembre, de transparència, accés a la informació pública i bon govern.
Es modifica la Llei 19/2013, de 9 de desembre, de transparència, accés a la informació pública i bon govern, en els termes següents:
S'hi afegeix un nou article 6 bis, amb la redacció següent:
«Article 6 bis. Registre d'activitats de tractament.
Els subjectes enumerats en l'article 77.1 de la Llei orgànica de protecció de dades personals i garantia dels drets digitals han de publicar el seu inventari d'activitats de tractament en aplicació de l'article 31 de la Llei orgànica esmentada.»
En el cas d'Espanya, les mesures de seguretat que han d'adoptar els responsables i/o els encarregats de tractament del sector públic [l'article 2 de la Llei 40/2015] s'han d'entendre dins l'Esquema Nacional de Seguretat com especifica la disposició addicional primera del Projecte de Llei orgànica de protecció de dades.