martes, 8 de enero de 2008

Reglamento de Medidas de Seguridad, que desarrolla la Ley Orgánica de Protección de Datos de Carácter Personal



El pasado viernes 21 de diciembre de 2007 en el último Consejo de Ministros del año se aprobó el tan esperado nuevo Reglamento de Medidas de Seguridad, que desarrolla la Ley Orgánica de Protección de Datos de Carácter Personal, que entrará en vigor a los tres meses de su publicación en el BOE (aún pendiente a 8 de enero de 2008).
A partir de ahora, ya no basta con aplicar las recomendaciones de la AEPD en el tratamiento de los datos en soporte papel, ni son suficientes las medidas de seguridad que hasta la fecha se han ido aplicando.
Esta norma no se limita sólo a desarrollar el texto de la propia Ley Orgánica, sino que se ha aprovechado para regular determinadas cuestiones que, desde la entrada en vigor de la LOPD, suscitaron dudas interpretativas y prácticas, incorporando algunas resueltas a través de resoluciones, informes y notas de la Agencia Española de Protección de Datos (AEPD).

El Reglamento de la LOPD deroga tanto el anterior Real Decreto 994/1999, de Medidas de Seguridad (conocido como RMS) como el Real Decreto 1332/1994, normas que fueron aprobadas al amparo de la antigua Ley Orgánica 5/1992, del Tratamiento Automatizado de Datos Personales (LORTAD) y que, una vez aprobada y publicada la LOPD, conservaron su vigencia.

Por otro lado, el Reglamento de la LOPD no se limita exclusivamente a regular las medidas de seguridad, como hacía el derogado RMS, sino que también se regulan cuestiones de orden jurídico y procedimentales. Por ello, el Reglamento de la LOPD es algo más que un nuevo reglamento de medidas de seguridad.

Cabe destacar que uno de los objetivos del nuevo desarrollo reglamentario es reforzar la idea de protección de los derechos de los titulares de los datos, habiéndose endurecido el cumplimiento de algunos requisitos para poder llevar a cabo el tratamiento de datos personales. Entre otros, cabe destacar los siguientes:
Forma de recabar el consentimiento tácito y el consentimiento para fines distintos a los directamente relacionados con la relación contractual (principalmente, para fines comerciales).
Conservación, por el Responsable del Fichero, de un medio de prueba que permita acreditar el cumplimiento del deber de información.
Flexibilización de la forma de ejercer los derechos de acceso, rectificación, cancelación y oposición (A.R.C.O).
Además de las anteriores novedades introducidas en el Reglamento de la LOPD, cabe destacar, asimismo, las siguientes:
Modificación de las tipologías de datos y/o ficheros y los niveles de seguridad correspondientes a los mismos.
Regulación de las medidas de seguridad respecto de los ficheros no automatizados (soporte papel).
Se completa la regulación de las relaciones de encargado del tratamiento, con referencia a las subcontrataciones, la conservación de datos y las medidas de seguridad que deben ser adoptadas por los encargados del tratamiento.
Regulación complementaria de los tratamientos con fines de publicidad y prospección comercial, así como de los ficheros de solvencia patrimonial y de crédito.
Regulación detallada de los Códigos Tipo.
Regulación de diferentes procedimientos tramitados por la AEPD.
(...)
El Reglamento de la LOPD prevé, asimismo, un régimen transitorio de aplicación respecto de la adopción e implantación de las medidas de seguridad.

Los plazos aprobados son:
Con relación a los ficheros automatizados existentes en la fecha de su entrada en vigor, de entre 12 y 18 meses, en función del tipo de fichero y medida de seguridad de que se trate.
Con relación a los ficheros no automatizados existentes en la fecha de su entrada en vigor, los plazos son de 12, 18 y 24 meses para la implantación de las medidas de nivel básico, medio y alto, respectivamente.
Respecto de los ficheros, automatizados y no automatizados, creados con posterioridad a la entrada en vigor, deberán tener implantadas todas las medidas de seguridad aplicables desde el momento de su creación.

No hay comentarios: