Publicado en: Tribuna de Derecho
PARTE 1-
El pasado 19 de enero se publicó en el B.O.E. el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la L.O. 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, Reglamento).Esta esperada norma viene a consolidar tanto los precedentes de la Agencia Española de Protección de Datos –en adelante, AEPD- (conformados por sus resoluciones, informes jurídicos, recomendaciones e instrucciones), como los de la Audiencia Nacional y Tribunal Supremo, objetivados en sus sentencias.
El Reglamento, según la propia AEPD, “permitirá lograr una mayor seguridad jurídica, y contribuirá a conseguir una mayor claridad en la aplicación de la norma y a adaptar sus previsiones a la realidad existente en la actualidad”. Y es que este R.D. resuelve, al menos a priori, numerosas cuestiones o lagunas interpretativas, acogiendo criterios jurisprudenciales consolidados, siendo, además, un alivio para los responsables de ficheros y profesionales jurídicos, frente a la numerosa dispersión normativa.
A modo introductorio, señalaremos brevemente que el Reglamento incluye en su ámbito de aplicación (a diferencia de lo que ocurría con su predecesor R.D. 994/1999) a los ficheros y tratamientos de datos mantenidos en soporte papel, fijando medidas de seguridad específicas para los mismos. Se regula, por otro lado, un procedimiento que pretende garantizar que cualquier persona esté informada del destino y uso de sus datos, antes de prestar su consentimiento en el momento de la recogida de los mismos.El tratamiento de datos de personas fallecidas y de menores de edad se regula con detalle en el nuevo Reglamento, delimitándose, además, conceptos como “datos de carácter personal relacionados con la salud”, “exportador e importador de datos”, “fuentes accesibles al público”, “tercero”, “accesos autorizados”, “ficheros temporales” “soporte”, “documento”, o “perfil de usuario”, entre otros. Se recoge, lo que se denomina por la Exposición de Motivos del Reglamento, un “estatuto del encargado del tratamiento”, regulándose extensamente las relaciones de los prestadores de servicios con los responsables de los ficheros, la subcontratación de servicios, la conservación de los datos una vez cumplida la prestación contractual, los ejercicios de derechos –acceso, rectificación cancelación u oposición, frente a un encargado del tratamiento, etc...
Se regula el ejercicio del derecho de oposición del afectado y se incrementan las medidas de seguridad en algunos supuestos, como por ejemplo, los datos derivados de la violencia de género, que pasan a ser considerados como de nivel alto. Se establecen, por otra parte, especialidades para facilitar la implantación de las medidas de seguridad en las PYMES, como por ejemplo, bastará con aplicar medidas de seguridad de nivel básico a determinados datos de salud, en los ficheros de recursos humanos, referidos al grado de discapacidad o invalidez.El Reglamento introduce importantes novedades en los tratamientos de datos relacionados con los ficheros de morosos (ficheros sobre solvencia patrimonial y crédito), en el sentido de que, además de reforzarse el deber de información al deudor, ahora es necesario, para incluir sus datos en este tipo de ficheros, que no se haya presentado una reclamación judicial, arbitral o administrativa en relación con la deuda. Estas novedades son consecuencia de las recomendaciones del Defensor del Pueblo para la incorporación de garantías adicionales en los ficheros de morosidad.
Se regulan, además, las actividades de publicidad y prospección comercial, exigiéndose, entre otras cuestiones, a las empresas que contraten con otras la realización de campañas publicitarias que se aseguren de que éstas han recabado los datos legalmente. Estas y otras cuestiones del Reglamento no han gustado a las asociaciones de marketing directo, calificándolo alguna de "preocupante, complejo casuístico y formalista”, señalando que tiene riesgo de nacer obsoleto, sobre todo, en lo que se refiere a Internet. Se presenta, en otro orden de cosas, una regulación específica de las transferencias internacionales de datos, distinguiendo entre transferencias a Estados que otorguen, o no, un nivel adecuado de protección.En lo que se refiere a la potestad sancionadora de la AEPD, no se han modificado las infracciones, sanciones o cuantía de las multas, aunque sí se ha introducido un límite temporal de 12 meses a la duración de la incoación de un expediente sancionador.
Transcurrido ese plazo estas actuaciones previas se entenderán caducadas. Según la Agencia “esto redundará en beneficio de los ciudadanos, ya que podrán conocer en un periodo de tiempo razonable si su conducta es o no merecedora de sanción”.
PARTE 2-
Continuando con el análisis del Real Decreto 1720/2007, de 21 de diciembre, (Reglamento de desarrollo de la L.O. 15/1999 de Protección de Datos), partiremos por destacar las novedades que presenta el ámbito objetivo de aplicación de la norma. Se determina que no será aplicable el régimen de protección de datos de carácter personal, además de a los tratamientos referidos a personas jurídicas, a los datos de contacto profesionales de las personas físicas que presten sus servicios en aquéllas, ni a los empresarios individuales cuando se refieran a ellos como empresarios propiamente dichos.
Estas exclusiones del ámbito de aplicación vienen a reflejar el criterio mantenido por la Agencia Española de Protección de Datos (en adelante, AEPD). No obstante, el problema principal ha sido, y será, dilucidar si el tratamiento efectuado con los datos de contacto de profesionales y de empresarios individuales (por ejemplo, con fines publicitarios) se realiza en esa calidad o como persona física, amparada por la normativa de protección de datos.
En este sentido, la AEPD apuntó, en su Informe 2001-0000, que “no es posible (…) ofrecer una solución unívoca (…), debiendo estarse estrictamente a los datos que sean objeto de tratamiento en cada caso concreto para apreciar si el fichero se encuentra o no sujeto a las normas reguladoras de la protección de datos (…)”.Los datos de personas fallecidas igualmente se excluyen del ámbito de aplicación, como ya señaló la AEPD en su Informe 365/2006.
No obstante, los familiares o personas vinculadas al fallecido pueden dirigirse a los responsables de los ficheros con el fin de comunicarles el óbito, aportando acreditación suficiente del mismo (normalmente, certificado de defunción), pudiendo solicitar, en su caso, la cancelación de los datos. Si bien el derecho a la protección de datos desaparecería con la muerte de las personas, no sucede así con el derecho de determinadas personas para ejercitar acciones en nombre de los finados, con el fin de garantizar otros derechos constitucionalmente reconocidos. Así, por ejemplo, cabe destacar la protección dispensada por la L.O. 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen. En otro orden de cosas, el art. 2 de la LOPD ya establecía que el régimen de protección de datos no es de aplicación a los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.
El Reglamento viene a aclarar, que sólo se consideran como tales los tratamientos relativos a las actividades que se inscriben en el marco de la vida privada o familiar de los particulares.Por otro lado, el nuevo Reglamento afina el concepto de dato personal, que, en definitiva, lo es cualquier información que concierne a personas físicas identificadas e identificables, incluyendo números, fotografías e imágenes, sonidos, etc. Además, se define por primera vez lo que se entiende por datos relacionados con la salud, incluyéndose, entre ellos, expresamente los datos relativos al porcentaje de discapacidad y la información genética.
Se contempla, de modo específico, que pueden ser “destinatarios de datos”, “encargados del tratamiento”, “responsables del fichero”, y “terceros”, los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados, como lo hacen, por ejemplo, las comunidades de propietarios. Se incluyen conceptos nuevos, como importador y exportador de datos personales, para los supuestos de transferencias internacionales de datos.Por otro lado, se definen, de forma diferenciada lo que se entiende por ficheros de titularidad privada (cuyos responsables sean personas, empresas o entidades, con independencia de quien ostente la titularidad de su capital, o de la procedencia de sus recursos económicos), y por ficheros de titularidad pública. Por último, se establece que un fichero no automatizado es todo conjunto estructurado de datos personales organizado en soporte papel que permita el acceso a los mismos sin esfuerzos desproporcionados, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica.Las conocidas como “fuentes accesibles al público (FAP)” son objeto de desarrollo en el Reglamento. Su importancia es fundamental en los tratamientos para actividades de publicidad y prospección comercial, al no ser necesario el consentimiento del interesado para esos fines.
En el nuevo Reglamento se matiza que tienen el carácter de FAP las “guías de servicios de comunicaciones electrónicas” (en la LOPD tan sólo se hacía referencia a los “repertorios telefónicos”). Parece que el legislador está pensando en las ediciones digitales de las guías de servicios, a saber, Páginas Blancas, QDQ, etc... No obstante, debe tenerse en cuenta que la AEPD ha señalado en varias resoluciones que Internet no es considerado una FAP, y por tanto se requiere el consentimiento del interesado para tratar sus datos.Otra de las consideradas FAP son las listas de personas pertenecientes a grupos profesionales (como por ejemplo, abogados, médicos, etc.) que contengan determinados datos.
El Reglamento viene a completar a la LOPD al indicarse que entre estos datos pueden incluirse la dirección postal completa, teléfono, fax y correo electrónico. Y ello con permiso de lo establecido en el art. 38.3 de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones -dónde establece el derecho del usuario a no recibir llamadas automáticas sin intervención humana o mensajes de fax, con fines de venta directa sin haber prestado su consentimiento previo e informado para ello- y en la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico, que regula, en su Título III, las comunicaciones comerciales por vía electrónica. Por último, en el caso de Colegios profesionales, pueden indicarse como datos de pertenencia al mismo, los de número de colegiado, fecha de incorporación y situación de ejercicio profesional.
PARTE 3-
Otro conjunto de novedades incorporadas por el Reglamento de desarrollo de la L.O. 15/1999 de Protección de Datos (R.D.1720/2007, de 21 de diciembre), se refieren a los principios de calidad, consentimiento e información. En cuanto al primero de estos principios, se recuerda la necesidad de que los datos personales que sean objeto de tratamiento deben ser exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.
La novedad es que se presume que los datos son exactos si se recogen directamente del interesado.En lo que respecta a la cancelación de los datos, la regla general sigue siendo que procederá cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la que se registraron. No obstante, se permite que se conserven durante el tiempo en el que pueda exigirse algún tipo de responsabilidad derivada de la ejecución contractual o extracontractual. Más allá de este período, los datos sólo podrán ser conservados si se disocian (es decir, que no permitan la identificación del afectado), sin perjuicio, dice el Reglamento “de la obligación de bloqueo”. La LOPD, en su art. 16.3 establece que la cancelación dará lugar al bloqueo, conservándose únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, con el fin de atender las responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Podría defenderse que ese “sin perjuicio de la obligación de bloqueo” significara la existencia de un periodo de conservación previo al estado de bloqueo. Algo que entendemos no tiene mucho sentido.
En cualquier caso, para la aclaración de este punto habrá que esperar a las posibles interpretaciones de la AEPD.Por mandato del art. 4.5 de la LOPD, se crea un procedimiento específico (arts. 9, 157 y 158 del Reglamento) para que, excepcionalmente, la AEPD acuerde, previa solicitud del responsable, el mantenimiento indefinido de determinados datos, atendido su valor histórico, estadístico o científico.Destacamos, por otro lado, que se establece expresamente que no es necesario el consentimiento del interesado para que sus datos de salud, con la finalidad de la atención sanitaria, se cedan entre organismos, centros y servicios del Sistema Nacional de Salud, según dispone la L.16/2003, de 28 de mayo.
Otra de las novedades, atiende a que, cuando se formulen solicitudes por medios electrónicos en las que el administrado declare datos personales que obren en poder de la Administración, el órgano destinatario podrá, en el ejercicio de sus competencias, realizar las verificaciones necesarias para comprobar la veracidad de los datos. Llama la atención que esta habilitación se limita exclusivamente a “solicitudes electrónicas”.
El Reglamento al hablar de la cesión o comunicación de datos determina, en su art. 12.2, la exigencia de que se informe al afectado inequívocamente acerca de la finalidad a la que se destinarán los datos que se pretenden ceder a un tercero y el tipo de actividad desarrollada por este. En caso contrario, el consentimiento prestado se considerará nulo.El art. 14.2 del Reglamento se hace eco de un comportamiento habitual de las empresas, que se dirigen a sus clientes informando, con posterioridad a la recogida de datos, del contenido del art. 5 de la LOPD (de la existencia de un fichero, de la identidad del responsable,…) y del 12.2 del Reglamento, al que acabamos de referirnos.
En estos casos, se debe conceder un plazo de 30 días para manifestar la negativa al tratamiento, de forma sencilla y gratuita, advirtiendo de que en caso de no pronunciarse a tal efecto se entenderá que consiente. Se trata, en definitiva, de obtener un consentimiento tácito. El consentimiento para el tratamiento de datos de menores de edad es objeto de regulación específica en el art. 13 del Reglamento. Por un lado, los menores de 14 años requieren el consentimiento de los padres o tutores.
Por otro, los mayores de 14 años pueden prestar su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En ningún caso, podrá recabarse de los menores datos que permitan obtener información sobre los demás miembros de la familia, salvo la identidad y dirección de los progenitores o tutor con la única finalidad de recabar la necesaria autorización. En todo caso, a los menores se les debe informar de lo anterior mediante un lenguaje fácilmente comprensible para ellos. Corresponde al responsable del fichero articular procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado por los progenitores o representantes legales.En todo caso, el consentimiento puede revocarse en cualquier momento, regulando la forma el art. 17 del Reglamento.
Ésta deberá ser sencilla y gratuita, no pudiendo implicar beneficio económico alguno para el responsable del fichero. En 10 días, desde la recepción de la revocación, el tratamiento deberá cesar, debiendo el responsable del fichero confirmar el cese respondiendo expresamente a la solicitud si así lo exige el interesado. En caso contrario, no es necesaria esta respuesta. En cuanto al principio de información a los afectados (cuyo contenido los dan los art. 5 de la LOPD y 12.2 del Reglamento), el art. 18 del Reglamento exige que el responsable del fichero conserve el soporte en el que conste el cumplimiento del deber de informar, bien de modo automatizado o bien mediante el escaneado de la documentación en soporte papel. Por último, en los supuestos de operaciones mercantiles de fusión, escisión, cesión global de activos y pasivos, aportación o transmisión de negocio o rama de actividad empresarial, o cualquier operación de reestructuración societaria, deberá informarse al afectado en los términos legamente exigidos, no siendo necesario el consentimiento para la cesión de los datos, ya que no se considera que exista una cesión como tal.
PARTE 4-
El nuevo Reglamento viene a configurar un completo estatuto jurídico para el denominado “encargado del tratamiento”.
Aunque ya se dedicaban a esta figura los Arts. 3.g y 12 de la Ley Orgánica de Protección de Datos (LOPD), el Reglamento viene a delimitar con más precisión su relación con el responsable del fichero (Art. 20), la posibilidad de subcontratación de servicios (Art. 21), la conservación de datos (Art. 22), el ejercicio de derechos (Art. 26) y las medidas de seguridad que debe aplicar (Art. 82).
El Art. 5.1.g del Reglamento amplía el concepto de “encargado del tratamiento”, al establecer que es la persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trata datos personales por cuenta del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.
El ejemplo prototípico de “encargado del tratamiento” es, por ejemplo, la empresa de informática que mantiene la base de datos o los equipos informáticos de otra empresa, o el asesor laboral que confecciona las nóminas de los trabajadores de la empresa que le contrata. Es, en definitiva, un “outsourcing” o una externalización de servicios en los que es necesario el acceso a datos por parte de un tercero. Tal y como regula la LOPD, el encargado del tratamiento no decide sobre la finalidad, el contenido y el uso de los ficheros, sino que es el responsable del fichero el que, a través de la suscripción de un contrato, establece las directrices, instrucciones y finalidades a las que se tiene que atener el encargado.
En cambio, viene a añadir el Reglamento, si el encargado pretende establecer un nuevo vínculo con el afectado (por ejemplo, entre la asesoría y los trabajadores de una empresa con el objetivo de ofrecer el servicio de tramitación fiscal del IRPF), se considerará que existe una cesión o comunicación de datos, siendo necesario, como regla general, el consentimiento previo del afectado para tratar los datos con esa finalidad. Ya la LOPD indicaba que si el encargado del tratamiento destina los datos a otra finalidad, los cede o los utiliza incumpliendo el contrato suscrito respondería de las infracciones en que hubiera incurrido personalmente. El Reglamento matiza que no habría responsabilidad del encargado si, previa indicación expresa del responsable, comunica o cede los datos a un tercero designado por aquél, al que hubiera encomendado la prestación de un servicio.
En lo que se refiere a la subcontratación de servicios por parte del encargado del tratamiento, el Reglamento establece como regla general que no es posible, salvo que se cuente con autorización del responsable del fichero. No obstante, no será necesaria esta autorización si en el contrato se han especificado los servicios que pueden ser objeto de subcontratación y, en su caso, la empresa con la que se va a subcontratar, si se conociera. Si no fuera así, el encargado tiene la obligación de comunicárselo al responsable del fichero antes de proceder a la subcontratación. Por otro lado, es necesario que el tratamiento de datos, por parte del subcontratista, se ajuste a las instrucciones del responsable del fichero y que el encargado y la empresa subcontratista formalicen igualmente un contrato con el contenido exigido por el Art. 12 de la LOPD y 20 del Reglamento. La regla general, en cuanto a la conservación de los datos, es que una vez cumplida la prestación contractual, sean destruidos o devueltos al responsable o al encargado que éste hubiese designado, al igual que cualquier soporte o documentos en que conste algún dato personal objeto del tratamiento, salvo que exista una ley que exija su conservación. Se plantea, si concluida la relación contractual podrán conservarse, aún bloqueados, los datos objeto de tratamiento, con la finalidad de poder acreditar la correcta prestación del servicio prestado al responsable.
Debe concluirse, y así lo ha indicado la Agencia Española de Protección de Datos, que si bien no es posible la aplicación al encargado de la previsión contenida en el artículo 16.3 de la LOPD -a la que nos referíamos en el artículo anterior- que permite la conservación de los datos, previo bloqueo de los mismos, a disposición de los órganos judiciales o administrativos competentes para depurar las responsabilidades que se derivasen del tratamiento, cabría que en el propio contrato, existente entre el responsable y el encargado del tratamiento, se hiciese constar expresamente que las partes no considerarán cumplida la prestación, a los efectos previstos en el artículo 12.3 de la LOPD (destrucción o devolución de los datos y soportes en que se contengan) sino hasta el momento en que el responsable del fichero manifieste expresamente su conformidad con la actividad desarrollada por el encargado, para lo que se deberá conceder un plazo máximo, de suerte que sólo en ese momento el encargado deberá proceder conforme a lo dispuesto en el mencionado artículo 12.3. Respecto a los ejercicios de derechos (de acceso, rectificación, cancelación u oposición), por parte de un interesado ante un encargado del tratamiento, el Reglamento concluye que éste último debe dar traslado de la solicitud al responsable del fichero, a fin de que por él mismo la de cumplida respuesta, a menos que en la relación existente entre ambos se prevea precisamente que el encargado asumirá esta función.
En cuanto a las medidas de seguridad de los datos, el Reglamento se refiere a que el responsable del fichero, en el marco de la prestación del servicio por parte del encargado, deberá hacer constar en el Documento de Seguridad la circunstancia de que este último tiene acceso a datos bien de forma presencial, ya que el servicio se presta en los propios locales del responsable, o bien de forma remota (acceso a través de Internet). En ambos casos, el personal del encargado debe comprometerse (entendemos que a través de cláusulas de confidencialidad) al cumplimiento de las medidas de seguridad previstas en el citado Documento.
En cambio, si el servicio fuera prestado por el encargado en sus propios locales, deberá elaborar un Documento de Seguridad o completar el ya existente, identificando el fichero o tratamiento y el responsable del mismo e incorporando las medidas de seguridad a implantar en relación con dicho tratamiento.
PARTE 5-
El ejercicio de los derechos de acceso, rectificación cancelación y oposición son objeto de un análisis pormenorizado en el nuevo Reglamento de Protección de Datos (R.D.1720/2007, de 21 de diciembre).
No obstante, su régimen ya se fijaba en el derogado “Real Decreto 1332/1994, de 20 de junio”, y por la “Instrucción 1/1998, de 19 de enero, de la Agencia de Protección de Datos”. Destacamos que el Reglamento recalca que el ejercicio de los citados derechos, por parte del interesado, debe ser gratuito y en ningún caso podrá suponer un ingreso adicional para el responsable del tratamiento ante el que se ejercitan.
Por ello, no se permite que se establezca como medio para su ejercicio el envío de cartas certificadas, la utilización de servicios telefónicos de tarificación adicional, o cualesquiera otros medios que impliquen un coste excesivo para el interesado. Si el responsable dispone de servicios de atención al público puede concederse la posibilidad de ejercer sus derechos a través de dichos servicios, que normalmente serán vía telefónica.
En este caso, la identidad del interesado se considera acreditada por los medios establecidos para la identificación de los clientes del responsable en la prestación de sus servicios, que en la práctica se realiza solicitando datos básicos como el DNI, la dirección y/o el teléfono.
El Reglamento apunta a la necesidad de adoptar, por parte del responsable del fichero, las medidas oportunas para garantizar que las personas que conforman su organización, y que tienen acceso a datos personales, puedan informar al interesado del procedimiento a seguir para el ejercicio de los citados derechos. Y este conocimiento, con unas mínimas garantías, se consigue con formación específica. En cuanto a los sistemas de consulta contemplados para el ejercicio del derecho de acceso, el Reglamento reitera los ya conocidos (visualización en pantalla, escrita o copia, fax…) contemplándose, como novedad, la posibilidad de realizarlo a través de correo electrónico u otros sistemas de comunicaciones electrónicas. En este sentido, se aclara que si el responsable ofrece uno de esos procedimientos para hacer efectivo el derecho de acceso y el afectado exige otro distinto que implique un coste desproporcionado (imaginemos un requerimiento notarial), surtiendo el mismo efecto y garantizando la misma seguridad el procedimiento ofrecido por el responsable, el afectado deberá asumir los gastos derivados de su elección.
Por primera vez se regula de forma independiente el derecho de oposición. Consiste en que el afectado tiene la posibilidad de exigir que no se lleve a cabo el tratamiento de sus datos o se cese en el mismo en determinados supuestos, a saber: cuando se trate de ficheros con fines publicitarios, cuando la adopción de una decisión referida a su persona (por ejemplo, sobre rendimiento laboral, crédito, fiabilidad o conducta) se base únicamente en un tratamiento automatizado, y cuando no sea necesario su consentimiento por un motivo legítimo, fundado y justificado atendiendo a su concreta situación personal.
En otro orden de cosas, en lo que respecta a las transferencias internacionales de datos, se establece la posibilidad de que el Director de la Agencia Española de Protección de Datos las autorice en el ámbito de grupos multinacionales de empresas, siempre que hubieran adoptado normas o reglas internas (denominadas “binding corporate rules”) vinculantes y exigibles conforme a nuestro ordenamiento jurídico.
Es condición que estas reglas internas respeten el sistema de garantías de protección de datos establecido por la LOPD y el propio Reglamento.En cuanto a los niveles (básico, medio y alto) referentes a las medidas de seguridad, el Reglamento los incrementa para determinados tratamientos: pasan de un nivel básico a medio, los ficheros de las Entidades Gestoras y Servicios Comunes de la Seguridad Social y los de las mutuas de accidentes de trabajo y de enfermedades profesionales.
Igualmente ocurre con los ficheros de las operadoras de servicios de comunicaciones electrónicas, respecto de los datos de tráfico y localización. Por su parte, los datos derivados de actos de violencia de género pasan a un nivel alto de seguridad. Por otro lado, y para facilitar el cumplimiento del Reglamento por parte de las PYMES, ahora basta con aplicar un nivel básico de seguridad, en el tratamiento de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, siempre que los datos se usen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean miembros, o bien, se trate de ficheros en soporte papel en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad. Igualmente es ahora de aplicación el nivel básico en los ficheros que contengan datos de salud, referentes exclusivamente al grado de discapacidad o la mera declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.Por último, señalar que el Reglamento introduce la importante novedad de establecer medidas específicas de seguridad para tratamientos y ficheros no automatizados o en soporte papel, como por ejemplo, la necesidad de disposición de mecanismos que obstaculicen la apertura física de los dispositivos de almacenamiento de datos.
El Reglamento, que entra en vigor el 19 de abril, establece distintos plazos (1 año, 18 meses o 2 años) para la implantación de las medidas de seguridad, distinguiendo si se trata de ficheros automatizados o en soporte papel, creados con anterioridad a la citada fecha.
En definitiva, por todo lo señalado en este y anteriores artículos, creemos que es justo destacar que ciertamente el tan esperado Reglamento de Protección de Datos viene a resolver determinadas cuestiones o lagunas interpretativas, acrecentando la seguridad jurídica. Por fin.
www.ac-abogados.es
PARTE 1-
El pasado 19 de enero se publicó en el B.O.E. el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la L.O. 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, Reglamento).Esta esperada norma viene a consolidar tanto los precedentes de la Agencia Española de Protección de Datos –en adelante, AEPD- (conformados por sus resoluciones, informes jurídicos, recomendaciones e instrucciones), como los de la Audiencia Nacional y Tribunal Supremo, objetivados en sus sentencias.
El Reglamento, según la propia AEPD, “permitirá lograr una mayor seguridad jurídica, y contribuirá a conseguir una mayor claridad en la aplicación de la norma y a adaptar sus previsiones a la realidad existente en la actualidad”. Y es que este R.D. resuelve, al menos a priori, numerosas cuestiones o lagunas interpretativas, acogiendo criterios jurisprudenciales consolidados, siendo, además, un alivio para los responsables de ficheros y profesionales jurídicos, frente a la numerosa dispersión normativa.
A modo introductorio, señalaremos brevemente que el Reglamento incluye en su ámbito de aplicación (a diferencia de lo que ocurría con su predecesor R.D. 994/1999) a los ficheros y tratamientos de datos mantenidos en soporte papel, fijando medidas de seguridad específicas para los mismos. Se regula, por otro lado, un procedimiento que pretende garantizar que cualquier persona esté informada del destino y uso de sus datos, antes de prestar su consentimiento en el momento de la recogida de los mismos.El tratamiento de datos de personas fallecidas y de menores de edad se regula con detalle en el nuevo Reglamento, delimitándose, además, conceptos como “datos de carácter personal relacionados con la salud”, “exportador e importador de datos”, “fuentes accesibles al público”, “tercero”, “accesos autorizados”, “ficheros temporales” “soporte”, “documento”, o “perfil de usuario”, entre otros. Se recoge, lo que se denomina por la Exposición de Motivos del Reglamento, un “estatuto del encargado del tratamiento”, regulándose extensamente las relaciones de los prestadores de servicios con los responsables de los ficheros, la subcontratación de servicios, la conservación de los datos una vez cumplida la prestación contractual, los ejercicios de derechos –acceso, rectificación cancelación u oposición, frente a un encargado del tratamiento, etc...
Se regula el ejercicio del derecho de oposición del afectado y se incrementan las medidas de seguridad en algunos supuestos, como por ejemplo, los datos derivados de la violencia de género, que pasan a ser considerados como de nivel alto. Se establecen, por otra parte, especialidades para facilitar la implantación de las medidas de seguridad en las PYMES, como por ejemplo, bastará con aplicar medidas de seguridad de nivel básico a determinados datos de salud, en los ficheros de recursos humanos, referidos al grado de discapacidad o invalidez.El Reglamento introduce importantes novedades en los tratamientos de datos relacionados con los ficheros de morosos (ficheros sobre solvencia patrimonial y crédito), en el sentido de que, además de reforzarse el deber de información al deudor, ahora es necesario, para incluir sus datos en este tipo de ficheros, que no se haya presentado una reclamación judicial, arbitral o administrativa en relación con la deuda. Estas novedades son consecuencia de las recomendaciones del Defensor del Pueblo para la incorporación de garantías adicionales en los ficheros de morosidad.
Se regulan, además, las actividades de publicidad y prospección comercial, exigiéndose, entre otras cuestiones, a las empresas que contraten con otras la realización de campañas publicitarias que se aseguren de que éstas han recabado los datos legalmente. Estas y otras cuestiones del Reglamento no han gustado a las asociaciones de marketing directo, calificándolo alguna de "preocupante, complejo casuístico y formalista”, señalando que tiene riesgo de nacer obsoleto, sobre todo, en lo que se refiere a Internet. Se presenta, en otro orden de cosas, una regulación específica de las transferencias internacionales de datos, distinguiendo entre transferencias a Estados que otorguen, o no, un nivel adecuado de protección.En lo que se refiere a la potestad sancionadora de la AEPD, no se han modificado las infracciones, sanciones o cuantía de las multas, aunque sí se ha introducido un límite temporal de 12 meses a la duración de la incoación de un expediente sancionador.
Transcurrido ese plazo estas actuaciones previas se entenderán caducadas. Según la Agencia “esto redundará en beneficio de los ciudadanos, ya que podrán conocer en un periodo de tiempo razonable si su conducta es o no merecedora de sanción”.
PARTE 2-
Continuando con el análisis del Real Decreto 1720/2007, de 21 de diciembre, (Reglamento de desarrollo de la L.O. 15/1999 de Protección de Datos), partiremos por destacar las novedades que presenta el ámbito objetivo de aplicación de la norma. Se determina que no será aplicable el régimen de protección de datos de carácter personal, además de a los tratamientos referidos a personas jurídicas, a los datos de contacto profesionales de las personas físicas que presten sus servicios en aquéllas, ni a los empresarios individuales cuando se refieran a ellos como empresarios propiamente dichos.
Estas exclusiones del ámbito de aplicación vienen a reflejar el criterio mantenido por la Agencia Española de Protección de Datos (en adelante, AEPD). No obstante, el problema principal ha sido, y será, dilucidar si el tratamiento efectuado con los datos de contacto de profesionales y de empresarios individuales (por ejemplo, con fines publicitarios) se realiza en esa calidad o como persona física, amparada por la normativa de protección de datos.
En este sentido, la AEPD apuntó, en su Informe 2001-0000, que “no es posible (…) ofrecer una solución unívoca (…), debiendo estarse estrictamente a los datos que sean objeto de tratamiento en cada caso concreto para apreciar si el fichero se encuentra o no sujeto a las normas reguladoras de la protección de datos (…)”.Los datos de personas fallecidas igualmente se excluyen del ámbito de aplicación, como ya señaló la AEPD en su Informe 365/2006.
No obstante, los familiares o personas vinculadas al fallecido pueden dirigirse a los responsables de los ficheros con el fin de comunicarles el óbito, aportando acreditación suficiente del mismo (normalmente, certificado de defunción), pudiendo solicitar, en su caso, la cancelación de los datos. Si bien el derecho a la protección de datos desaparecería con la muerte de las personas, no sucede así con el derecho de determinadas personas para ejercitar acciones en nombre de los finados, con el fin de garantizar otros derechos constitucionalmente reconocidos. Así, por ejemplo, cabe destacar la protección dispensada por la L.O. 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen. En otro orden de cosas, el art. 2 de la LOPD ya establecía que el régimen de protección de datos no es de aplicación a los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.
El Reglamento viene a aclarar, que sólo se consideran como tales los tratamientos relativos a las actividades que se inscriben en el marco de la vida privada o familiar de los particulares.Por otro lado, el nuevo Reglamento afina el concepto de dato personal, que, en definitiva, lo es cualquier información que concierne a personas físicas identificadas e identificables, incluyendo números, fotografías e imágenes, sonidos, etc. Además, se define por primera vez lo que se entiende por datos relacionados con la salud, incluyéndose, entre ellos, expresamente los datos relativos al porcentaje de discapacidad y la información genética.
Se contempla, de modo específico, que pueden ser “destinatarios de datos”, “encargados del tratamiento”, “responsables del fichero”, y “terceros”, los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados, como lo hacen, por ejemplo, las comunidades de propietarios. Se incluyen conceptos nuevos, como importador y exportador de datos personales, para los supuestos de transferencias internacionales de datos.Por otro lado, se definen, de forma diferenciada lo que se entiende por ficheros de titularidad privada (cuyos responsables sean personas, empresas o entidades, con independencia de quien ostente la titularidad de su capital, o de la procedencia de sus recursos económicos), y por ficheros de titularidad pública. Por último, se establece que un fichero no automatizado es todo conjunto estructurado de datos personales organizado en soporte papel que permita el acceso a los mismos sin esfuerzos desproporcionados, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica.Las conocidas como “fuentes accesibles al público (FAP)” son objeto de desarrollo en el Reglamento. Su importancia es fundamental en los tratamientos para actividades de publicidad y prospección comercial, al no ser necesario el consentimiento del interesado para esos fines.
En el nuevo Reglamento se matiza que tienen el carácter de FAP las “guías de servicios de comunicaciones electrónicas” (en la LOPD tan sólo se hacía referencia a los “repertorios telefónicos”). Parece que el legislador está pensando en las ediciones digitales de las guías de servicios, a saber, Páginas Blancas, QDQ, etc... No obstante, debe tenerse en cuenta que la AEPD ha señalado en varias resoluciones que Internet no es considerado una FAP, y por tanto se requiere el consentimiento del interesado para tratar sus datos.Otra de las consideradas FAP son las listas de personas pertenecientes a grupos profesionales (como por ejemplo, abogados, médicos, etc.) que contengan determinados datos.
El Reglamento viene a completar a la LOPD al indicarse que entre estos datos pueden incluirse la dirección postal completa, teléfono, fax y correo electrónico. Y ello con permiso de lo establecido en el art. 38.3 de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones -dónde establece el derecho del usuario a no recibir llamadas automáticas sin intervención humana o mensajes de fax, con fines de venta directa sin haber prestado su consentimiento previo e informado para ello- y en la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico, que regula, en su Título III, las comunicaciones comerciales por vía electrónica. Por último, en el caso de Colegios profesionales, pueden indicarse como datos de pertenencia al mismo, los de número de colegiado, fecha de incorporación y situación de ejercicio profesional.
PARTE 3-
Otro conjunto de novedades incorporadas por el Reglamento de desarrollo de la L.O. 15/1999 de Protección de Datos (R.D.1720/2007, de 21 de diciembre), se refieren a los principios de calidad, consentimiento e información. En cuanto al primero de estos principios, se recuerda la necesidad de que los datos personales que sean objeto de tratamiento deben ser exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.
La novedad es que se presume que los datos son exactos si se recogen directamente del interesado.En lo que respecta a la cancelación de los datos, la regla general sigue siendo que procederá cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la que se registraron. No obstante, se permite que se conserven durante el tiempo en el que pueda exigirse algún tipo de responsabilidad derivada de la ejecución contractual o extracontractual. Más allá de este período, los datos sólo podrán ser conservados si se disocian (es decir, que no permitan la identificación del afectado), sin perjuicio, dice el Reglamento “de la obligación de bloqueo”. La LOPD, en su art. 16.3 establece que la cancelación dará lugar al bloqueo, conservándose únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, con el fin de atender las responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Podría defenderse que ese “sin perjuicio de la obligación de bloqueo” significara la existencia de un periodo de conservación previo al estado de bloqueo. Algo que entendemos no tiene mucho sentido.
En cualquier caso, para la aclaración de este punto habrá que esperar a las posibles interpretaciones de la AEPD.Por mandato del art. 4.5 de la LOPD, se crea un procedimiento específico (arts. 9, 157 y 158 del Reglamento) para que, excepcionalmente, la AEPD acuerde, previa solicitud del responsable, el mantenimiento indefinido de determinados datos, atendido su valor histórico, estadístico o científico.Destacamos, por otro lado, que se establece expresamente que no es necesario el consentimiento del interesado para que sus datos de salud, con la finalidad de la atención sanitaria, se cedan entre organismos, centros y servicios del Sistema Nacional de Salud, según dispone la L.16/2003, de 28 de mayo.
Otra de las novedades, atiende a que, cuando se formulen solicitudes por medios electrónicos en las que el administrado declare datos personales que obren en poder de la Administración, el órgano destinatario podrá, en el ejercicio de sus competencias, realizar las verificaciones necesarias para comprobar la veracidad de los datos. Llama la atención que esta habilitación se limita exclusivamente a “solicitudes electrónicas”.
El Reglamento al hablar de la cesión o comunicación de datos determina, en su art. 12.2, la exigencia de que se informe al afectado inequívocamente acerca de la finalidad a la que se destinarán los datos que se pretenden ceder a un tercero y el tipo de actividad desarrollada por este. En caso contrario, el consentimiento prestado se considerará nulo.El art. 14.2 del Reglamento se hace eco de un comportamiento habitual de las empresas, que se dirigen a sus clientes informando, con posterioridad a la recogida de datos, del contenido del art. 5 de la LOPD (de la existencia de un fichero, de la identidad del responsable,…) y del 12.2 del Reglamento, al que acabamos de referirnos.
En estos casos, se debe conceder un plazo de 30 días para manifestar la negativa al tratamiento, de forma sencilla y gratuita, advirtiendo de que en caso de no pronunciarse a tal efecto se entenderá que consiente. Se trata, en definitiva, de obtener un consentimiento tácito. El consentimiento para el tratamiento de datos de menores de edad es objeto de regulación específica en el art. 13 del Reglamento. Por un lado, los menores de 14 años requieren el consentimiento de los padres o tutores.
Por otro, los mayores de 14 años pueden prestar su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En ningún caso, podrá recabarse de los menores datos que permitan obtener información sobre los demás miembros de la familia, salvo la identidad y dirección de los progenitores o tutor con la única finalidad de recabar la necesaria autorización. En todo caso, a los menores se les debe informar de lo anterior mediante un lenguaje fácilmente comprensible para ellos. Corresponde al responsable del fichero articular procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado por los progenitores o representantes legales.En todo caso, el consentimiento puede revocarse en cualquier momento, regulando la forma el art. 17 del Reglamento.
Ésta deberá ser sencilla y gratuita, no pudiendo implicar beneficio económico alguno para el responsable del fichero. En 10 días, desde la recepción de la revocación, el tratamiento deberá cesar, debiendo el responsable del fichero confirmar el cese respondiendo expresamente a la solicitud si así lo exige el interesado. En caso contrario, no es necesaria esta respuesta. En cuanto al principio de información a los afectados (cuyo contenido los dan los art. 5 de la LOPD y 12.2 del Reglamento), el art. 18 del Reglamento exige que el responsable del fichero conserve el soporte en el que conste el cumplimiento del deber de informar, bien de modo automatizado o bien mediante el escaneado de la documentación en soporte papel. Por último, en los supuestos de operaciones mercantiles de fusión, escisión, cesión global de activos y pasivos, aportación o transmisión de negocio o rama de actividad empresarial, o cualquier operación de reestructuración societaria, deberá informarse al afectado en los términos legamente exigidos, no siendo necesario el consentimiento para la cesión de los datos, ya que no se considera que exista una cesión como tal.
PARTE 4-
El nuevo Reglamento viene a configurar un completo estatuto jurídico para el denominado “encargado del tratamiento”.
Aunque ya se dedicaban a esta figura los Arts. 3.g y 12 de la Ley Orgánica de Protección de Datos (LOPD), el Reglamento viene a delimitar con más precisión su relación con el responsable del fichero (Art. 20), la posibilidad de subcontratación de servicios (Art. 21), la conservación de datos (Art. 22), el ejercicio de derechos (Art. 26) y las medidas de seguridad que debe aplicar (Art. 82).
El Art. 5.1.g del Reglamento amplía el concepto de “encargado del tratamiento”, al establecer que es la persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trata datos personales por cuenta del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.
El ejemplo prototípico de “encargado del tratamiento” es, por ejemplo, la empresa de informática que mantiene la base de datos o los equipos informáticos de otra empresa, o el asesor laboral que confecciona las nóminas de los trabajadores de la empresa que le contrata. Es, en definitiva, un “outsourcing” o una externalización de servicios en los que es necesario el acceso a datos por parte de un tercero. Tal y como regula la LOPD, el encargado del tratamiento no decide sobre la finalidad, el contenido y el uso de los ficheros, sino que es el responsable del fichero el que, a través de la suscripción de un contrato, establece las directrices, instrucciones y finalidades a las que se tiene que atener el encargado.
En cambio, viene a añadir el Reglamento, si el encargado pretende establecer un nuevo vínculo con el afectado (por ejemplo, entre la asesoría y los trabajadores de una empresa con el objetivo de ofrecer el servicio de tramitación fiscal del IRPF), se considerará que existe una cesión o comunicación de datos, siendo necesario, como regla general, el consentimiento previo del afectado para tratar los datos con esa finalidad. Ya la LOPD indicaba que si el encargado del tratamiento destina los datos a otra finalidad, los cede o los utiliza incumpliendo el contrato suscrito respondería de las infracciones en que hubiera incurrido personalmente. El Reglamento matiza que no habría responsabilidad del encargado si, previa indicación expresa del responsable, comunica o cede los datos a un tercero designado por aquél, al que hubiera encomendado la prestación de un servicio.
En lo que se refiere a la subcontratación de servicios por parte del encargado del tratamiento, el Reglamento establece como regla general que no es posible, salvo que se cuente con autorización del responsable del fichero. No obstante, no será necesaria esta autorización si en el contrato se han especificado los servicios que pueden ser objeto de subcontratación y, en su caso, la empresa con la que se va a subcontratar, si se conociera. Si no fuera así, el encargado tiene la obligación de comunicárselo al responsable del fichero antes de proceder a la subcontratación. Por otro lado, es necesario que el tratamiento de datos, por parte del subcontratista, se ajuste a las instrucciones del responsable del fichero y que el encargado y la empresa subcontratista formalicen igualmente un contrato con el contenido exigido por el Art. 12 de la LOPD y 20 del Reglamento. La regla general, en cuanto a la conservación de los datos, es que una vez cumplida la prestación contractual, sean destruidos o devueltos al responsable o al encargado que éste hubiese designado, al igual que cualquier soporte o documentos en que conste algún dato personal objeto del tratamiento, salvo que exista una ley que exija su conservación. Se plantea, si concluida la relación contractual podrán conservarse, aún bloqueados, los datos objeto de tratamiento, con la finalidad de poder acreditar la correcta prestación del servicio prestado al responsable.
Debe concluirse, y así lo ha indicado la Agencia Española de Protección de Datos, que si bien no es posible la aplicación al encargado de la previsión contenida en el artículo 16.3 de la LOPD -a la que nos referíamos en el artículo anterior- que permite la conservación de los datos, previo bloqueo de los mismos, a disposición de los órganos judiciales o administrativos competentes para depurar las responsabilidades que se derivasen del tratamiento, cabría que en el propio contrato, existente entre el responsable y el encargado del tratamiento, se hiciese constar expresamente que las partes no considerarán cumplida la prestación, a los efectos previstos en el artículo 12.3 de la LOPD (destrucción o devolución de los datos y soportes en que se contengan) sino hasta el momento en que el responsable del fichero manifieste expresamente su conformidad con la actividad desarrollada por el encargado, para lo que se deberá conceder un plazo máximo, de suerte que sólo en ese momento el encargado deberá proceder conforme a lo dispuesto en el mencionado artículo 12.3. Respecto a los ejercicios de derechos (de acceso, rectificación, cancelación u oposición), por parte de un interesado ante un encargado del tratamiento, el Reglamento concluye que éste último debe dar traslado de la solicitud al responsable del fichero, a fin de que por él mismo la de cumplida respuesta, a menos que en la relación existente entre ambos se prevea precisamente que el encargado asumirá esta función.
En cuanto a las medidas de seguridad de los datos, el Reglamento se refiere a que el responsable del fichero, en el marco de la prestación del servicio por parte del encargado, deberá hacer constar en el Documento de Seguridad la circunstancia de que este último tiene acceso a datos bien de forma presencial, ya que el servicio se presta en los propios locales del responsable, o bien de forma remota (acceso a través de Internet). En ambos casos, el personal del encargado debe comprometerse (entendemos que a través de cláusulas de confidencialidad) al cumplimiento de las medidas de seguridad previstas en el citado Documento.
En cambio, si el servicio fuera prestado por el encargado en sus propios locales, deberá elaborar un Documento de Seguridad o completar el ya existente, identificando el fichero o tratamiento y el responsable del mismo e incorporando las medidas de seguridad a implantar en relación con dicho tratamiento.
PARTE 5-
El ejercicio de los derechos de acceso, rectificación cancelación y oposición son objeto de un análisis pormenorizado en el nuevo Reglamento de Protección de Datos (R.D.1720/2007, de 21 de diciembre).
No obstante, su régimen ya se fijaba en el derogado “Real Decreto 1332/1994, de 20 de junio”, y por la “Instrucción 1/1998, de 19 de enero, de la Agencia de Protección de Datos”. Destacamos que el Reglamento recalca que el ejercicio de los citados derechos, por parte del interesado, debe ser gratuito y en ningún caso podrá suponer un ingreso adicional para el responsable del tratamiento ante el que se ejercitan.
Por ello, no se permite que se establezca como medio para su ejercicio el envío de cartas certificadas, la utilización de servicios telefónicos de tarificación adicional, o cualesquiera otros medios que impliquen un coste excesivo para el interesado. Si el responsable dispone de servicios de atención al público puede concederse la posibilidad de ejercer sus derechos a través de dichos servicios, que normalmente serán vía telefónica.
En este caso, la identidad del interesado se considera acreditada por los medios establecidos para la identificación de los clientes del responsable en la prestación de sus servicios, que en la práctica se realiza solicitando datos básicos como el DNI, la dirección y/o el teléfono.
El Reglamento apunta a la necesidad de adoptar, por parte del responsable del fichero, las medidas oportunas para garantizar que las personas que conforman su organización, y que tienen acceso a datos personales, puedan informar al interesado del procedimiento a seguir para el ejercicio de los citados derechos. Y este conocimiento, con unas mínimas garantías, se consigue con formación específica. En cuanto a los sistemas de consulta contemplados para el ejercicio del derecho de acceso, el Reglamento reitera los ya conocidos (visualización en pantalla, escrita o copia, fax…) contemplándose, como novedad, la posibilidad de realizarlo a través de correo electrónico u otros sistemas de comunicaciones electrónicas. En este sentido, se aclara que si el responsable ofrece uno de esos procedimientos para hacer efectivo el derecho de acceso y el afectado exige otro distinto que implique un coste desproporcionado (imaginemos un requerimiento notarial), surtiendo el mismo efecto y garantizando la misma seguridad el procedimiento ofrecido por el responsable, el afectado deberá asumir los gastos derivados de su elección.
Por primera vez se regula de forma independiente el derecho de oposición. Consiste en que el afectado tiene la posibilidad de exigir que no se lleve a cabo el tratamiento de sus datos o se cese en el mismo en determinados supuestos, a saber: cuando se trate de ficheros con fines publicitarios, cuando la adopción de una decisión referida a su persona (por ejemplo, sobre rendimiento laboral, crédito, fiabilidad o conducta) se base únicamente en un tratamiento automatizado, y cuando no sea necesario su consentimiento por un motivo legítimo, fundado y justificado atendiendo a su concreta situación personal.
En otro orden de cosas, en lo que respecta a las transferencias internacionales de datos, se establece la posibilidad de que el Director de la Agencia Española de Protección de Datos las autorice en el ámbito de grupos multinacionales de empresas, siempre que hubieran adoptado normas o reglas internas (denominadas “binding corporate rules”) vinculantes y exigibles conforme a nuestro ordenamiento jurídico.
Es condición que estas reglas internas respeten el sistema de garantías de protección de datos establecido por la LOPD y el propio Reglamento.En cuanto a los niveles (básico, medio y alto) referentes a las medidas de seguridad, el Reglamento los incrementa para determinados tratamientos: pasan de un nivel básico a medio, los ficheros de las Entidades Gestoras y Servicios Comunes de la Seguridad Social y los de las mutuas de accidentes de trabajo y de enfermedades profesionales.
Igualmente ocurre con los ficheros de las operadoras de servicios de comunicaciones electrónicas, respecto de los datos de tráfico y localización. Por su parte, los datos derivados de actos de violencia de género pasan a un nivel alto de seguridad. Por otro lado, y para facilitar el cumplimiento del Reglamento por parte de las PYMES, ahora basta con aplicar un nivel básico de seguridad, en el tratamiento de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, siempre que los datos se usen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean miembros, o bien, se trate de ficheros en soporte papel en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad. Igualmente es ahora de aplicación el nivel básico en los ficheros que contengan datos de salud, referentes exclusivamente al grado de discapacidad o la mera declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.Por último, señalar que el Reglamento introduce la importante novedad de establecer medidas específicas de seguridad para tratamientos y ficheros no automatizados o en soporte papel, como por ejemplo, la necesidad de disposición de mecanismos que obstaculicen la apertura física de los dispositivos de almacenamiento de datos.
El Reglamento, que entra en vigor el 19 de abril, establece distintos plazos (1 año, 18 meses o 2 años) para la implantación de las medidas de seguridad, distinguiendo si se trata de ficheros automatizados o en soporte papel, creados con anterioridad a la citada fecha.
En definitiva, por todo lo señalado en este y anteriores artículos, creemos que es justo destacar que ciertamente el tan esperado Reglamento de Protección de Datos viene a resolver determinadas cuestiones o lagunas interpretativas, acrecentando la seguridad jurídica. Por fin.
www.ac-abogados.es
Puede accederse a este documento en la dirección: http://www.ac-abogados.es/Articulos/Nuevo%20reglamento%20lopd.html
