APROBADO EL
REGLAMENTO DE DESARROLLO DE LA LEY ORGANICA DE PROTECCIÓN DE
DATOS
- La norma acrecienta la
seguridad jurídica y resolverá determinadas cuestiones o
lagunas interpretativas que actualmente existen.
- Se aplica también a los
ficheros y tratamientos no automatizados (papel) y se fijan
criterios específicos sobre las medidas de seguridad de los
mismos.
- Se garantiza que las
personas, antes de consentir que sus datos sean recogidos y
tratados, puedan tener un pleno conocimiento de la
utilización que se vaya hacer de estos datos.
- El interesado dispondrá de
un medio sencillo y gratuito para ejercitar su
derecho de acceso, rectificación, cancelación y oposición,
sin tener que usar correo certificado ni otros medios que le
supongan un gasto adicional.
- Todos los datos derivados
de la violencia de género pasan del nivel básico de
seguridad a un nivel alto.
El Consejo
de Ministros ha aprobado un Real Decreto por el que se aprueba
el Reglamento que desarrolla la Ley Orgánica de Protección de
Datos de carácter personal y se fija su entrada en vigor tres
meses después de su publicación en el Boletín Oficial del
Estado.
El
Reglamento acrecienta la seguridad jurídica y resolverá
determinadas cuestiones o lagunas interpretativas que pudieran
existir en la actualidad, con especial atención a todo aquello
que pueda suscitar una mayor sensibilidad a los titulares del
derecho y los sujetos obligados por la Ley. Recoge, además, la
interpretación que de la Ley Orgánica han efectuado los
Tribunales a través de la jurisprudencia.
Innovaciones más destacables
La norma
incluye expresamente en su ámbito de
aplicación a los ficheros y tratamientos de datos no
automatizados (en papel) y fija criterios específicos sobre
medidas de seguridad de los mismos.
Igualmente,
regula todo un procedimiento para garantizar que cualquier
persona, antes de consentir que sus datos sean
recogidos y tratados, pueda tener un pleno conocimiento de la
utilización que estos datos vayan a tener.
Aunque la
norma no es de aplicación a personas fallecidas, para
evitar situaciones dolorosas a sus allegados se prevé que éstos
puedan comunicar al responsable del fichero el fallecimiento y
solicitar la cancelación de los datos.
Para mejor
garantizar el derecho de las personas a controlar la exactitud y
utilización de sus datos personales, se exige de manera expresa
al responsable de esos ficheros de datos que conceda al
interesado un medio sencillo y gratuito para permitir a aquéllas
ejercitar su derecho de acceso, rectificación,
cancelación y oposición. En la misma línea, se prohíbe exigir al
interesado el envío de cartas certificadas o semejantes, o la
utilización de medios de telecomunicaciones que impliquen el
pago de una tarifa adicional.
Incremento de medidas de seguridad
Se
incrementa la protección ofrecida a los datos de carácter
personal en varios aspectos:
- Pasan de un nivel básico
de seguridad al nivel medio los ficheros de las Entidades
Gestoras y Servicios Comunes de la Seguridad Social que
tengan relación con sus competencias y las mutuas de
accidentes de trabajo y de enfermedades profesionales de la
Seguridad Social. También pasan al nivel medio de seguridad
los ficheros que contengan datos de carácter personal sobre
características o personalidad de los ciudadanos que
permitan deducir su comportamiento.
- Igualmente, desde un nivel
básico pasan al nivel medio los ficheros
de los que son responsables los operadores de servicios de
comunicaciones electrónicas disponibles al público o
exploten redes públicas de comunicaciones electrónicas sobre
datos de tráfico y de localización. Además, se exige a estos
operadores establecer un registro de acceso a tales datos
para determinar quien ha intentado acceder a esos datos,
fecha y hora en que se ha intentado este acceso y si ha sido
autorizado o denegado.
- Desde el nivel básico de
seguridad pasan a un nivel alto todos los datos derivados de
la violencia de género.
- Sobre éstos y los
restantes datos personales incluidos en el nivel
alto de seguridad se incorpora la obligación de cifrar estos
datos si se encuentran almacenados en dispositivos
portátiles.
Para
facilitar a los obligados a cumplir las medidas de seguridad, se
exige que los productos de software destinados al tratamiento de
datos personales incluyan en su descripción el nivel de
seguridad, ya sea básico, medio o alto, que permiten alcanzar de
acuerdo con el Reglamento.
Por otra
parte, se establecen ciertas especialidades para facilitar la
implantación de medidas de seguridad, que incidirán sobre todo
en el ámbito de las PYMES. Por ejemplo, bastará con aplicar
las medidas de seguridad de nivel básico, en lugar de las de
nivel alto, respecto a datos especialmente protegidos
cuando sólo se utilicen para el pago de cuotas a las entidades
de las que los titulares de los datos sean miembros. Lo mismo se
permite respecto a los datos referentes exclusivamente al grado
de discapacidad o la simple declaración de la condición de
discapacidad o invalidez, cuando tengan por única finalidad
cumplir una obligación legal. Esto es particularmente aplicable
a los datos relativos a la afiliación sindical o respecto a
la salud en los ficheros de nóminas.
Medidas de seguridad específicas para ficheros y tratamientos no
informatizados (papel)
El
Reglamento concede una atención especial a estos dispositivos de
almacenamiento y custodia de documentos, con el fin de
que se garantice la confidencialidad e integridad de los datos
que contienen.
- Se exigirá la aplicación
de unos criterios de archivo que garanticen la correcta
conservación de los documentos y el ejercicio del derecho de
oposición al tratamiento, rectificación y cancelación de los
datos.
- Los armarios, archivadores
y demás elementos de almacenamiento, deberán disponer de
mecanismos adecuados de cierre (llave) que impidan
el acceso a la documentación por personas
no autorizadas. Mientras esa documentación no esté
archivada, la persona que esté a su cargo deberá
custodiarla, impidiendo que acceda a ella quien no esté
autorizado.
- Cuando estos ficheros
contengan datos incluidos en un nivel de seguridad alto
(ideología, afiliación sindical, religión, creencias, origen
racial, salud, vida sexual, datos recabados por la policía
sin consentimiento de los afectados o actos derivados de
violencia de género), deberán estar en áreas cerradas con el
dispositivo de seguridad pertinente (puertas con llave),
pero, si por las características de los locales, no puede
cumplirse esta medida, se permite aplicar otra alternativa
que impida a las personas que no están autorizadas el acceso
a esta documentación.
Régimen transitorio de aplicación
Para el
cumplimiento de las nuevas medidas de seguridad se establece un
régimen transitorio de implantación de las mismas a los ficheros
y tratamientos actualmente existentes. En este caso, para los
ficheros en soportes no automatizados se fijan plazos de un año,
dieciocho meses y dos años para los niveles básico, medio y
alto, respectivamente.
En cuanto a
los ficheros automatizados, en un año deberán implantarse las
medidas de seguridad de nivel medio para aquellos que en la
actualidad están clasificados como de nivel básico; en el plazo
de un año para implantar las medidas de seguridad de nivel medio
y de dieciocho meses para implantar las medidas de nivel alto
los ficheros con datos sobre violencia de género y
los datos referentes a tráfico y localización en comunicaciones
electrónicas disponibles al público, que actualmente están en el
nivel básico.
Todos los
ficheros, ya sean automatizados o no, que sean creados con
posterioridad a la entrada en vigor del presente Reglamento
tendrán que cumplir las medidas previstas, sin que exista ningún
plazo transitorio de adaptación.
Tratamiento de datos de menores de edad
- Como regla general, se
prohíbe pedir o tratar datos de menores de catorce años sin
el consentimiento de sus padres Si son mayores de esa edad,
no se exige dicho consentimiento, salvo que sean actos que
los menores de dieciocho años no puedan realizar sin permiso
paterno.
- Si, además, se pretende
recoger datos con información relativa a los miembros del
grupo familiar o sus características, será necesario que los
titulares de los mismos den su consentimiento.
- Además, los menores de
edad deberán ser informados con un lenguaje claro, que les
sea fácilmente comprensible y se tendrá que garantizar que
se ha comprobado la edad del menor y la autenticidad del
consentimiento prestado.
Ficheros sobre solvencia patrimonial y crédito
Se
introducen importantes novedades en el tratamiento de estos
datos.
Para la
inclusión de estos datos, además de la existencia previa de una
deuda cierta, vencida y exigible que haya resultado impagada, es
necesario que no se haya entablado una reclamación de tipo
judicial, arbitral o administrativa sobre la misma. Además, es
precisa la notificación de la inclusión, impuesta por la Ley
Orgánica de Protección de Datos, de forma que no se incluyan
aquellas deudas respecto de las que no conste la recepción de
dicha notificación.
- En cuanto que la deuda
haya sido pagada, deberán ser cancelados de manera inmediata
los datos relativos a ella. También se prohíbe mantener en
los ficheros al respecto el denominado “saldo cero”.
- Se establece la
responsabilidad del acreedor, o persona que actúe por su
cuenta, si aporta datos inexactos para su inclusión en el
fichero.
- Se regula de forma
detallada el deber de información al deudor. En primer
lugar, deberá ser advertido de su posible inclusión en el
fichero en el momento de suscribir un contrato del que pueda
derivarse una deuda futura. En caso de impago, deberá
informarse al deudor, tanto con carácter previo a la
inclusión del dato en el fichero, como en los treinta días
siguientes a la inclusión.
Regulación de actividades de publicidad y prospección comercial
- La entidad que contrate
con una empresa la realización de una campaña publicitaria
estará obligada a asegurarse de que ésta ha recabado
los datos cumpliendo con todo lo establecido en la Ley.
- Será obligatorio el
consentimiento del afectado para que los responsables de
distintos ficheros puedan cruzar sus datos para promocionar
o comercializar productos o servicios.
- Se regulan las denominadas
“listas de exclusión” o “listas Robinson” para que cualquier
afectado, que obligatoriamente debe ser informado de su
existencia, pueda comunicar al responsable de un fichero que
no desea recibir publicidad. Estas listas serán de obligada
consulta previa por parte de quienes realicen actividades de
publicidad o prospección comercial.
Ante la
creciente externalización de estos servicios de obtención de
datos, se regulan de manera detallada las relaciones entre el
responsable del tratamiento y el encargado del mismo. Así, el
responsable del fichero que encargue esa contratación tendrá que
vigilar que el encargado al que va a contratar reúne las
garantías para cumplir el régimen de protección de los datos, en
especial en cuanto a su conservación y seguridad.
Como regla
general, para que el encargado del tratamiento contratado pueda
a su vez subcontratar algunos de los servicios, debe estar
autorizado por el responsable del fichero o tratamiento. Se
exigen determinados requisitos de actuación por parte del
subcontratista, a fin de que el responsable del fichero
nunca pierda el conocimiento y control acerca de los
tratamientos realizados, en última instancia, en su nombre y su
cuenta.
Tarjeta sanitaria
Para
facilitar la asistencia sanitaria por el Sistema Nacional de
Salud y facilitar la utilización de la tarjeta sanitaria
individual, expresamente se aclara que no es necesario el
consentimiento del interesado para la comunicación de datos
sobre la salud, incluso a través de medios electrónicos, entre
los distintos centros, cuando se realice para la atención
sanitaria de las personas.
Transferencias internacionales de datos
- Se establece un régimen
sistemático de las mismas, con la posibilidad de que el
Director de la Agencia Española de Protección de Datos
declara la existencia de un nivel adecuado de protección en
un Estado respecto del que no exista la Decisión adecuada
por parte de la Unión Europea.
- También se aclaran los
supuestos en se podrán aportar garantías que permitan la
autorización de una transferencia por parte del Director,
incluyendo en este apartado las denominadas “binding
corporate rules”, o códigos internos de los grupos
multinacionales de empresas, cuyo incumplimiento pudiera ser
denunciado ante la Agencia.
- Se introduce la opción de
suspensión o revocación de una determinada transferencia que
hubiera sido previamente autorizada por parte del Director
de la Agencia Española de Protección de Datos cuando se
hubiera dado incumplimiento o falta de garantías.
- Teniendo en cuenta las
sensibilidades que se pudieran dar en la transferencia
internacional de datos, sobre todo cuando pueda implicar la
deslocalización de servicios prestados en territorio
español, se incluirá un procedimiento de autorización de un
trámite de información pública, donde se podrán aportar
alegaciones sobre la legalidad de estas actuaciones.
Sobre la
potestad sancionadora de la Agencia Española de Protección de
Datos, no se modifican las infracciones, sanciones o cuantía de
las multas, pero sí se introduce un límite temporal de doce
meses a la duración de la incoación de un expediente
sancionador. Transcurrido ese plazo sin un procedimiento
sancionador, estas actuaciones previas se entenderá como
caducadas.
Esto
redundará, sin duda, en beneficio de los ciudadanos, ya que
podrán conocer en un periodo de tiempo razonable si su conducta
es o no merecedora de sanción.
Por otra
parte, la tramitación de este proyecto se ha caracterizado por
la continua colaboración entre en el Ministerio de Justicia y la
Agencia Española de Protección de Datos, así como la
más absoluta transparencia, llegando a ser comunicado a más de
sesenta entidades y asociaciones representativas de derechos e
intereses afectados y recibiendo observaciones al respecto de
cuarenta de ellas.
Asimismo,
se han tenido en cuenta los comentarios y observaciones de las
Autoridades Autonómicas de protección de datos que existen en la
actualidad (Madrid, Cataluña y País Vasco). Igualmente se han
estudiado las cuestiones referentes a la Ley Orgánica de
Protección de Datos que durante sus casi ocho años de vigencia
han sido planteadas por distintas instancias y Órganos
Constitucionales, como las Cámaras Parlamentarias, el Defensor
del Pueblo u organismos similares de las Comunidades Autónomas.
