Non existe unha obriga de ter ou non un sistema de protección de datos, non é como antes que había que ter os ficheiros custodiados declarados na Axencia de protección de datos. Pero a situación ao final ten moito parecido.
A ANPA ten que actuar de maneira que poida demostrar que ten os datos protexidos, ten que ter unha persoa responsábel dos datos que custodia, e debe ter establecido un procedemento de coidado deses datos que inclúa un sistema de contrasinais, o establecemento de dificultades de acceso a terceiros aos datos protexidos, a localización determinada deses datos, etc.
Así que o máis cómodo é ter elaborado un Manual de protección de datos onde todo iso estea establecido; así xa tedes a presunción ao voso favor: se teñen establecido como se fai, será porque o están facendo. Logo, por suposto, temos que facer caso ao que nós mesmas establecemos, e non deixar os ficheiros de datos en ordenadores abertos a toda a directiva, ou en nubes das que todas saibamos o contrasinal, etc.