Autora: Cristina Grau. Abogada Derecho.com
Finalmente, y después de un tiempo de espera el pasado 19 de enero de 2.008 se publicó en el BOE el nuevo Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal y que entrará en vigor el próximo 19 de abril de este año.
La finalidad de este texto es dotar de mayor seguridad jurídica y resolver determinadas cuestiones y lagunas que existen en relación con la aplicación, interpretación y adaptación de la Ley.
Una de las novedades más importantes es la inclusión expresa en su ámbito de los ficheros y tratamientos de datos no automatizados (soporte papel) fijando criterios sobre sus medidas de seguridad. En este sentido, se exigirá la aplicación de unos criterios de archivo que garanticen la correcta conservación de los documentos, los armarios, archivadores y demás elementos de almacenamiento, deberán disponer de mecanismos adecuados de cierre que impidan el acceso a esa documentación por parte de personas no autorizadas y mientras esa documentación no esté archivada, deberá ser custodiada, impidiendo que acceda a ella quién no esté autorizado. Ahora bien, parece que estas medidas de seguridad son papel mojado, puesto que la norma también dice que, si eso no fuera posible de acuerdo con las características de los locales, el Responsable adoptará “medidas alternativas???, lo que abre un amplio margen de discrecionalidad y posibilidades. Asimismo, también regula el ejercicio de acceso, rectificación, cancelación y oposición al tratamiento de esos datos.
Igualmente se regula un procedimiento para garantizar que cualquier persona antes de consentir que sus datos sean recogidos y tratados, pueda tener conocimiento de la utilización que sus datos vayan a tener y, esta seguridad también se encuentra en un momento posterior, puesto que con el fin que cada persona pueda controlar la exactitud y utilización de sus datos personales, se exige de manera expresa al Responsable de esos ficheros, ponga a disposición del interesado un medio sencillo y gratuito para permitir que pueda ejercerse el derecho de acceso, rectificación, cancelación y oposición.
También se establecen medidas concretas para el tratamiento de los datos de menores de edad, prohibiéndose pedir o tratar datos de menores de catorce años sin el consentimiento de los padres o tutores. Si, además, se pretende recoger datos con información relativa a los miembros del grupo familiar será necesario el consentimiento de todos ellos. Además, los menores deberán ser informados con un lenguaje claro y comprensible y deberá comprobarse la edad del menor y la autenticidad del consentimiento prestado.
En cuanto a la regulación del consentimiento para el tratamiento de los datos, se permite la prestación del mismo de forma tácita (que no presunta), debiendo concederse un plazo de 30 días para manifestar la negativa al tratamiento, de forma sencilla y gratuita. La revocación del consentimiento no podrá someterse a la obligación de remitir por ejemplo una carta certificada. Esta exigencia también se establece para el ejercicio de los derechos.
También destacamos un incremento de medidas de seguridad en varios aspectos:
– Pasan de nivel básico a medio, los ficheros de las Entidades Gestoras y Servicios Comunes de la Seguridad Social y las mutuas de accidentes de trabajo y enfermedades profesionales y los ficheros que contengan datos personales sobre características o personalidad de los ciudadanos que permitan deducir la personalidad.
– Pasan a nivel medio, los ficheros de los que son responsables los operadores de servicios de comunicaciones electrónicas disponibles al público o que exploten redes públicas de comunicaciones electrónicas sobre tráfico y localización.
– Pasan a nivel alto, todos los datos relativos a la violencia de género.
Por otra parte, es importante destacar que se establecen ciertas especialidades para facilitar la implantación de determinadas medidas de seguridad. A título enunciativo por ejemplo, bastará con aplicar medidas de nivel básico, en lugar de las medidas de nivel alto, respecto de los datos especialmente protegidos, cuando únicamente se utilicen para la realización de transferencias dinerarias como asociados o miembros (ej. cuando la empresa paga la cuota sindical por cuenta del trabajador). Lo mismo respecto de los datos referentes exclusivamente al grado de discapacidad o invalidez, cuando tengan por única finalidad cumplir con una obligación legal (ej. los datos de salud de las nóminas). Esta modificación es importante, puesto que puede tener repercusiones muy positivas para muchas empresas.
Sobre el resto de medidas que se regulan en el Reglamento, habrá tiempo para analizarlas a medida que se vayan implantando y delimitando por la Agencia Española de Protección de Datos.
Por último, queremos hacer hincapié en que la adecuación a la LOPD de las empresas no es un procedimiento estático o estancado, sino que está en constante evolución y, esto se desprende de la repercusión que este Reglamento tendrá sobre las empresas que ya estén adecuadas actualmente a la LOPD, puesto que los cambios en las medidas de seguridad supondrán la modificación y reestructuración de la organización de las empresas y, en consecuencia, del correspondiente Documento de Seguridad.
Disculpa, debes iniciar sesión para escribir un comentario.