• No se han encontrado resultados

Desde su entrada en vigor, la

N/A
N/A
Info
Descargar
Protected

Academic year: 2021

Share "Desde su entrada en vigor, la"

Copied!
5
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 5 página )

Texto completo

(1)

Borrador del reglamento de

desarrollo de la LOPD

EL BORRADOR DEL REGLAMENTO DE DESARROLLO YA DISTINGUE LOS TRATAMIENTOS

EN SOPORTE PAPEL DE LOS TRATAMIENTOS AUTOMATIZADOS, EXIGIENDO MEDIDAS DE

SEGURIDAD ESPECÍFICAS PARA LOS DOCUMENTOS EN PAPEL

Protección de Datos de Carácter Perso-nal, más conocida como LOPD, no ha sido desarrollada por ningún regla-mento, a diferencia de la ya derogada Ley Orgánica 5/1992 de 29 de octu-bre, de regulación automatizada de los datos de carácter personal – LORTAD-que fue desarrollada en parte por el Real Decreto 1332/94, de 20 de junio.

Sin embargo, a lo largo del pasado año 2005, la Agencia Española de Pro-tección de Datos en colaboración con el Ministerio de Justicia, se encuentran manos a la obra trabajando en el con-tenido del tan esperado Reglamento de desarrollo de la LOPD cuyo texto final parece que entrará en vigor du-rante la primavera del año recién es-trenado.

Hasta el momento, de este regla-mento de desarrollo de la LOPD, se

conoce un primer borrador dónde se incluyen disposiciones generales y aspectos relativos a los principios de protección de datos, se desarrollan los derechos de acceso, rectificación, can-celación y oposición de las personas físicas, se regulan las medidas de se-guridad en el tratamiento de datos de carácter personal y se articulan aspec-tos referentes a las transferencias internacionales de datos.

Aunque todavía no disponemos de un texto definitivo, en las siguientes líneas, se destacan las principales no-vedades incluidas en este borrador del reglamento de desarrollo de la LOPD conocido hasta la fecha, respecto a la

vigente normativa en materia de trata-miento de datos de carácter personal y que, con carácter general, afectan a la organización interna de cualquier em-presa que para el desarrollo habitual de su actividad lleve a cabo el tratamiento de datos de carácter personal.

Disposiciones generales y

principios

El primer aspecto a destacar, dentro de las disposiciones generales, es que el ámbito de aplicación del citado bo-rrador del reglamento de desarrollo, aparte de los datos de carácter perso-nal registrados en cualquier soporte tal y como establece la LOPD, abarca los datos de las personas físicas que de-penden o están relacionadas con las personas jurídicas para las que pres-tan sus servicios.

En segundo lugar, respecto a los conceptos regulados en el citado bo-rrador del reglamento de desarrollo, se define al responsable del fichero o tratamiento como la persona que deci-de sobre la finalidad, uso, y contenido del tratamiento, independientemente de que materialmente realice o no este tratamiento, así como las perso-nas integrantes de entes sin personali-dad jurídica, que traten datos de ca-rácter personal.

D

esde su entrada en vigor, la vigente Ley Orgánica 15/ 1999, de 13 de diciembre, de Gonzalo Martínez Flechoso ABOGADO - CISA MARZO - ASESORES

La Agencia Española de

Protección de Datos y el

Ministerio de Justicia se

encuentran manos a la

obra trabajando en el

contenido del Reglamento

de desarrollo de la LOPD

(2)

Asimismo, se incorpora un nuevo término referido al Tercero, entendido éste como la persona distinta del res-ponsable del fichero o tratamiento, del encargado del tratamiento y de las personas dependientes y bajo la auto-ridad del responsable y del encargado del tratamiento.

Por último, a diferencia de la actual normativa dónde se considera transfe-rencia a cualquier movimiento interna-cional de datos fuera del territorio español, el borrador del reglamento de la LOPD define la Transferencia Inter-nacional, como la transmisión de datos fuera del Espacio Económico Europeo.

Por lo que se refiere a los principios de protección de datos, el borrador del reglamento de desarrollo comienza con el de calidad de los datos, obligando a rectificar o cancelar en el plazo de diez días desde que se tenga conocimiento

reglamento de desarrollo, regula los mecanismos tendentes a recabar los consentimientos para el tratamiento y la cesión de los datos; en concreto, para obtener el consentimiento tácito, se obliga al responsable a facilitar un mecanismo sencillo y gratuito a través del cual el afectado pueda manifestar su negativa al tratamiento de los datos, como por ejemplo un envío

prefranqueado o un teléfono gratuito, y un plazo de treinta días para contestar.

Y, finalmente, en cuanto al resto de principios, se establece la posibilidad de subcontratación de servicios que impliquen un acceso a los datos de carácter personal del responsable por parte del encargado del tratamiento. Subcontratación que podrá realizar el encargado del tratamiento siempre que tenga poder suficiente otorgado por el responsable del tratamiento, y de la inexactitud, sin precisarse cuales

son los medios por los que el responsa-ble del tratamiento conoce que datos

son inexactos, y garantizan la veraci-dad de la inexactitud.

Por otra parte, con relación al princi-pio del consentimiento, el borrador del

No obstante, una vez

cancelados los datos, se

permite mantener unos

datos mínimos para

identificar a los

interesados

Pr Pr Pr Pr

Protección integral de los Datosotección integral de los Datosotección integral de los Datosotección integral de los Datosotección integral de los Datos de Carácter Personal.

de Carácter Personal. de Carácter Personal. de Carácter Personal. de Carácter Personal.

(3)

se realice en nombre y por cuenta de dicho responsable. Dicha

subcontratación de servicios también podrá llevarse a cabo sin necesidad de apoderamiento, siempre y cuando en el contrato suscrito entre el responsa-ble y el encargado del tratamiento, se establezcan los servicios objeto de subcontratación, la identidad del subcontratista y demás obligaciones impuestas por el citado borrador de reglamento, para el acceso a datos por cuenta de terceros.

Acceso, rectificación,

cancelación y oposición

Otro de los aspectos novedosos del citado borrador del reglamento relacio-nado con los derechos de las personas físicas es la regulación del derecho de oposición, que si bien se menciona tanto en la vigente LOPD como en la Instrucción dictada por la Agencia Es-pañola de Protección de Datos en ma-teria de derechos, hasta la fecha se

encuentra pendiente de desarrollo, sin existir un procedimiento que establez-ca cuando y como se puede ejercitar este derecho.

En este sentido, y según lo

dispues-to en el citado borrador de reglamen-to, el derecho de oposición podrá ejer-citarse cuando no se requiera el con-sentimiento para el tratamiento de los datos, cuando se trate de ficheros

cuya finalidad sea la publicidad y pros-pección comercial, y cuando el trata-miento tenga por finalidad la adopción de una decisión personal automatizada sobre aspectos de la personalidad. Como en el resto de derechos, el ejer-cicio del derecho de oposición, deberá realizarse ante el responsable del fi-chero o tratamiento quién, si la resolu-ción es satisfactoria, tendrá que resol-ver en el plazo de diez días admitiendo o no el derecho de oposición, y de-biendo excluir del fichero los datos sobre los que se haya ejercido el dere-cho de oposición.

Cuando los ficheros sobre los que se ejercita el derecho de oposición sean de publicidad y prospección comercial, a la simple solicitud de los interesados el responsable deberá cancelar los da-tos, y deberá facilitar un medio sencillo y gratuito para que los interesados se opongan a dicho tratamiento, sin poder el responsable exigir a aquellos el envío de cartas certificadas o procedimientos similares.

No obstante, una vez cancelados los datos, se permite al responsable man-tener unos datos mínimos imprescindi-bles para identificar a los interesados y con ello no enviarles publicidad en futuras campañas comerciales, consti-tuyéndose así las denominadas Listas Robinson.

Para terminar con el apartado rela-tivo a los derechos de acceso, rectifi-cación, cancelación y oposición, en lo referido a las historias clínicas, el bo-rrador del reglamento de desarrollo, se remite a lo establecido en la Ley 41/ 2002, de 14 de noviembre, básica reguladora de la autonomía del pa-ciente y de derechos y obligaciones en materia de información y documenta-ción clínica y en la normativa autonó-mica reguladora de esta materia aun-que, a este respecto, es importante destacar que la referida Ley 41/2002, únicamente contempla el derecho de acceso, sin especificar las condiciones

El borrador abarca los

datos de las personas

físicas que dependen o

están relacionadas con

las personas jurídicas

para las que prestan sus

servicios

Der Der Der Der Derechos deechos deechos deechos deechos de acceso, acceso, acceso, acceso, acceso, rrrrrectificación,ectificación,ectificación,ectificación,ectificación, cancelación y cancelación y cancelación y cancelación y cancelación y oposición. oposición. oposición. oposición. oposición.

(4)

y plazos para su ejercicio y contesta-ción por el responsable.

Medidas de seguridad

Es precisamente el apartado de medidas de seguridad dónde el borra-dor del reglamento de desarrollo reco-ge los cambios más significativos con relación a la vigente normativa en esta materia.

En primer lugar, respecto a los nive-les de seguridad que siguen siendo el básico, medio y alto, se suprime el nivel intermedio entre el básico y el medio para los conjuntos de datos que permitan obtener la personalidad del individuo, y tales datos quedan incor-porados directamente al nivel medio de seguridad. Dentro de este nivel medio también se engloban los datos relativos a menores de catorce años y a víctimas de violencia de género. A título de ejemplo, todos los colegios, escuelas, guarderías, etc, con alumnos menores de 14 años, vendrán obliga-das a implantar mediobliga-das de seguridad del nivel medio.

Mayor complejidad surge con los datos de las víctimas de violencia de género y la obligación de implantar sobre los mismos medidas de seguri-dad de nivel medio, ya que la dificul-tad estriba a la hora de determinar si las víctimas de violencia de género tienen esta condición cuando se haya dictado sentencia firme, o simplemen-te por una denuncia, o cuando se ha-yan adoptado medidas cautelares para proteger a la víctima, o si la sentencia dictada es recurrida.

En segundo lugar, respecto al nivel alto de seguridad, el borrador del re-glamento de desarrollo incluye dos importantes cambios: uno, la inclusión dentro del nivel de seguridad alto, de los datos de las operadoras que pres-ten servicios de comunicaciones elec-trónicas o exploten redes públicas de comunicaciones electrónicas respecto a

los datos de tráfico o localización, tam-bién los datos y claves necesarios para emitir los certificados digitales para realizar firma electrónica, salvo los datos de naturaleza pública de dichos certificados; y otro, como excepción de los datos de ideología, afiliación sindical, religión, creencias y salud, que siguen encuadrándose dentro del nivel alto, cuando estos datos se tra-ten con la única finalidad de gestión y cumplimiento de las obligaciones por el retenedor, o la transferencia

dineraria a las entidades de las que los afectados sean asociados o miembros, se podrán adoptar sobre ellos las me-didas de nivel básico.

De esto último, parece desprender-se que la intención del legislador es excluir del nivel de seguridad alto tan-to los datan-tos de salud que el cien por cien de las empresas que tienen traba-jadores a su cargo mantienen, simple-mente, con la finalidad de calcular las retenciones para el pago de rentas, como los datos de afiliación sindical para el descuento de la cuota sindical.

Sin embargo, a pesar de la inten-ción del legislador, hay todavía un gran número de empresas que están obligadas a implantar medidas de se-guridad de nivel alto sobre determina-dos datos que son objeto de

trata-Cuando los ficheros sean

de publicidad y

prospección comercial el

responsable deberá

facilitar un medio sencillo

y gratuito para que los

interesados se opongan a

dicho tratamiento

miento, como por ejemplo, para cum-plir con la normativa en materia de prevención de riesgos laborales.

En tercer lugar, una nueva exigen-cia de seguridad para el responsable del tratamiento que se contempla en el borrador del reglamento de desarro-llo, es la obligación de adoptar medi-das para limitar la posibilidad de acce-der a datos a las personas que si bien no deben acceder a dichos datos, du-rante la prestación de los servicios contratados tienen la posibilidad de acceder a los mismos. Es el caso, por ejemplo, de contratación de servicios de limpieza o mantenimiento en cuyos contratos de servicios deberán incor-porarse las correspondientes cláusulas relativas a dicha prohibición.

En cuarto lugar, el borrador del reglamento de desarrollo ya distingue los tratamientos en soporte papel de los tratamientos automatizados, exi-giendo medidas de seguridad específi-cas para los documentos en papel.

Así, para el nivel básico, se exige el almacenamiento de los documentos con datos de carácter personal en lu-gares con mecanismos que obstaculi-cen su apertura, medida ésta que a priori no plantea mayores problemas de implantación; también se exige que se identifique el tipo de información que contienen los documentos, y que éstos sean inventariados y almacena-dos en lugares controlaalmacena-dos por perso-nal autorizado, medida ésta que, sin embargo, si resultará más costosa de implantar, igual que otra medida de seguridad del nivel básico para los documentos, los «criterios de archi-vo», donde se obliga al responsable del fichero a establecer los procedi-mientos que deban seguirse para los ficheros no automatizados, dirigidos a garantizar la correcta conservación de los documentos, la localización y con-sulta de la información y posibilitar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.

(5)

NIVEL ALTO DE SEGURIDAD

nivel alto de seguridad, el borrador del reglamento de desarrollo obliga a la realización de un registro de accesos para los fiche-ros no automatizados, donde una persona de-signada a quién se le solicite documentos, deberá registrar estos

accesos, conservándose este registro por un mínimo de dos años. Por otro lado, las áreas donde se encuentren los documentos con datos de carácter personal, debe-rán estar protegidas con puertas con llave o dispositi-vo equivalente, debiendo permanecer cerradas cuan-do no sea preciso el acceso. Y si esta medida no fuese

E

n sexto lugar, por lo que se refiere al

posible, se elaborará un informe por el responsable de seguridad al responsable del fichero con medidas alternativas, dotándose a los armarios y archivadores donde se almacenen los datos con sistemas que obs-taculicen al acceso. Igual-mente, cuando los docu-mentos no se encuentren archivados en el lugar

esta-blecido, ya sea antes o después de su archivo, la información deberá ser custodiada para impedir el acceso a personas no autorizadas, por la perso-na que se encuentre al cargo de la misma, bien porque haya sido genera-do por ésta o dicha infor-mación haya sido solicita-da del registro de accesos.

En quinto lugar, con relación a las medidas de seguridad de nivel medio, se destaca por una parte, que el docu-mento de seguridad deberá contener los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documen-to. Y por otra parte, que la medida de seguridad del registro de accesos que se incluye actualmente para el nivel alto, en el borrador del reglamento de desarrollo pasa a incorporarse como una medida de seguridad del nivel medio, con la excepción de que no será necesario el registro de accesos cuando el responsable del fichero o tratamiento garantice que sólo él tiene acceso y trata los datos personales, quedándo-nos la duda de si se refiere este excep-ción a «él» como persona física respon-sable del fichero o tratamiento, o tam-bién a «él» como persona jurídica responsable del fichero o tratamiento.

Asimismo, en este nivel medio, se exige que los datos almacenados en dispositivos portátiles o tratados fuera de los locales del responsable del fichero, estén cifrados. Y, en cuanto a las medi-das para ficheros no automatizados, destacar que los lugares donde se en-cuentren estos ficheros deben estar

do-En el nivel medio se exige

que los datos almacenados

en dispositivos portátiles

o tratados fuera de los

locales del responsable del

fichero estén cifrados

tados de mecanismos que impidan la destrucción o no recuperación de la infor-mación, como dispositivos ignífugos, equipamiento contra incendios etc.

En cuanto al copiado y reproducción de documentos, el nivel medio exige para los datos en ficheros no automa-tizados, que se establezcan procedi-mientos para que sólo las personas

autorizadas puedan realizar copias de documentos, y se arbitren controles para evitar que por la generación de copias se produzcan accesos no autori-zados. Medida de seguridad ésta que podrá ser, en mayor o menor medida,

implantada en cuanto a la generación de copias por medio de impresoras, pero que se hace complicada su im-plantación en el uso de fotocopiadoras.

Finalmente, en cuanto a las medidas de nivel alto para los ficheros no auto-matizados, el borrador del reglamento de desarrollo obliga que para el trasla-do de la trasla-documentación se atrasla-dopten medidas dirigidas a impedir el acceso o manipulación de la información que se traslade, y a establecer controles que permitan detectar si se ha producido algún acceso no autorizado.

En definitiva, a través de este bo-rrador de reglamento de desarrollo de la LOPD y su versión final, y reitera-mos borrador, porque sobre ésta y otras versiones posteriores está traba-jando la Agencia Española de Protec-ción de Datos junto con el Ministerio de Justicia para la aprobación de un texto definitivo, esperamos se aclaren las distintas interpretaciones que se desprenden tanto del contenido de la LOPD como del resto de normas vigen-tes sobre protección de datos, así como de la actual doctrina y jurispru-dencia dictada por los Órganos compe-tentes en materia de protección de datos personales.

Referencias

Descargar ahora ( PDF - 5 página - 411.37 KB )

Documento similar

MDCG 2022-18

If certification of devices under the MDR has not been finalised before expiry of the Directive’s certificate, and where the device does not present an unacceptable risk to health

legacy devices

In addition to the requirements set out in Chapter VII MDR, also other MDR requirements should apply to ‘legacy devices’, provided that those requirements

cambios significativos

The notified body that issued the AIMDD or MDD certificate may confirm in writing (after having reviewed manufacturer’s description of the (proposed) change) that the

EL CEDULARIO DE LA NUEVA GALICIA EN EL DERECHO INDIANO *

Cedulario se inicia a mediados del siglo XVIL, por sus propias cédulas puede advertirse que no estaba totalmente conquistada la Nueva Gali- cia, ya que a fines del siglo xvn y en

ODAS, || FERNANDO VIL f§

que hasta que llegue el tiempo en que su regia planta ; | pise el hispano suelo... que hasta que el

UNA EUROPA A LA MEDIDA DE JAPÓN: UN ESTUDIO SOBRE LA CONSTRUCCIÓN DEL DISCURSO JESUITA EN LA MISIÓN JAPONESA DURANTE LA SEGUNDA MITAD DEL SIGLO XVI

Para ello, trabajaremos con una colección de cartas redactadas desde allí, impresa en Évora en 1598 y otros documentos jesuitas: el Sumario de las cosas de Japón (1583),

III \v~^X ^WVN

En junio de 1980, el Departamento de Literatura Española de la Universi- dad de Sevilla, tras consultar con diversos estudiosos del poeta, decidió propo- ner al Claustro de la

y el de la de es al del a los que se la de la En de la es uno de los o en el de los (*) Y DE LA Y

En cuarto lugar, se establecen unos medios para la actuación de re- fuerzo de la Cohesión (conducción y coordinación de las políticas eco- nómicas nacionales, políticas y acciones