Nuevo reglamento de la LOPD

Ya se ha aprobado el reglamento de la Ley Orgánica de Protección de Datos de Carácter Personal. El 21 de diciembre de 2007, el Consejo de Ministros aprobó el Reglamento que desarrolla y actualiza las obligaciones en materia de protección de datos de carácter personal. El Real Decreto que contiene el texto del reglamento hoy (29 de diciembre de 2007) aún no se publicado en el Boletín Oficial del Estado, pero hemos podido acceder a las últimas versiones que entraron en el Consejo de Estado, con lo cual les podemos avanzar algunas novedades:

Novedades destacadas del Reglamento:

– La norma extiende su ámbito de aplicación a los ficheros y tratamientos no automatizados (en papel) y fija criterios sobre medidas de seguridad de los mismos.
– Se regula un procedimiento que garantice a cualquier persona, antes de consentir que sus datos sean recogidos y tratados, tener pleno conocimiento de la utilización que sus datos vayan a tener.
– Se regula que los familiares/allegados de personas fallecidas puedan comunicar al responsable del fichero el fallecimiento y solicitar la cancelación de sus datos.
– Para el ejercicio de los derechos de los interesados, se exige de manera expresa al responsable de los ficheros que conceda al interesado un medio sencillo y gratuito para su ejercicio. Se prohíbe exigir el envío de cartas certificadas o semejantes o la utilización de medios de telecomunicaciones que impliquen el pago de una tarifa adicional.

Niveles de seguridad:
Respecto a las principales novedades en materia de seguridad de los datos, el nuevo Reglamento introduce los siguientes cambios:
Pasan de nivel básico a nivel medio de seguridad los ficheros de:
1. Entidades Gestoras y Servicios Comunes de la Seguridad Social.
2. Mutuas de accidentes de trabajo y de enfermedades profesionales de la Seguridad Social.
3. Ficheros que contengan datos sobre características o personalidad de los ciudadanos que permitan deducir su comportamiento.
4. Ficheros de los operadores de servicios de comunicaciones electrónicas disponibles al público o que exploten redes públicas de comunicaciones electrónicas sobre datos de tráfico y localización.

Pasan de nivel básico a nivel alto de seguridad:
1. Todos los datos derivados de la violencia de género.

Portátiles, PDA y otros…
Sobre éstos y los restantes datos personales de nivel alto de seguridad se incorpora la obligación de cifrar estos datos si se encuentran almacenados en dispositivos portátiles.

En el ámbito de las PYMES (pequeñas y medianas empresas) podemos destacar:

1. Bastará con aplicar las medidas de seguridad de nivel básico, en lugar de las de nivel alto, respecto a los datos especialmente protegidos cuando sólo se utilicen para el pago de cuotas a las entidades de las que los titulares de los datos sean miembros.
2. Lo mismo se permite respecto a los datos referentes exclusivamente al grado de discapacidad o invalidez, cuando tengan por finalidad cumplir con una obligación legal.
3. Esto es particularmente aplicable a los datos relativos a la afiliación sindical o respecto a la salud en los ficheros de nóminas.

Medidas de seguridad para ficheros no informatizados:
Se establecen medidas de seguridad específicas para ficheros no automatizados (en papel, normalmente):
1. Se exigirá la aplicación de criterios de archivo para la correcta conservación de los datos.
2. Los armarios, archivadores y demás elementos de almacenamiento deberán disponer de mecanismo adecuados de cierre que impidan el acceso a personas no autorizadas.
3. Cuando estos ficheros contengan datos incluidos en el nivel de seguridad alto deberán estar en áreas cerradas con el pertinente dispositivo de seguridad.

Ficheros de solvencia patrimonial:
Destacamos que para poder incluir estos datos en un fichero de insolvencia patrimonial y crédito se exige:
1. La existencia previa de una deuda cierta, vencida y exigible que esté impagada.
2. Que no se haya interpuesto reclamación judicial, arbitral o administrativa sobre la misma.
3. Es necesaria la notificación previa de la inclusión de los datos en dicho fichero y la notificación una vez incluidos en el plazo de 30 días desde la inclusión.
4. En cuanto la deuda haya sido pagada deberán cancelarse de manera inmediata los datos relativos a ella. Se prohíbe mantener en los ficheros el denominado “saldo cero???.

Actividades de publicidad y prospección comercial:
La entidad que contrate con una empresa la realización de una campaña publicitaria estará obligada a asegurarse de que ésta ha recabado los datos cumpliendo con lo establecido en la Ley.

Además, se requiere el consentimiento del afectado para que los responsables de distintos ficheros puedan cruzar sus datos para promocionar o comercializar productos o servicios.

Se desarrollan las denominadas “listas de exclusión??? o “listas Robinson??? para que cualquier afectado pueda comunicar al responsable del fichero que no desea recibir publicidad.

??mbito sanitario:
No es necesario el consentimiento del afectado para la comunicación de datos sobre la salud entre los distintos centros cuando se realice para la atención sanitaria de las personas.

Transferencia internacional de datos:
Se desarrolla más extensamente lo relativo a las transferencias internacionales, donde se incluyen las denominadas “binding corporate rules??? o códigos internos de los grupos multinacionales de empresas.

A parte de estas novedades, el Reglamento que desarrolla la Ley Orgánica de Protección de Datos también regula el tratamiento de datos de menores de edad en consonancia a los pronunciamientos que la AEPD ya realizaba.