140

Protección de Datos

Borrador del reglamento de desarrollo de la LOPD EL BORRADOR DEL REGLAMENTO DE DESARROLLO YA DISTINGUE LOS TRATAMIENTOS EN SOPORTE PAPEL DE LOS TRATAMIENTOS AUTOMATIZADOS, EXIGIENDO MEDIDAS DE SEGURIDAD ESPECÍFICAS PARA LOS DOCUMENTOS EN PAPEL

Gonzalo Martínez Flechoso ABOGADO

-

MARZO

ASESORES

-

CISA

conoce un primer borrador dónde se

vigente normativa en materia de trata-

incluyen disposiciones generales y

miento de datos de carácter personal y

aspectos relativos a los principios de

que, con carácter general, afectan a la

protección de datos, se desarrollan los

organización interna de cualquier em-

derechos de acceso, rectificación, can-

presa que para el desarrollo habitual de

celación y oposición de las personas

su actividad lleve a cabo el tratamiento

físicas, se regulan las medidas de se-

de datos de carácter personal.

guridad en el tratamiento de datos de carácter personal y se articulan aspec-

D

tos referentes a las transferencias esde su entrada en vigor, la

internacionales de datos.

El primer aspecto a destacar, dentro

vigente Ley Orgánica 15/

de las disposiciones generales, es que

1999, de 13 de diciembre, de

Protección de Datos de Carácter Personal, más conocida como LOPD, no ha sido desarrollada por ningún reglamento, a diferencia de la ya derogada Ley Orgánica 5/1992 de 29 de octubre, de regulación automatizada de los datos de carácter personal – LORTADque fue desarrollada en parte por el Real Decreto 1332/94, de 20 de junio. Sin embargo, a lo largo del pasado año 2005, la Agencia Española de Protección de Datos en colaboración con el Ministerio de Justicia, se encuentran manos a la obra trabajando en el con-

La Agencia Española de Protección de Datos y el Ministerio de Justicia se encuentran manos a la obra trabajando en el contenido del Reglamento de desarrollo de la LOPD

el ámbito de aplicación del citado borrador del reglamento de desarrollo, aparte de los datos de carácter personal registrados en cualquier soporte tal y como establece la LOPD, abarca los datos de las personas físicas que dependen o están relacionadas con las personas jurídicas para las que prestan sus servicios. En segundo lugar, respecto a los conceptos regulados en el citado borrador del reglamento de desarrollo, se define al responsable del fichero o tratamiento como la persona que decide sobre la finalidad, uso, y contenido

tenido del tan esperado Reglamento de desarrollo de la LOPD cuyo texto

Disposiciones generales y principios

Aunque todavía no disponemos de

del tratamiento, independientemente

final parece que entrará en vigor du-

un texto definitivo, en las siguientes

de que materialmente realice o no

rante la primavera del año recién es-

líneas, se destacan las principales no-

este tratamiento, así como las perso-

trenado.

vedades incluidas en este borrador del

nas integrantes de entes sin personali-

reglamento de desarrollo de la LOPD

dad jurídica, que traten datos de ca-

conocido hasta la fecha, respecto a la

rácter personal.

Hasta el momento, de este reglamento de desarrollo de la LOPD, se

Nº 1 „ Enero / Febrero 2006

Protección de Datos

Pr otección integral de los Datos Protección de Carácter Personal.

Asimismo, se incorpora un nuevo

de la inexactitud, sin precisarse cuales

reglamento de desarrollo, regula los

término referido al Tercero, entendido

son los medios por los que el responsa-

mecanismos tendentes a recabar los

éste como la persona distinta del res-

ble del tratamiento conoce que datos

consentimientos para el tratamiento y

ponsable del fichero o tratamiento, del

la cesión de los datos; en concreto,

encargado del tratamiento y de las

para obtener el consentimiento tácito,

personas dependientes y bajo la autoridad del responsable y del encargado del tratamiento. Por último, a diferencia de la actual normativa dónde se considera transferencia a cualquier movimiento internacional de datos fuera del territorio español, el borrador del reglamento de la LOPD define la Transferencia Internacional, como la transmisión de datos fuera del Espacio Económico Europeo. Por lo que se refiere a los principios

No obstante, una vez cancelados los datos, se permite mantener unos datos mínimos para identificar a los interesados

de protección de datos, el borrador del

se obliga al responsable a facilitar un mecanismo sencillo y gratuito a través del cual el afectado pueda manifestar su negativa al tratamiento de los datos, como por ejemplo un envío prefranqueado o un teléfono gratuito, y un plazo de treinta días para contestar. Y, finalmente, en cuanto al resto de principios, se establece la posibilidad de subcontratación de servicios que impliquen un acceso a los datos de carácter personal del responsable por parte del encargado del tratamiento.

reglamento de desarrollo comienza con

son inexactos, y garantizan la veraci-

Subcontratación que podrá realizar el

el de calidad de los datos, obligando a

dad de la inexactitud.

encargado del tratamiento siempre

rectificar o cancelar en el plazo de diez días desde que se tenga conocimiento

Por otra parte, con relación al principio del consentimiento, el borrador del

que tenga poder suficiente otorgado por el responsable del tratamiento, y

Nº 1 „ Enero / Febrero 2006

141

142

Protección de Datos cuya finalidad sea la publicidad y prospección comercial, y cuando el trata-

Der echos de Derechos acceso, rectificación, cancelación y oposición.

miento tenga por finalidad la adopción de una decisión personal automatizada sobre aspectos de la personalidad. Como en el resto de derechos, el ejercicio del derecho de oposición, deberá realizarse ante el responsable del fichero o tratamiento quién, si la resolución es satisfactoria, tendrá que resolver en el plazo de diez días admitiendo o no el derecho de oposición, y debiendo excluir del fichero los datos sobre los que se haya ejercido el derecho de oposición. Cuando los ficheros sobre los que se ejercita el derecho de oposición sean de publicidad y prospección comercial, a la simple solicitud de los interesados el responsable deberá cancelar los datos, y deberá facilitar un medio sencillo y gratuito para que los interesados se opongan a dicho tratamiento, sin poder el responsable exigir a aquellos el envío

se realice en nombre y por cuenta de

encuentra pendiente de desarrollo, sin

de cartas certificadas o procedimientos

dicho responsable. Dicha

existir un procedimiento que establez-

similares.

subcontratación de servicios también

ca cuando y como se puede ejercitar

podrá llevarse a cabo sin necesidad de

este derecho.

apoderamiento, siempre y cuando en

En este sentido, y según lo dispues-

No obstante, una vez cancelados los datos, se permite al responsable mantener unos datos mínimos imprescindi-

el contrato suscrito entre el responsa-

bles para identificar a los interesados y

ble y el encargado del tratamiento, se

con ello no enviarles publicidad en

establezcan los servicios objeto de subcontratación, la identidad del subcontratista y demás obligaciones impuestas por el citado borrador de reglamento, para el acceso a datos por cuenta de terceros.

Acceso, rectificación, cancelación y oposición Otro de los aspectos novedosos del citado borrador del reglamento relacionado con los derechos de las personas

El borrador abarca los datos de las personas físicas que dependen o están relacionadas con las personas jurídicas para las que prestan sus servicios

futuras campañas comerciales, constituyéndose así las denominadas Listas Robinson. Para terminar con el apartado relativo a los derechos de acceso, rectificación, cancelación y oposición, en lo referido a las historias clínicas, el borrador del reglamento de desarrollo, se remite a lo establecido en la Ley 41/ 2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica y en la normativa autonó-

físicas es la regulación del derecho de oposición, que si bien se menciona

to en el citado borrador de reglamen-

mica reguladora de esta materia aun-

tanto en la vigente LOPD como en la

to, el derecho de oposición podrá ejer-

que, a este respecto, es importante

Instrucción dictada por la Agencia Es-

citarse cuando no se requiera el con-

destacar que la referida Ley 41/2002,

pañola de Protección de Datos en ma-

sentimiento para el tratamiento de los

únicamente contempla el derecho de

teria de derechos, hasta la fecha se

datos, cuando se trate de ficheros

acceso, sin especificar las condiciones

Nº 1 „ Enero / Febrero 2006

144

Protección de Datos y plazos para su ejercicio y contesta-

los datos de tráfico o localización, tam-

miento, como por ejemplo, para cum-

ción por el responsable.

bién los datos y claves necesarios para

plir con la normativa en materia de

emitir los certificados digitales para

prevención de riesgos laborales.

Medidas de seguridad

realizar firma electrónica, salvo los

En tercer lugar, una nueva exigen-

datos de naturaleza pública de dichos

cia de seguridad para el responsable

Es precisamente el apartado de

certificados; y otro, como excepción

del tratamiento que se contempla en

medidas de seguridad dónde el borra-

de los datos de ideología, afiliación

el borrador del reglamento de desarro-

dor del reglamento de desarrollo reco-

sindical, religión, creencias y salud,

llo, es la obligación de adoptar medi-

ge los cambios más significativos con

que siguen encuadrándose dentro del

das para limitar la posibilidad de acce-

relación a la vigente normativa en esta

nivel alto, cuando estos datos se tra-

der a datos a las personas que si bien

materia.

ten con la única finalidad de gestión y

no deben acceder a dichos datos, du-

cumplimiento de las obligaciones por

rante la prestación de los servicios

les de seguridad que siguen siendo el

el retenedor, o la transferencia

contratados tienen la posibilidad de

básico, medio y alto, se suprime el

dineraria a las entidades de las que los

acceder a los mismos. Es el caso, por

nivel intermedio entre el básico y el

afectados sean asociados o miembros,

ejemplo, de contratación de servicios

medio para los conjuntos de datos que

se podrán adoptar sobre ellos las me-

de limpieza o mantenimiento en cuyos

permitan obtener la personalidad del

didas de nivel básico.

contratos de servicios deberán incor-

En primer lugar, respecto a los nive-

porarse las correspondientes cláusulas

individuo, y tales datos quedan incorporados directamente al nivel medio de seguridad. Dentro de este nivel medio también se engloban los datos relativos a menores de catorce años y a víctimas de violencia de género. A título de ejemplo, todos los colegios, escuelas, guarderías, etc, con alumnos menores de 14 años, vendrán obligadas a implantar medidas de seguridad del nivel medio. Mayor complejidad surge con los datos de las víctimas de violencia de género y la obligación de implantar sobre los mismos medidas de seguridad de nivel medio, ya que la dificultad estriba a la hora de determinar si las víctimas de violencia de género

Cuando los ficheros sean de publicidad y prospección comercial el responsable deberá facilitar un medio sencillo y gratuito para que los interesados se opongan a dicho tratamiento De esto último, parece desprender-

relativas a dicha prohibición. En cuarto lugar, el borrador del reglamento de desarrollo ya distingue los tratamientos en soporte papel de los tratamientos automatizados, exigiendo medidas de seguridad específicas para los documentos en papel. Así, para el nivel básico, se exige el almacenamiento de los documentos con datos de carácter personal en lugares con mecanismos que obstaculicen su apertura, medida ésta que a priori no plantea mayores problemas de implantación; también se exige que se identifique el tipo de información que contienen los documentos, y que éstos sean inventariados y almacena-

tienen esta condición cuando se haya

se que la intención del legislador es

dos en lugares controlados por perso-

dictado sentencia firme, o simplemen-

excluir del nivel de seguridad alto tan-

nal autorizado, medida ésta que, sin

te por una denuncia, o cuando se ha-

to los datos de salud que el cien por

embargo, si resultará más costosa de

yan adoptado medidas cautelares para

cien de las empresas que tienen traba-

implantar, igual que otra medida de

proteger a la víctima, o si la sentencia

jadores a su cargo mantienen, simple-

seguridad del nivel básico para los

dictada es recurrida.

mente, con la finalidad de calcular las

documentos, los «criterios de archi-

retenciones para el pago de rentas,

vo», donde se obliga al responsable

alto de seguridad, el borrador del re-

como los datos de afiliación sindical

del fichero a establecer los procedi-

glamento de desarrollo incluye dos

para el descuento de la cuota sindical.

mientos que deban seguirse para los

Sin embargo, a pesar de la inten-

ficheros no automatizados, dirigidos a

En segundo lugar, respecto al nivel

importantes cambios: uno, la inclusión dentro del nivel de seguridad alto, de

ción del legislador, hay todavía un

garantizar la correcta conservación de

los datos de las operadoras que pres-

gran número de empresas que están

los documentos, la localización y con-

ten servicios de comunicaciones elec-

obligadas a implantar medidas de se-

sulta de la información y posibilitar el

trónicas o exploten redes públicas de

guridad de nivel alto sobre determina-

ejercicio de los derechos de acceso,

comunicaciones electrónicas respecto a

dos datos que son objeto de trata-

rectificación, cancelación y oposición.

Nº 1 „ Enero / Febrero 2006

146

Protección de Datos tados de mecanismos que impidan la

implantada en cuanto a la generación

medidas de seguridad de nivel medio,

destrucción o no recuperación de la infor-

de copias por medio de impresoras,

se destaca por una parte, que el docu-

mación, como dispositivos ignífugos,

pero que se hace complicada su im-

mento de seguridad deberá contener

equipamiento contra incendios etc.

plantación en el uso de fotocopiadoras.

En quinto lugar, con relación a las

los controles periódicos que se deban

En cuanto al copiado y reproducción

Finalmente, en cuanto a las medidas

realizar para verificar el cumplimiento

de documentos, el nivel medio exige

de nivel alto para los ficheros no auto-

de lo dispuesto en el propio documen-

para los datos en ficheros no automa-

matizados, el borrador del reglamento

to. Y por otra parte, que la medida de

tizados, que se establezcan procedi-

de desarrollo obliga que para el trasla-

seguridad del registro de accesos que

mientos para que sólo las personas

do de la documentación se adopten

se incluye actualmente para el nivel

medidas dirigidas a impedir el acceso o

alto, en el borrador del reglamento de

manipulación de la información que se

desarrollo pasa a incorporarse como

En el nivel medio se exige que los datos almacenados en dispositivos portátiles o tratados fuera de los locales del responsable del fichero estén cifrados

una medida de seguridad del nivel medio, con la excepción de que no será necesario el registro de accesos cuando el responsable del fichero o tratamiento garantice que sólo él tiene acceso y trata los datos personales, quedándonos la duda de si se refiere este excepción a «él» como persona física responsable del fichero o tratamiento, o también a «él» como persona jurídica responsable del fichero o tratamiento.

traslade, y a establecer controles que permitan detectar si se ha producido algún acceso no autorizado. En definitiva, a través de este borrador de reglamento de desarrollo de la LOPD y su versión final, y reiteramos borrador, porque sobre ésta y otras versiones posteriores está trabajando la Agencia Española de Protección de Datos junto con el Ministerio de Justicia para la aprobación de un texto definitivo, esperamos se aclaren las distintas interpretaciones que se

Asimismo, en este nivel medio, se

desprenden tanto del contenido de la

exige que los datos almacenados en dispositivos portátiles o tratados fuera de

autorizadas puedan realizar copias de

LOPD como del resto de normas vigen-

los locales del responsable del fichero,

documentos, y se arbitren controles

tes sobre protección de datos, así

estén cifrados. Y, en cuanto a las medi-

para evitar que por la generación de

como de la actual doctrina y jurispru-

das para ficheros no automatizados,

copias se produzcan accesos no autori-

dencia dictada por los Órganos compe-

destacar que los lugares donde se en-

zados. Medida de seguridad ésta que

tentes en materia de protección de

cuentren estos ficheros deben estar do-

podrá ser, en mayor o menor medida,

datos personales.

NIVEL ALTO DE SEGURIDAD

E

n sexto lugar, por lo que se refiere al nivel alto de seguridad, el borrador del reglamento de desarrollo obliga a la realización de un registro de accesos para los ficheros no automatizados, donde una persona designada a quién se le solicite documentos, deberá registrar estos

Nº 1 „ Enero / Febrero 2006

accesos, conservándose este registro por un mínimo de dos años. Por otro lado, las áreas donde se encuentren los documentos con datos de carácter personal, deberán estar protegidas con puertas con llave o dispositivo equivalente, debiendo permanecer cerradas cuando no sea preciso el acceso. Y si esta medida no fuese

posible, se elaborará un informe por el responsable de seguridad al responsable del fichero con medidas alternativas, dotándose a los armarios y archivadores donde se almacenen los datos con sistemas que obstaculicen al acceso. Igualmente, cuando los documentos no se encuentren archivados en el lugar esta-

blecido, ya sea antes o después de su archivo, la información deberá ser custodiada para impedir el acceso a personas no autorizadas, por la persona que se encuentre al cargo de la misma, bien porque haya sido generado por ésta o dicha información haya sido solicitada del registro de accesos.