Nuevo reglamento de Protección de DatosDesde que se anunció la nueva regulación en materia de protección de datos de carácter personal ha pasado más de un año sin que todavía haya entrado en vigor.La Agencia Española de Protección de Datos ha dado su visto bueno a la nueva regulación quedando pendiente los trámites legislativos pertinentes antes de su aprobación definitiva. Disponiendo de la última versión del Reglamento de Protección de Datos, éstas son las principales novedades que introduce. Efrén Santos Pascual, Socio y Abogado de ICEF Consultores |
Le recomendamos que utilice un buen CRM para conseguir una perfecta sincronización con sus clientes. |
|
Dada la trascendencia que para las empresas supone la aplicación y adaptación de aquellas a la normativa de protección de datos de carácter personal y, teniendo en cuenta, la “inminente” entrada en vigor del nuevo Reglamento de Protección de Datos, deseamos acercar al lector a las principales novedades que incorpora aquel con la finalidad de que puedan adelantarse y conocer qué implicaciones tendrá a la hora de tratar, organizar y gestionar los datos de carácter personal, responsabilidad de la entidad o empresa. |
Si desea más información puede consultar el Manual Práctico de Protección de Datos para Empresas. Desde el inicio del 2007 se han publicado artículos tendentes a acercar al lector a las obligaciones de los empresarios y, por ende, de las empresas, tanto en materia de tratamiento de datos personales -auditoría de protección de datos- como en materia de servicios de la sociedad de la información -auditoría de Páginas Web-. Como hemos expuesto en el prólogo del presente, la nueva regulación prevista hace que aquellos sujetos obligados a cumplir con ambas normativas deban tener conocimiento efectivo del nuevo reglamento dada su trascendencia práctica, de cara no sólo a evitar la imposición de graves sanciones mediante la obligada adaptación de las empresas que aún no se encuentren aplicando la normativa sino de cara a actualizar a aquellas que, aún estando adecuadas, deben incorporar a su organización los cambios normativos introducidos. Antes de comenzar a desarrollar los nuevos cambios que a fecha presente introduce el nuevo Reglamento de Protección de Datos, queremos esquematizar cómo van a presentarse a través del presente artículo aquellos. Comenzaremos con las novedades respecto a la apariencia formal que va a disponer el nuevo Reglamento, para seguidamente comentar los principales cambios en materia de derechos y obligaciones, tanto del responsable del fichero como de los afectados. Por último, abordaremos las novedades en cuanto a las medidas de seguridad, tanto para ficheros automatizados como para los no automatizados. Hemos de indicar que, dada la extensión que podría suponer la explicación o desarrollo normativo del nuevo reglamento, comentaremos aquellas novedades más significativas, si bien bajo otros artículos iremos desarrollando pormenorizadamente casos o extremos concretos. 1.Novedades Generales o FormalesA día de hoy, son dos disposiciones normativas las que principalmente rigen la aplicación efectiva en materia de protección de datos de carácter personal: Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal -en adelante, LOPD- y el Real Decreto 994/1999, de 11 de junio, de Medidas de Seguridad de Ficheros Automatizados -en adelante, RMS.- Así mismo, le es aplicable tanto la potestad sancionadora de la Agencia Española de Protección de Datos -en adelante, AEPD- como otras disposiciones que regulaban la antigua LORTAD. El nuevo reglamento trata de aunar en un solo cuerpo normativo todas las disposiciones vigentes y aplicables en materia de protección de datos personales. La principal novedad formal es la incorporación de una Exposición de Motivos que la LOPD adolecía, en la que se establece que su principal misión es la defensa de los derechos fundamentales individuales del honor e intimidad de todo ciudadano. Con ello, se intentan exponer los motivos principales y el desarrollo normativo del nuevo reglamento. Desarrollo que se traduce en la división siguiente: consta de nueve títulos dispuestos en 154 artículos, un artículo único, dos disposiciones transitorias, una disposición transitoria única, una disposición derogatoria y una disposición adicional. Así mismo, incorpora al nuevo Reglamento el desarrollo de la potestad de actuación de la AEPD, tanto en materia de protección de datos como en materia de publicidad derivada de la aplicación de la Ley de Servicios de la Sociedad de la Información -LSSI.- Los nueve títulos abordan los siguientes extremos: Disposiciones Generales; Principios Aplicables; Derechos de los Afectadazos; Ficheros Especiales -Solvencia Patrimonial y de Crédito, y los de Publicidad-; Obligaciones previas al Tratamiento; Trasferencias Internacionales; Códigos Tipo; Medidas de Seguridad; y Procedimiento de la AEPD. 2.Novedades LegalesBajo el presente analizaremos aquellas novedades que afectarían a las obligaciones y deberes del responsable del fichero así como a los derechos que ostentan los afectados. La novedad más significativa es el ámbito de aplicación el cual incorpora los datos de carácter personal contenidos en fichero no automatizados -soporte papel- como aquellos datos que tengan previsto ser incorporados a ficheros, sean estos automatizados o no. Así mismo, amplia y acota determinados conceptos o definiciones, intentando clarificar supuestos sobre los que se planteaban numerosas consultas de aplicación. Entre ellos, se establece que los datos de carácter personal que identifiquen a personas y que se encuentren contenidos en bases de datos de personas jurídicas le será aplicable la normativa. Así mismo, se aclara qué se considera como dato de carácter personal, incorporándose toda información gráfica, numérica, acústica, sonora, etc. que permita identificar a una persona -p.e. imagen grabada en puesto de trabajo, matrícula de coche asociada a propietario o usuario del vehiculo, etc.- Especialmente incorpora numerosas definiciones que la LOPD y el RMS no insertaban, diferenciándose aquellos términos que se derivan del tratamiento -p.e. datos disociados, importador y exportados de datos, etc.- de aquellos cuyo destino es la aplicación de las medidas de seguridad -p.e. bloqueo, ficheros temporales, perfil de usuario, etc.- La obligación de recabar el consentimiento introduce múltiples novedades destacando las que a continuación se indican, a saber: - El responsable del fichero ha de probar la existencia del consentimiento, por lo que el mismo no podrá presuponerse. Siempre teniendo en cuenta que hay supuestos tasado donde no será necesario el otorgamiento del mismo -p.e. cuando una ley o una normativa con rango legal así los disponga; cuando la recogida y tratamiento de datos sea necesario en una relación negocial, etc.- - Se podrá tratar datos personales bajo un consentimiento tácito, pero el responsable del fichero no podrá tratar los mismos hasta un plazo de 30 días, plazo donde el afectado podrá negarse al mismo. La negación nunca podrá efectuarse por medios que supongan un ingresos adicional al responsable del fichero -p.e. cartas certificadas, dialers, llamadas de tarificación adicional, etc.- El medio que ha de disponer el responsable del fichero debe ser sencillo, es decir, que si la empresa dispone de servicio de atención del cliente, este podrá ser un medio para que el afectado puede negarse al tratamiento. - El consentimiento podrá ser revocado en cualquier momento por el afectado, debiendo cumplir con las exigencias expuestas en el punto precedente. El responsable del fichero dispondrá de 10 días. - El afectado dispone de un nuevo derecho, puesto que podrá solicitar que le informen sobre la revocación del consentimiento y, por ende, del tratamiento de sus datos. Dicha solicitud debe ser obligatoriamente contestada. En cuanto al deber de informar, se ha de cumplir con los requisitos que a fecha de hoy se exigen, pero la finalidad ha de ser concreta, no se permiten finalidades genéricas. El responsable del fichero deberá acreditar el cumplimiento de dicho deber durante la “vida” del dato que trata. Establece una diferenciación entre cesión o comunicación de datos y encargado de tratamiento. A fecha presente, la diferenciación era compleja, debiendo en múltiples ocasiones la AEPD clarificar el término. La figura del encargado de tratamiento será aquella que preste un servicio al responsable del fichero y que para poder prestarlo precise del tratamiento de datos personales responsabilidad de aquel. Así mismo, aunque ya se permitía, se establece y desarrolla la posibilidad de la subcontratación en cascada, es decir, la posibilidad de que la prestación del servicio sea prestado por un tercero distinto al encargado de tratamiento. En cuanto a los derechos de los afectados -cancelación, oposición, rectificación y acceso- además de introducirse la solicitud de revocación de consentimiento, el nuevo Reglamento diferencia el ejercicio de derechos ante ficheros generales de los aquellos ficheros especiales tales como los de solvencia patrimonial y crédito y los de prospección comercial o publicidad. Por último, entre otras novedades, diferencia la transferencia internacional de datos a estado con un nivel de protección adecuado de los estados cuyo nivel de protección no es el óptimo. Así mismo, como hemos comentado incorpora el procedimiento y las características para formalizar un código tipo. 3.Novedades TécnicasLa principal novedad es la inclusión de los ficheros no automatizados dentro de las medidas de seguridad a aplicar, estableciéndose medidas generales para datos de nivel bajo y medio, y medidas especiales para los datos considerados de naturaleza sensible o de nivel alto. Los datos de nivel bajo se mantienen, es decir, por eliminación de los datos de nivel medio y alto se obtendrán los datos de naturaleza poco sensible. Se incorporan a datos de nivel medio los datos de menores y los de violencia de género, y los datos de nivel alto introducen aquellos que identifican los certificados electrónicos. Toda entidad deberá disponer de un registro de acceso que ha de mantenerse actualizado durante, al menos 2 años, para los datos considerados de nivel medio y alto. La auditoria bienal comenzará a computarse desde la primera adaptación o desde la modificación originada por cambios significativos en la organización y/o sistemas de información a la hora de tratar datos personales. Dichas auditorías deberán reflejar los motivos que originaron aquella, las deficiencias, las recomendaciones y las propuestas a ejercitar. El Documento de Seguridad mantiene su formato u obligación de contenido, bajo una serie de novedades dirigidas a los casos en que exista la figura del encargado de tratamiento. En este caso hay que diferenciar tres supuestos, a saber: - Acceso y tratamiento de datos, por parte del encargado de tratamiento, sin necesidad de acudir o estar presente en la ubicación del responsable del fichero, es decir, se tratan los datos en los sistemas de información del encargado de tratamiento. Debe hacerse constar en el Documento de Seguridad del responsable del fichero, siendo el encargado de tratamiento quien debe incorporar en su Documento de Seguridad las medidas que aplica. - Acceso y tratamiento de datos, por parte del encargado de tratamiento, utilizando los soportes y/o documentación del responsable del fichero. En este caso, se ha de hacer constar en el Documento de Seguridad del responsable del fichero y el encargado de tratamiento ha de respetar y seguir las medidas que haya dispuesto el responsable del fichero. - Acceso a los locales del responsable del fichero sin necesidad de trata datos personales -p.e. empresa de limpieza.- Obligación de constatar el mismo y suscribir acuerdo o contrato de confidencialidad. Por otra parte, el nuevo Reglamento permite la elaboración de un solo Documento de Seguridad o de tantos como ficheros existieran o en función de la organización de la entidad. En cuanto a los ficheros no automatizados, la principal novedad es que hay que elaborar una política de archivo y custodia, estableciéndose cómo se archivan y se disponen los datos contenidos en soporte papel, quiénes los custodian, durante cuánto tiempo, etc. Así mismo, se establecen las medidas destinadas a la copia y reproducción de documentos. ConclusiónAunque es difícil plasmar en pocas líneas las novedades más significativas que incorporará el nuevo Reglamento de Protección de Datos, creemos cumplido, al menos, la aproximación a los lectores de los principales cambios a los que apunta la nueva regulación. Abordaremos, como hemos comentado en líneas precedentes, artículos que permitan clarificar las novedades introducidas en virtud de los parámetros más demandados o que se prevea una mayor complejidad. No queremos ser reiterativos, pero tanto la aplicación normativa actual como la que se prevé en próximas fechas, es obligatoria para cualquier entidad o empresa que trate datos de carácter personal en aras a evitar sanciones económicas bastante severas. Así mismo, la adecuación y cumplimiento ha de ser diferenciada e independiente para cada entidad, puesto que el tratamiento y la organización empresarial es diferente aunque se encuentren aquellas operando dentro del mismo sector. Enlaces de Interés: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS http://www.agpd.es AGENCIA DE PROTECCIÓN DE DATOS DE LA COMUNIDAD DE MADRID http://www.madrid.org/cs/Satellite?pagename=APDCM/Page/homeAPDCM AGENCIA DE PROTECCIÓN DE DATOS DEL PAÍS VASCO http://www.avpd.euskadi.net/s04-4319/es AGENCIA DE PROTECCIÓN DE DATOS DE CATALUÑA http://www.apdcat.net | 
