 | legislación actualidad jurisprudencia enlaces artículos tienda áreas temáticas cursos guía convenios | Buscar: |
| | legislación actualidad jurisprudencia enlaces artículos tienda áreas temáticas cursos guía convenios | Buscar: |
|
|
 |
|
El nuevo borrador de reglamento LOPD | |
De: Carlos Alberto Sáiz Peña
Fecha: Diciembre 2005
Origen: Noticias Jurídicas
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) es la norma básica de referencia en España por la que se regulan las obligaciones de empresas y administraciones públicas en el tratamiento de datos personales en sus ficheros.
Las deficiencias que contiene su articulado y su carácter e interpretación restrictiva han situado a esta ley en el punto de mira de las críticas de todas aquellas entidades que han tenido que incorporar a sus procesos de negocio elementos proteccionistas que, en muchos casos, confrontan directamente con los intereses empresariales de cualquier compañía.
Se ansiaba hace mucho tiempo un desarrollo legislativo que viniera a aclarar algunos puntos contradictorios entre la práctica empresarial y los requisitos legales. En este sentido, el Grupo de Trabajo formado por el Ministerio de Justicia y la Agencia Española de Protección de Datos ha diseñado un texto que conforma el primer borrador de Reglamento de la conocida LOPD. La publicación final de la norma resultante está prevista inicialmente para el primer trimestre del año 2006, la cual dejará sin efecto el Real Decreto 994/1999, o comúnmente llamado Reglamento de Medidas de Seguridad.
Este nuevo Reglamento de Protección de Datos viene a plasmar dos objetivos principales:
El desarrollo específico de aspectos jurídicos que ya venían contemplados de forma abstracta como principios generales en la LOPD, tales como el deber de información, la obtención del consentimiento, las cesiones de datos, el encargo de tratamiento, etc.
La delimitación de los procedimientos organizativos y medidas técnicas a implantar tanto en ficheros automatizados, como en ficheros no automatizados, entendiendo incluido dentro de este concepto aquellos ficheros organizados en soporte papel y de manejo manual.
A pesar de estos objetivos iniciales, el primer borrador de norma no ha sido bien acogido en entidades públicas y privadas, ya que, a efectos internos, el contenido de las obligaciones que prevé ha generado la psicosis que en su momento generó el Reglamento de Medidas de Seguridad del año 99.
No es para menos, pues el elenco de requisitos que impone, muchos nuevos y algunos ya conocidos, repercuten de forma directa en los procesos y organización que las compañías ya han llevado a cabo para intentar adecuarse a la normativa de protección de datos.
Como punto principal, hemos de resaltar las medidas de seguridad que se establecen para los ficheros no automatizados. Al igual que para los informáticos, se mantienen tres niveles diferentes de seguridad: básico, medio y alto. En este sentido, todas las entidades tienen que empezar a pensar cómo implantar en sus ficheros papel de nóminas, contratos, albaranes, facturas, autorizaciones, etc. medidas de seguridad tales como:
Inventariado de ficheros, almacenamiento controlado, criterios de archivo para la conservación, localización y consulta, y posibilitar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
Dotación de seguridad en los locales como dispositivos ignífugos y equipamiento contra incendios, control de acceso a armarios y archivadores ubicados en áreas de acceso restringido o bajo vigilancia de personal autorizado, y mecanismos que impidan el libre acceso a los mismos por personas no autorizadas, limitar la posibilidad de copiar documentos y acceder a las copias y realizar un control para evitar accesos no autorizados.
Registro de accesos (solicitud de acceso, registro del mismo, conservación de estos registros durante dos años, etc.), almacenamiento de la información en armarios y archivadores con llave o similar, custodia de la información durante su proceso de tramitación antes de ser archivada en el fichero, medidas para impedir la manipulación de documentación cuando se traslade y controles que permitan detectar si se ha producido algún acceso no autorizado, etc.
Sin lugar a dudas, estas obligaciones serán de aplicación en entidades de prácticamente todo tipo de sectores, pero pensemos lo que medidas de este tipo pueden suponer en entidades en las que algunos de sus procesos principales pasan por el manejo de información en papel, tales como entidades bancarias y financieras (recibos, extractos, documentación entregada por clientes, etc.), hospitales y clínicas (historiales médicos), compañías de seguros (pólizas, documentación para gestión de siniestros, etc.), Administraciones Públicas (todo tipo de documentación de ciudadanos), tribunales de justicia (expedientes procesales), sector inmobiliario (contratos, escrituras, etc.) y un largo etcétera.
En relación con las medidas de seguridad en ficheros informatizados, algunas de las novedades más importantes son:
Se extiende la necesidad de tener un registro de los accesos producidos a ficheros calificados de nivel medio. Esta obligación que anteriormente sólo aplicaba al nivel alto de seguridad, es una de las más controvertidas, puesto que supone un coste en tecnología y medios humanos muy importante para compañías que tengan ficheros en el sector financiero, seguros, ficheros de perfiles, etc.
Se mantiene la obligación de realizar una Auditoría de ficheros y sistemas, al menos cada dos años, para ficheros de nivel medio y alto, no obstante, se añade la importante obligación de notificar a la Agencia Española de Protección de Datos la fecha del correspondiente Informe de Auditoría, así como la indicación de si se ha realizado interna o externamente. Así pues, la AEPD contará con la información relativa a los ficheros inscritos por esa entidad en el Registro General de Protección de Datos, además de lo previsto respecto a la Auditoría.
Se incluye como una medida de nivel medio de seguridad la de llevar a cabo el cifrado de dispositivos portátiles que contengan datos personales cuando salgan de la entidad donde se encuentren los ficheros con datos. Esta medida interpretada en sentido general afectará a todo tipo de dispositivos que permitan el almacenamiento de información, piénsese en pendrives, portátiles, teléfonos móviles, PDA´s, etc. Todo ello obligará a la entidad a invertir en la tecnología necesaria y mantener políticas muy estrictas en relación con la salida de información fuera de la compañía por los propios empleados.
En relación con la tipología de datos, el borrador de Reglamento incluye como datos merecedores del nivel medio de seguridad los relativos a menores de edad y a víctimas de violencia de género, y equipara al nivel alto de los datos especialmente sensibles, los datos de tráfico y localización, tratados por los operadores de telecomunicaciones. Otra vez, esta novedad implica una serie de medidas adicionales que los operadores deberán asumir, junto a aquellas obligaciones que finalmente se impongan a nivel europeo en materia de retención de datos para la lucha contra el terrorismo.
Por otro lado, en cuanto a los aspectos jurídicos que se tratan en el borrador de Reglamento, han de resaltarse:
La insistencia de determinar que la carga de la prueba de haber informado debidamente con todos los requisitos y haber obtenido el debido consentimiento de un usuario para tratar sus datos, recae en el responsable del fichero.
Nuevos requisitos para llevar a cabo el deber de información correctamente, especificaciones para la obtención del consentimiento (para el tratamiento, para cesiones, en datos especialmente sensibles, etc.), cómo obtener de forma válida un consentimiento tácito, etc.
La obligación de ofrecer a un cliente en un proceso de contratación la posibilidad de negarse a que se utilicen sus datos para finalidades que no sean estrictamente el cumplimiento del objeto contractual.
La determinación de varias obligaciones del encargado de tratamiento para poder subcontratar todo o parte de sus servicios con las debidas garantías para el responsable del fichero, obligaciones de conservación de datos, contenido de su documento de seguridad, remisión de las peticiones de acceso, rectificación, cancelación y oposición al responsable del fichero, etc.
Las diversas formas de atender los derechos de acceso, rectificación y cancelación, delimitación de los plazos legales para contestar, necesidades de concienciación y difusión del procedimiento en la compañía, la regulación del contenido del derecho de oposición, no delimitado previamente en el texto de la LOPD, etc.
Como se puede comprobar el ámbito y contenido de este borrador de Reglamento es muy amplio, y su fecha de entrada en vigor, aún no precisada, obligará a todas las entidades, públicas y privadas, a revisar sus procedimientos, políticas, cláusulas, documento de seguridad y medidas de seguridad para lograr una adaptación a esta futura norma, ya que sigue absolutamente vigente el régimen sancionador previsto en la LOPD.
El hecho de que los ficheros no automatizados se incluyan en el ámbito de esta norma y se impongan medidas de seguridad específicas, implica la insalvable tarea de localizar e inventariar tales ficheros y alinear sus medidas con los procedimientos de seguridad de la compañía.
Como conclusión, el nuevo Reglamento de la LOPD incluye y clarifica algunas cuestiones prácticas sobre las que ya se había decantado la AEPD en procedimientos sancionadores y, sobre todo, incluye una serie de requisitos adicionales, nuevas dudas y nuevas medidas que obligarán a todas las entidades a estar al tanto del avance legislativo de este texto.
Carlos Alberto Sáiz Peña.
Ecija Abogados.
www.ecija.com
[Aviso Legal] http://noticias.juridicas.com