Borrador de Reglamento de la LOPD

Borrador del Reglamento de la LOPD

La Ley 15/99, Orgánica, de Protección de Datos de Carácter Personal o, entre nosotros, la más conocida como LOPD, está ahora en fase de confección de lo que, si se aprueba, será su futuro reglamento, lo cual sí que se echa en falta, aunque para ser sinceros – pero ello sería objeto de otro artículo -, más sensato que desarrollar la actual LOPD sería sustituirla o modificarla, y no limitarse a desarrollar algo que, ya, en su origen, nace defectuoso.

En este breve artículo se comentarán algunas de las notas más a destacar en dicha nueva norma, aunque sólo en lo referente al ámbito de las medidas de seguridad, contenidas hoy en su reglamento específico.

Documentación y transmisión de documentos

El borrador de reglamento de la LOPD hace hincapié en dejar bien claro lo amplísimo de dicho concepto, pues no sólo alude a los escritos, o sea, al papel, sino a conceptos como señal, gráficos, sonidos, dibujos, películas, fotografías, cintas magnéticas o mecanográficas, cassettes, dispositivos externos de almacenamiento, discos, CD-Rom, DVD, o cualquier medio físico en el que se haya registrado información. Como se ve, el enfoque es amplísimo, cayendo dentro de sí prácticamente cualquier cosa, siempre que albergue en su interior información.

En lo referente al concepto de transmisión de documentos, lo define como cualquier traslado, comunicación, envío, entrega o divulgación de la información contenida en el mismo. Como se ve, cabe aquí la mera entrega de documentos físicos o en papel, como la mera entrega de un sobre, entendiéndose por tal acto que estaríamos ante una transmisión de documentos.

Niveles de medidas de seguridad

Como todos sabemos, el reglamento actual establece unas medidas u otras según el nivel de sensibilidad de los datos que estemos tratando. Pues bien, ahora se amplía la casuística actualmente existente. Por ejemplo, en el nivel medio se añade ahora el de los datos de menores de 14 años y el de las víctimas de violencia de género. En relación a este último supuesto, cabe observar que cuando dicha víctima lo haya sido también físicamente, y en tanto en cuanto que dicho aspecto físico revelaría un dato de salud, estaríamos ante el nivel alto, más que el medio, situación esta última – desgraciadamente, por la violencia generada en dicho tipo de situaciones – que será la más habitual al tratarse datos sobre la salud.

Ahora, y como otra de sus novedades, se catalogarán como de nivel alto los datos referentes a aquellos de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público, o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico o localización (en esto parecer estar pensando en una de las obligaciones de la LSSICE actual, aunque realmente no en vigor aún al faltar el reglamento que la detalle).

A su vez, considera también de nivel alto aquellos datos y claves necesarios para emitir certificados digitales que permitan realizar firma electrónica, excepto aquellos que por su propia naturaleza deban ser públicos (en esto último de públicos parece aludir a las llamadas claves públicas usadas en los sistemas de firma electrónica asimétricos o también llamados de clave pública).

Por último, digamos que baja un poco el listón”” al decir que los datos (que ahora son de nivel alto) referentes a ideología, afiliación sindical, religión, creencias, y a la salud, cuando se traten únicamente con la finalidad de efectuar la gestión de obligaciones por el retenedor, o para la transferencia dineraria a las entidades de las que los afectados sean asociados o miembros, se podrán tratar con las medidas de seguridad de nivel básico, omitiendo en tal caso la aplicación de las de nivel alto, muchísimo más exigentes. Casos habituales en los que está pensando el legislador son aquellos referentes a confección de nóminas, por ejemplo, o a percepción de cantidades por parte del trabajador cuando su baja obedezca a motivos de enfermedad.

Encargo de tratamiento

Con este nombre, y regulado en el artículo 12 de la LOPD actual, se regula una figura que se da cuando un tercero, por cuenta del responsable de los datos, accede a los mismos debido a que le presta un servicio para el cual está contratado. Ejemplo típico y habitual de ello es el consistente en el tercero que nos confecciona las nóminas. En tal caso es menester regular tal relación en un contrato, llamado de encargo de tratamiento. La novedad, ahora, es que de forma expresa se indica que las medidas de seguridad a aplicar por dicho tercero han de detallarse en tal documento. Realmente, y por lo menos para el que ahora escribe estas líneas, tal novedad no lo es tanto, puesto que de la LOPD se desprende tal obligatoriedad, aunque no se puede negar que ni la misma Agencia Española de Protección de Datos ni muchos profesionales opinan lo mismo. Interpretaciones aparte, lo cierto es que, si este reglamento se aprueba, la cuestión estará zanjada: habrá que detallar dichas medidas de seguridad (lo cual venía haciendo este despacho, anticipándose así al futuro).

 

Autor: Javier Hernández Martínez, abogado

Mail: javier@proteccionlegal.com

Web: www.proteccionlegal.com

Tlf.: 678.97.00.64

Se permite su uso y reproducción siempre y cuando se citen: Autor, mail y url, sin modificar su contenido, o en caso de citar parte de él, evitando distorsionar su sentido.

Bajo licencia Creative Commons: