“Nuestra intención es tenerlo aprobado antes de finalizar el año”. Con estas palabras el Director de la Agencia Española de Protección de Datos (AEPD), José Luís Piñar Mañas, anunciaba que la conocida como LOPD va a tener por fin un reglamento de desarrollo. Éste, pretende dar respuesta a muchos de los problemas que la regulación actual presenta en la práctica diaria en las empresas y organizaciones que tratan datos personales que, a fin de cuentas, son todas.
Desde hace unos años, desde la Agencia Española de Protección de Datos se viene remarcando, de una forma especial, a través de la presencia en foros especializados, medios de comunicación, colegios profesionales, sindicatos y organizaciones empresariales, universidades, asociaciones de consumidores e instituciones públicas, el compromiso de conseguir la “normalización de la cultura de protección de datos”.
No podía ser de otra forma, ya que en un país como el nuestro en el que existe una Ley con un sistema sancionador de los más gravosos de mundo, el grado de cumplimiento es aún muy bajo. Se dice que el 90% de las pymes -recordemos, núcleo duro del tejido empresarial español- no cumplen la LOPD. Así, que si por la “fuerza” no se puede, pues la estrategia pasa por la concienciación y por la “culturización”. Y como no, por la clarificación normativa que traiga consigo una pizca de seguridad jurídica. Eso es lo que se pretende con la próxima aparición del Reglamento de desarrollo de la Ley de Protección de Datos.
En el momento de redactar estas líneas el texto es aún un “borrador” elaborado por la AEPD, aunque según todos los indicios no sufrirá demasiados cambios.
Entre las novedades que presenta destacamos las siguientes, de modo sistemático:
- El principio de finalidad –en el tratamiento de datos- se constituirá como eje central de la regulación. Tradicionalmente lo ha sido el principio de consentimiento –del titular del dato, para el uso y para la cesión a terceros- que no pierde tampoco ese carácter principal. Por otro lado, se establecerán formalidades exigibles para acreditar el deber de información y la obtención del consentimiento. Así, el deber de información, que presenta virtualidad en las cláusulas, cuando se dirija a menores de edad, deberán tener un lenguaje fácilmente comprensible.
- Se delimitará claramente el ámbito de aplicación de la Ley tanto a ficheros automatizados como aquellos que se encuentran en soporte papel. Esto no quiere decir que la actual LOPD no sea de aplicación a los ficheros en soporte papel, sino que lo que ahora se pretende es aclarar y fijar definitivamente las dudas que de facto ocurrían en la práctica. Se exigirán ahora, distinguiendo niveles de seguridad, para estos ficheros, por ejemplo, obligaciones de uso de dispositivos ignífugos, límites al acceso al lugar donde se encuentren los datos, conservación de un registro de acceso durante dos años, entre otras.
- Además, en lo que respecta a la seguridad de los datos aparecen nuevas definiciones como Fichero Temporal o Perfil de Usuario. Se incluyen, además, medidas de seguridad aplicables a ficheros con datos relativos a determinados colectivos como las víctimas de la violencia de género, en nivel medio, y localización de comunicaciones electrónicas, para el nivel alto.
- Se establecerá que en relación con el informe de auditoría, que se exige para niveles de seguridad medio y alto, sea notificada a la AEPD la fecha del informe y la indicación de si lo ha realizado un auditor interno o externo.
- Se delimitarán conceptos como los datos relativos a salud, que contarán con una definición más amplia.
- Se aclarará el concepto de fuente accesible al público y se regulará el concepto de derecho de oposición, que se recogió en la LOPD pero que faltaba de definir su régimen de forma completa.
- Habrá una regulación detallada de la figura del encargado del tratamiento y de las garantías que se exigen para la subcontratación de servicios.
- Y se regularán, además, de forma detallada las transferencias internacionales de datos.
En definitiva, el legislador español pretende cerrar el círculo normativo de protección de datos que comenzó en 1992 con la famosa LORTAD y que el Tribunal Constitucional con sus sentencias ha elevado a la categoría de Derecho Fundamental distinto al de la intimidad. Ahora sólo queda que, una vez entre en vigor, tenga un grado de aplicación real importante y los responsables de los ficheros tomen conciencia de su cumplimiento, y no sólo se actúe, como me temo, a golpe de sanción.
