Una gravosa norma de protección de datos
La reciente aprobación y entrada en vigor del esperado reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante RLOPD), permite clarificar muchos aspectos de la ley cuya interpretación hasta la fecha quedaba al arbitrio de la Agencia Española de Protección de Datos (AEPD) y la posterior revisión de los tribunales. Las principales novedades introducidas por el reglamento se refieren al tratamiento de los archivos no automatizados y la comunicación, cesión y transferencias internacionales de datos.
Desde un punto de vista de mero coste, el reglamento resultará gravoso al establecer un catálogo de nuevas obligaciones cuyo control y aplicación por parte de las empresas supondrá una importante carga en el día a día de su actividad, pues no sólo aumentan los costes de adaptación y regularización sino que, además, según el tipo de ficheros que se manejen y dadas las obligaciones de diligencia implícitas en el reglamento, los responsables de los ficheros estarán obligados a contar con personal interno o externo dedicado casi exclusivamente a velar por el cumplimiento de dicha regulación y las medidas de seguridad aplicables en cada caso.
Muy someramente, podemos destacar los siguientes aspectos desarrollados por la nueva regulación:
l La obtención y comunicación de datos: el nuevo reglamento establece la obligación por parte del responsable de los ficheros que contienen datos objeto de protección de poner a disposición del afectado nuevos métodos expresos, gratuitos y acreditables para obtener su consentimiento y facilitar sus derechos de acceso, rectificación, cancelación y oposición.
l El tratamiento de los archivos de datos no automatizados o parcialmente automatizados pasa a estar sometido a la normativa de protección de datos.
l El encargado del tratamiento es objeto de un nuevo estatuto jurídico que regula aspectos de la relación entre el responsable y el encargado del tratamiento, a destacar principalmente la atribución al responsable de una obligación de diligencia debida a la hora de escoger un encargado del tratamiento que cumpla con las garantías suficientes.
l La cesión de datos es objeto también de un profundo desarrollo, estableciendo por ejemplo nuevos deberes de información al afectado cuando sus datos sean objeto de cesión a terceros.
l Finalmente, las transferencias internacionales de datos, que hasta la fecha no gozaban de la importancia que se merecen dentro de la regulación de la LOPD, han sido dotadas de una nueva regulación dirigida fundamentalmente a garantizar la seguridad jurídica de las mismas, confiriendo al director de la AEPD la prerrogativa legal de determinar los Estados que presentan un nivel adecuado de protección, quienes no precisarán la obtención de autorización de la AEPD para efectuar la cesión. A destacar también en este apartado la norma contenida en el artículo 70 del RLOPD que establece la obligación de fijar un catálogo vinculante de reglas y normas internas de conducta entre empresas de un mismo grupo empresarial, que garanticen los principios básicos de la regulación española en la materia cuando se produzca la cesión internacional de datos entre empresas del grupo.
Siendo realistas a la par que precavidos, augurar un gran éxito de aplicación al nuevo RLOPD sea quizá un poco aventurado por nuestra parte. No hay más que dar un repaso a las estadísticas sobre aplicación de la normativa de la LOPD de 1999, y a nuestra propia experiencia como profesionales dedicados al asesoramiento en esta materia, para darnos cuenta que un sector considerablemente amplio de las empresas españolas, especialmente aquél conformado por las pymes, ha sido hasta ahora poco cuidadoso, por no decir despreocupado, en lo referente al cumplimiento de la normativa vigente en esta materia.
Cabe destacar, no obstante, el creciente control de la AEPD en lo referente al cumplimiento de la normativa, reforzado en el nuevo reglamento, y la importante capacidad sancionadora de dicho organismo, motivo por el que recordamos y recomendamos la imperativa necesidad de adoptar las medidas legales y técnicas necesarias para cumplir con la citada normativa.
Arturo González de Vega / Robert Madueño. Asociados de Bufete B. Buigas