En el Boletín Oficial del Estado del sábado 19 de enero de 2008 ha publicado el texto definitivo del nuevo reglamento de protección de datos.
El título que tiene esta disposición tan esperada por el sector es: REGLAMENTO DE DESARROLLO DE LA LEY ORG??NICA 15/1999, DE 13 DE DICIEMBRE, DE PROTECCIÓN DE DATOS DE CAR??CTER PERSONAL
Ya se ha aprobado el nuevo reglamento de protección de datos que desarrolla la Ley Orgánica de Protección de Datos de Carácter Personal.
Puede acceder al texto: Reglamento de protección de datos
Novedades destacadas del Reglamento:
– La norma extiende su ámbito de aplicación a los ficheros y tratamientos no automatizados (en papel) y fija criterios sobre medidas de seguridad de los mismos.
– Se regula un procedimiento que garantice a cualquier persona, antes de consentir que sus datos sean recogidos y tratados, tener pleno conocimiento de la utilización que sus datos vayan a tener.
– Se regula que los familiares/allegados de personas fallecidas puedan comunicar al responsable del fichero el fallecimiento y solicitar la cancelación de sus datos.
– Para el ejercicio de los derechos de los interesados, se exige de manera expresa al responsable de los ficheros que conceda al interesado un medio sencillo y gratuito para su ejercicio. Se prohíbe exigir el envío de cartas certificadas o semejantes o la utilización de medios de telecomunicaciones que impliquen el pago de una tarifa adicional.
Niveles de seguridad:
Nivel de seguridad básico
Se aplicarán las medidas de seguridad de nivel medio a los siguientes ficheros:
a) Los relativos a la comisión de infracciones administrativas o penales.
b) Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre.
c) Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.
d) Aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.
e) Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
f) Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.
Medidas de seguridad de nivel alto:
El reglamento de protección de datos establece que será de aplicación las medidas de seguridad de nivel alto a los siguientes ficheros:
a) Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
b) Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.
c) Aquéllos que contengan datos derivados de actos de violencia de género.
d) A los ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización.
Existirán algunas exepciones en la aplicación de medidas de seguridad de nivel alto:
1. En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando:
a) Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.
b) Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.
2. También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.
El conocido como Reglamento de Seguridad, el Real Decreto 994/1999 queda en todo lo que no se oponga al REAL Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
Otra de las novedades del reglamento de protección de datos destacables es la obligación que tendrán que cumplir los fabricantes de software o programas de ordenador,
cuando sean programas destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto que el programa permita aplicar.
De las primeras cosas que hemos de preguntarnos después de leer el nuevo relamento de protección de datos o nuevo reglamento LOPD es si un Real Decreto puede modificar una Ley Orgánica. La respuesta es muy fàcil: No…con lo cual la Agencia Española de Protección de Datos tendrá mucho trabajo en interpretar el significado de la frase:
«Este reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.»
Pueden leer el artículo aquí: http://www.derecho.com/legislacion/boe/735136#A161