El esperado Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD), ha sido publicado, en el BOE, el 19 de enero de este año, unos meses después de la fecha prevista. Introduce algunas novedades, entre las que destaca la extensión de su ámbito de aplicación a los datos de carácter personal contenidos en soporte físico, que sean susceptibles de tratamiento.
Su entrada en vigor será el 19 de abril de 2008, tres meses después de su publicación.
El Reglamento establece unos plazos para la implantación de las nuevas medidas a los ficheros que ya existan a la fecha de su entrada en vigor, que van desde un año a partir de la entrada en vigor del Real Decreto hasta los dieciocho meses, en función del tipo de fichero y del nivel de seguridad exigido, ampliados hasta dos años para los ficheros no automatizados que contengan datos considerados de nivel alto. Para los ficheros que hayan sido creados con posterioridad al 19 de abril de 2008, deberán tener implantadas las medidas de seguridad del presente Reglamento desde el momento de su creación.
Se facilita la implantación de medidas de seguridad en las empresas al permitir, para aquellos datos referentes al grado de discapacidad o la simple declaración de la condición de invalidez o discapacidad, aplicar medidas de seguridad de nivel básico, cuando su finalidad consista en cumplir con una obligación legal. Igualmente, para datos especialmente protegidos (ideología, afiliación sindical, religión o creencias, origen racial, salud o vida sexual), cuando únicamente se utilicen para el pago de cuotas como asociados o miembros.
El Reglamento concreta los requisitos necesarios para que se considere válido el consentimiento tácito. Así, establece que se debe conceder un plazo de 30 días para manifestar la negativa al tratamiento y se deben proporcionar los medios para que esta negativa pueda prestarse de forma sencilla y gratuita. No se podrá exigir para el ejercicio de acceso, rectificación, oposición y cancelación, la remisión de carta certificada o la utilización de servicios de tarificación adicional. Tampoco se podrán utilizar estos medios para la comentada revocación del consentimiento.
Las medidas de seguridad de nivel alto dispuestas, para el tratamiento de los ficheros no automatizados, consisten en proteger mediante puertas de acceso, bajo llave o sistema equivalente, los archivadores, armarios o aquellos dispositivos en los que se almacenen los ficheros. Aunque, el Reglamento relaja esta exigencia al permitir “medidas alternativas” para los casos en que no sea posible establecer estas medidas físicas.
Se ha aumentado la protección de los datos de menores de edad, prohibiendo la solicitud o tratamiento de los datos de menores de 14 años sin el consentimiento de sus padres. Si son mayores de esa edad, no se exige dicho consentimiento, salvo que sean actos que los menores de edad no puedan realizar sin el permiso paterno. El lenguaje de la información en la recogida debe garantizar que el menor la comprende y dejar constancia de que se ha comprobado su edad y la autenticidad del consentimiento prestado.
Asimismo, se eleva a una protección con medidas de seguridad de nivel alto de aquellos datos personales derivados de la violencia de género, tráfico y localización de los operadores de servicios de comunicaciones electrónicas o que exploten las redes públicas de telecomunicaciones.
Con el nuevo Reglamento, no todos los ficheros de las Administraciones Públicas tendrán la consideración de ficheros públicos. Serán privados los correspondientes a aquellos organismos públicos que no estén vinculados al ejercicio de potestades de Derecho Público (cámaras de comercio, colegios profesionales, cofradías de pescadores…).
Por último, señalar que los productos de software utilizados para el tratamiento de datos personales, se exige que incluyan en su descripción el nivel de seguridad con el que permiten proteger los datos, según los niveles estipulados en el Reglamento.