en Protección de datos de carácter personal

Novedades del Borrador del Reglamento de desarrollo de la LOPD.

Amaia Chaparro Toledo. Licenciada en Derecho. Consultora y experta en LOPD y Nuevas Tecnologías.


Va a hacer un año desde que se comenzó a elaborar el texto de un nuevo Decreto de desarrollo de la LOPD y muchos de ustedes se preguntarán, ¿no existe ya un Decreto que desarrolla esta norma? El RD 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad para ficheros automatizados de datos de carácter personal (en adelante RMS), desarrolla a la Ley Orgánica 5/1992, de 29 de octubre, reguladora del Tratamiento Automatizado de Datos de Carácter Personal, conocida comúnmente como ?LORTAD?, no a la LOPD.

El nuevo Reglamento pretende clarificar y dar mayor seguridad jurídica a los preceptos de la LOPD. Actualmente, el texto se encuentra en borrador, pendiente de su aprobación definitiva. Durante el primer Congreso Europeo de Protección de Datos, el pasado día 29 de marzo, el Gobierno se comprometió a aprobar lo antes posible el reglamento que desarrolla la LOPD, el cual derogará las distintas normas reglamentarias sectoriales, ‘fragmentadas’, actualmente en vigor, integrándolas en una normativa única y regulará exhaustivamente:

? Procedimientos de Autorización:

– Transferencias internacionales de datos a países donde no existe este tipo de normativa o no ofrecen un grado de seguridad equiparable.

– Mantenimiento de datos personales con fines históricos, estadísticos o científicos como excepción al deber de cancelación de los datos prevista en el artículo 4.5 de la LOPD.

– Procedimiento de exención del deber de informar al afectado, cuando los datos no hayan sido obtenidos directamente del mismo, y su ejecución exija esfuerzos desproporcionados.

? ??mbito de aplicación de la LOPD: una de las principales novedades del borrador es la introducción de las medidas a adoptar respecto a ficheros no automatizados (FNA), así como la regulación de la especial relación existente entre Responsables y Encargados de Tratamiento y ámbito territorial de la ley.

Las medidas para ficheros no automatizados se prevén acumulativas con respecto a las medidas aplicables a ficheros automatizados. Como novedad se introduce el concepto de ?sistemas de información parcialmente automatizados?. Dicho concepto plantea una dificultad interpretativa en cuanto a que no es fácil identificar posibles supuestos en los que en origen no provengan originalmente de sistemas automatizados independientemente de que a posteriori se realicen tratamientos no automatizados, es decir, puede darse el caso de que un mismo dato esté en un papel y, al mismo tiempo, en un aplicativo informático pero es difícil ver un supuesto de dato parcialmente automatizado. A la vista de lo expuesto, parece claro que se deberá aclarar la interpretación de este término.

? Régimen de Garantías:

– La protección jurídica de las personas físicas en relación a su derecho de autodeterminación informativa proclamada en la STC 292/2000 se extingue, en coherencia con el artículo 32 del Código Civil, con la muerte, lo que determina la extinción de los derechos inherentes a la personalidad del individuo, dejando la protección de la privacidad de estas personas, a la normativa de protección civil del honor, de la intimidad personal y familiar y de la propia imagen, frente a las intromisiones que supongan una vulneración del derecho a la privacidad y a la intimidad que subsiste tras el fallecimiento de una persona.

– Además de la lógica y la prudencia, se establecerán medidas concretas a aplicar a FNA: facilitar el ejercicio de derechos del interesado, cumplimiento del principio de calidad de los datos, reglas especiales de tratamiento, deber de informar, inscripción o no de estos ficheros, terceros?etcétera.

– Creación de un fichero de CONTACTOS: el Reglamento entra a regular el tratamiento de los datos personales de las personas de contacto, incluidas en bases de datos de empresas, incluso respecto a aquellos directorios de personas de contacto de que dispongan los empleados de una empresa cuando tales directorios no sean de uso común o compartido.

– Definición de conceptos ambiguos (definición de ?tercero?, ?identificable?, ?datos de salud?, etcétera). Por ejemplo, el Borrador entra a definir el concepto tan utilizado de Usuario como ?la persona, sujeto o proceso autorizado para acceder a datos o recursos?. A este respecto se plantea una duda, pues una interpretación literal del término no deja claro a qué viene a referirse con la palabra ?sujeto?.

– Modificaciones respecto al ejercicio de derechos: derecho de oposición, vagamente definido en la LOPD, derecho de acceso a la información del porqué se realizan los tratamientos. Nuevas indicaciones sobre el ?bloqueo de datos? que quedan a disposición de Jueces y Tribunales.

– Entra a regular en profundidad la figura del ?Encargado del tratamiento? y de la posibilidad de éste de subcontratar todo o parte del servicio encargado por el Responsable del Fichero: Siempre que éste tenga conocimiento de esta circunstancia bien mediante su participación directa en el contrato con el tercero, bien encomendando un apoderamiento a tal efecto al encargado del tratamiento, bien haciéndose constar expresamente en el contrato firmado entre el responsable y el encargado la propia circunstancia de la subcontratación, el contenido del servicio subcontratado, y que el tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero.

– Prestadores de servicios: servicios en locales ajenos a los del responsable del fichero (off site), deberán elaborar un documento de seguridad. Otros prestadores de servicios con acceso a DCP de la entidad contratante: limpieza, mantenimiento, deberán adoptar medidas de seguridad (artículo 9 LOPD).

– Simplificación de la notificación de ficheros en el Registro: actualización de inscripciones, subsanación de errores, notificación de ficheros marco mediante modelos estándares de notificación, firma electrónica a efectos de notificación registral por vía telemática, etcétera.

– Consentimiento tácito: cuando no sea obligatorio el consentimiento expreso, un plazo de 30 días para que el afectado pueda negarse, derecho de revocación en un plazo de 10 días hábiles desde la recepción de la solicitud. El responsable podrá iniciar el tratamiento o proceder a la cesión de los datos a partir de los 45 días, desde el envío de la solicitud de consentimiento al afectado.

– Cesión de datos: se deberá informar al afectado de la finalidad de la cesión así como el tipo de actividad del cesionario. En la LOPD los dos últimos requisitos son alternativos, no acumulativos.

– Procedimiento sancionador: La caducidad debe aplicarse desde su incoación, no desde las actuaciones previas. Modificación de infracciones. Carga de la prueba sobre quien hace la imputación. Graduación de las sanciones para evitar pese a ellas, un enriquecimiento del infractor.

? Modificación de Medidas y Niveles de Seguridad: Con carácter general se endurecen las medidas, llevándolas a un nivel inferior. En el Reglamento se establecerá un período de adaptación para adecuarse a las nuevas medidas:

NIVEL B??SICO
1. Registro de incidencias: procedimiento de notificación, registro y medidas correctoras.
2. Control de acceso: en caso de personal ajeno con acceso a los datos deberá de estar sometido a las mismas obligaciones de seguridad.
3. Gestión de soportes: cualquier documento o soporte con DCP a desechar, deberá ser destruido o borrado.
4. Identificación y autenticación inequívoca y unívoca.
5. Copias de Respaldo: como novedad, se introduce el plazo semestral para la comprobación y verificación de la correcta definición, pruebas de funcionamiento y aplicación de dichas copias.
6. Medidas aplicables a FNA: control de acceso físico, inventariado.

NIVEL MEDIO

1. Datos relativos a menores de 14 años y víctimas de violencia de género.
2. Registro de logs: no será necesario cuando el responsable del fichero garantice que sólo él tiene acceso y trata los DCP.
3. Notificación de la auditoría bienal a la APD: fecha y naturaleza del auditor.
4. Cifrado de portátiles: en régimen de trabajo fuera de los locales del responsable del fichero.
5. Medidas aplicables a FNA: conservación con dispositivos ignífugos, contra incendios.
6. Acceso físico: restringido únicamente al personal autorizado en el DS.
7. Auditoria de Seguridad: como novedad los Informes de Auditoria deberán remitirse a la autoridad de control correspondiente en materia de protección de datos (estatal o autonómica) así como si el auditor era externo o interno y la fecha de realización de la auditoria.

NIVEL ALTO

1. Distribución de soportes: se cifrarán los dispositivos portátiles cuando estos se encuentren fuera de las instalaciones del responsable del fichero.

2. Registro de accesos para FNA: registro de solicitud de acceso, registro de acceso autorizado (fecha y hora del acceso y la fecha y hora de devolución).

Respecto a esta medida se plantea una problemática entre aquellas entidades que se ven obligadas a adoptar esta medida por realizar tratamientos de datos de carácter personal de nivel alto.

Así, por ejemplo, en relación a la cuestión del nivel de datos hasta el que se debe llegar para auditar el registro de acceso y se plantea la pregunta de qué se debe entender por fichero accedido: una tabla, un registro, un campo?etcétera. Aclarar este extremo es fundamental en cuanto al volumen de trazas que será necesario realizar y la capacidad de almacenamiento y recuperación de los registros accedidos si fuera necesario.

Desde diferentes foros se apuntan diversas solucione como pudieran ser establecer un control de accesos férreo desde la propia administración de usuarios, en el momento de gestionar los perfiles de los usuarios que tienen acceso a ficheros de nivel alto.

3. Datos identificativos de tráfico o localización de los operadores de servicios de telecomunicaciones que contengan los datos necesarios para emitir certificados digitales.

El nuevo Reglamento trata, de lograr un mayor grado de implantación de los preceptos de la LOPD y de afrontar los cuatro grandes retos actuales de la Protección de Datos de Carácter Personal: 1) Protección de Datos versus seguridad, 2) versus mercado, 3) transparencia empresarial y 4) uso de nuevas tecnologías.