El nuevo reglamento de la ley de protección de datos de carácter personal

Después de más de dos años y de haber pasado por varios borradores, se publicó en el Boletín Oficial del Estado del sábado 19 de enero de 2008 el texto definitivo del nuevo reglamento de protección de datos.
Previamente a abordar las diferentes novedades del reglamento conviene aclarar que el mismo, a diferencia de lo que ocurriera con el RD 994/99, (y que ha sido derogado) no es un reglamento de medidas técnicas y organizativas sino un reglamento de desarrollo de la LOPD.

El reglamento desarrolla tanto aspectos relativos a medidas de seguridad como cuestiones generales (tales como ámbito de aplicación, definiciones), principios de protección de datos, derechos de las personas, y trasferencias internacionales de datos.
¿Cuáles son las principales novedades?
- La norma extiende su ámbito de aplicación a los ficheros y tratamientos no automatizados (en papel) y fija criterios sobre medidas de seguridad de los mismos.

- Se aumentan de forma considerable el número de definiciones, introduciéndose algunas que habían sido objeto de consultas, informes, recomendaciones e incluso de sentencias.

- Se regula un procedimiento que garantice a cualquier persona, antes de consentir que sus datos sean recogidos y tratados, tener pleno conocimiento de la utilización que sus datos vayan a tener.

- Para el ejercicio de los derechos de los interesados, se exige de manera expresa al responsable de los ficheros que conceda al interesado un medio sencillo y gratuito para su ejercicio.

- Pasan de un nivel básico de seguridad al nivel medio los ficheros de las mutuas de accidentes de trabajo y de enfermedades profesionales de la Seguridad Social.

- También pasan al nivel medio de seguridad los ficheros que contengan datos de carácter personal sobre características o personalidad de los ciudadanos que permitan deducir su comportamiento.

- Desde el nivel básico de seguridad pasan a un nivel alto todos los datos derivados de la violencia de género.

- Sobre éstos y los restantes datos personales incluidos en el nivel alto de seguridad se incorpora la obligación de cifrar estos datos si se encuentran almacenados en dispositivos portátiles.

- Por otra parte, se establecen ciertas especialidades para facilitar la implantación de medidas de seguridad, que incidirán sobre todo en el ámbito de las Pymes. Por ejemplo, bastará con aplicar las medidas de seguridad de nivel básico, en lugar de las de nivel alto, respecto a datos especialmente protegidos cuando sólo se utilicen para el pago de cuotas a las entidades de las que los titulares de los datos sean miembros. Lo mismo se permite respecto a los datos referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez, cuando tengan por única finalidad cumplir una obligación legal. Esto es particularmente aplicable a los datos relativos a la afiliación sindical o respecto a la salud en los ficheros de nóminas.

- El Reglamento concede una atención especial a estos dispositivos de almacenamiento y custodia de documentos, con el fin de que se garantice la confidencialidad e integridad de los datos que contienen.

- Se exigirá la aplicación de unos criterios de archivo que garanticen la correcta conservación de los documentos y el ejercicio del derecho de oposición al tratamiento, rectificación y cancelación de los datos.

- Los armarios, archivadores y demás elementos de almacenamiento, deberán disponer de mecanismos adecuados de cierre que impidan el acceso a la documentación por personas no autorizadas. Mientras esa documentación no esté archivada, la persona que esté a su cargo deberá custodiarla, impidiendo que acceda a ella quien no esté autorizado.

¿Cuáles son los plazos para la implantación de las medidas?
El nuevo reglamento entra en vigor el 19 de abril de 2008. A partir de esta fecha y respecto de los ficheros automatizados que existieran en la fecha de entrada en vigor del presente Real Decreto, la implantación de las medidas adicionales no previstas en el anterior reglamento, deberán implantarse en el plazo de un año desde la entrada en vigor del nuevo. Este plazo se amplía para determinados ficheros (Mutuas, Violencia de Género, etc.) hasta dieciocho meses.

Para los ficheros no automatizados que existieran a la fecha de entrada en vigor, (y cuyo plazo para inscribirlos en la Agencia de Protección de Datos finalizó el 24 de Octubre de 2007) se fijan plazos de un año, dieciocho meses y dos años a partir de la fecha de entrada en vigor del nuevo reglamento, para la implantación de las medidas de seguridad los niveles básico, medio y alto, respectivamente.