LOPD-ARTÍCULOS

    Esto ha creado multitud de problemas y una cierta inseguridad jurídica, en cuanto que muchos principios y conceptos de la LOPD están carentes de desarrollo. Así mismo, el actual reglamento está centrado en las medidas de seguridad a implementar y no entra en otros aspectos. También existe una necesidad de establecer que medidas hay que observar en lo que respecta a los tratamientos manuales, ya que el RD 994/1999 está orientado a los automatizados.

    En segundo lugar, y entrando ya en la novedades que va a traer el reglamento, comenzar diciendo que va a ser un reglamento de desarrollo integral de la Ley Orgánica (al menos en su concepción) y no va a estar centrado exclusivamente en las medidas de seguridad: se especula con que estará compuesto por unos cien artículos (el actual tiene 29). Señalar que aunque la norma va a traer novedades y cambios en la situación actual, mucho contenido de la misma va a girar entorno a la positivación de criterios interpretativos que bien la Agencia Española de Protección de Datos, bien los órganos judiciales, han tenido ocasión de ir perfilando a lo largo de los años que lleva en vigor la norma. Por ejemplo, en lo que respecta a la recogida de datos en el marco de un contrato para finalidades distintas del propio objeto del negocio jurídico: se daba el caso de que a la par de que se formalizaba un contrato, se prestaba el consentimiento para el tratamiento de los datos de carácter personal no sólo para la finalidad de cumplimiento del contrato, sino para otras finalidades distintas a ésta (por ejemplo marketing, publicidad…) El criterio actual es que en el marco de estos contratos (generalmente de adhesión) se prevea una obtención del consentimiento autónoma y diferenciada para las finalidades que no sean las estrictamente del contrato.

    Otra novedad interesante (aunque viene ya reflejada en la última memoria de la Agencia Española de Protección de Datos), va a ser la posibilidad de que el encargado de tratamiento pueda establecer subcontrataciones bajo determinados requisitos. Se daba inicialmente la circunstancia de que un responsable de un fichero podría externalizar la prestación de un determinado servicio comunicando los datos a un tercero denominado “Encargado de Tratamiento” sin necesidad de la obtención del consentimiento de los titulares de los datos (algo necesario en principio para todas las cesiones de datos) mediante la firma de un contrato (artículo 12). Pues bien, éste encargado de tratamiento no podía efectuar una subcontratación de la citada prestación y esta era considerada cesión ilegal de datos. Ahora mismo esto se permite bajo determinados requisitos y formalidades, que van a ser positivizados como venimos diciendo en el futuro reglamento. También va a ser posible que el encargado del tratamiento pueda conservar los datos para hacer frente a posibles responsabilidades de la prestación de su servicios (en la actualidad se fija o bien la devolución de los datos o bien la destrucción de los mismos).

    Respecto a las medidas de índole técnica y organizativas necesarias para garantizar la seguridad que deben reunir los ficheros, los locales, equipos  personas que intervengan en el tratamiento, etc, hay importantes novedades: la principal es la redacción en primer lugar de normas concretas para los tratamientos en soporte papel. Actualmente se aplicaban las medidas que analógicamente resultaba posible y se seguían básicamente los principios generales de la Ley Orgánica, como por ejemplo el artículo 9 que dispone que “ El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural”. Si existe una recomendación ciertamente interesante de la Agencia de Protección de Datos de la Comunidad de Madrid, acerca del tratamiento de las historias clínicas no informatizadas que fijaba unos criterios concretos sobre la adopción de medidas a este tipo de ficheros.

    También hay cambios importantes en cuanto las medidas a aplicar a los denominados ficheros de “nivel medio” esto (aquellos que contienen datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros) en cuanto que una de las medidas técnicas que era exigible para los ficheros de nivel alto, en concreto el registro de accesos, pasa a ser obligatoria para este nivel. En algunos sectores la medida va a tener un impacto económico elevado, en cuanto que por ejemplo en un banco la cantidad de logs que pueden generarse al respecto puede ser descomunal. En cambio, el tratamiento del dato de descuento sindical y de la discapacidad en el IRPF van a recibir una exigencia de medidas a la baja (hasta ahora requerían nivel alto de medidas). Por otro lado hay una novedad en lo que respecta a las trasferencias internacionales de datos entre filiales de compañías, avanzando hacia la idea de grupo empresarial. 

    Como puede verse, no tenemos ante nosotros un borrador centrado únicamente en listar las medidas técnicas a aplicar a los ficheros, sino que tenemos un auténtico desarrollo normativo de la Ley Orgánica de Protección de Datos que venía siendo demandado desde hace ya bastante tiempo.