El Reglamento aporta seguridad jurídica a quienes están obligados a observarlo. La norma viene a cubrir ocho años de espera y busca el efectivo cumplimiento de las exigencias derivadas de la LOPD. Transcurridos tres meses desde su publicación en el BOE, el 19 de abril de 2008 entra en vigor el Reglamento de desarrollo de la LOPD. Aprovechando esta circunstancia repasaremos el panorama actual en materia de protección de datos.
Ha levantado mucha expectación entre las entidades públicas y privadas el Real Decreto 1720/2007 por el que se aprueba el Reglamento de desarrollo de la LO 15/1999 de protección de datos de carácter personal (RDLOPD). Por doquier, se suscitan preguntas como ¿Qué novedades introduce? ¿Cómo debemos proteger ahora los ficheros manuales o no automatizados? ¿Es válido, en protección de datos, el consentimiento prestado por un menor, mayor de 14 años, para el tratamiento de sus datos? ¿Un encargado del tratamiento puede subcontratar parte de la prestación del servicio encargado por el responsable del fichero? Éstas y otras cuestiones encuentran su respuesta en la norma que presentamos.
Poco a poco el ciudadano, como titular de los datos, y las entidades públicas y privadas, como responsables de los ficheros, van tomando conciencia de "eso de la protección de datos". Llama la atención que en la era de la Sociedad de la Información, todavía sean muchos los que ante el planteamiento de la necesidad de cumplir con la normativa de protección de datos te preguntan: "¿pero a mí me afecta?, yo no tengo datos".
El avance de las nuevas tecnologías permite realizar tratamientos masivos de información, lo que trae consigo la necesidad de custodiar aquella de carácter personal que manejamos con más cuidado y diligencia. La Administración se dirige hacia la era de la Administración electrónica, del poder prestar los servicios a través de medios electrónicos a deber hacerlo por estos medios. Esto es, el ciudadano pasa a tener derecho a acceder a los servicios públicos por medios electrónicos. Las entidades privadas cada vez más buscan su presencia en la Red trasladando a ella la oferta de sus productos y servicios. Y, en tercer lugar, los ciudadanos nos estamos acostumbrando a realizar nuestras gestiones a través de Internet y otros medios electrónicos.
Ante esta realidad, la concienciación en materia de protección de datos no se puede quedar atrás y este Reglamento, aunque ha tardado mucho en ver la luz, tiene que contribuir a este objetivo. El Reglamento comparte con la LOPD la finalidad de hacer frente a los riesgos que para los derechos de la personalidad pueden suponer el acopio y tratamiento de datos personales. El objetivo del Reglamento es doble. Por un lado, desarrollar los mandatos contenidos en la Ley Orgánica y, por otro, dar cobertura a aquellos aspectos que en estos 8 años de vigencia de la LOPD, se ha demostrado que precisan de un mayor desarrollo normativo.
Cada vez son más las noticias diarias que nos hablan de protección de datos. Desde las que denuncian la aparición de historias médicas o curriculums en contenedores de basura, pasando por la colocación indebida de cámaras de vigilancia en comunidades de vecinos –o por el límite de seis meses para que los buscadores de Internet puedan conservar los datos de los usuarios–, hasta la recientemente publicada multa impuesta por resolución del Director de la Agencia Española de Protección de Datos, el 14 de marzo del presente año, de 210.000 euros a una empresa por incurrir en dos infracciones: en primer lugar, proceder a la recogida de datos de un menor a través de su página web, sin consentimiento de sus padres y proceder a su tratamiento. Y, en segundo lugar, por realizar una cesión de los datos sin el consentimiento de su titular a una tercera entidad.
Como ha indicado el Director de la Agencia Española de Protección de Datos, el Reglamento aporta seguridad jurídica a la realidad de la protección de datos. En nuestra opinión, su falta ha tenido que ser completada con informes, instrucciones y resoluciones de la Autoridad de control que intentaban orientar a las entidades públicas y privadas sobre cómo interpretar y cumplir determinados aspectos de la normativa, lo que pone de manifiesto que, sin duda, el Reglamento era muy necesario.
Entre sus aspectos más novedosos, queremos destacar la regulación de las medidas de seguridad que deben ser aplicadas a los ficheros y tratamientos de datos no automatizados o manuales a los soportes en papel. También el desarrollo del procedimiento de atención y respuesta al ejercicio del derecho de oposición en virtud del cual el titular de los datos puede oponerse al tratamiento de sus datos, por ejemplo, con fines de publicidad. Además, impulsa la elaboración de Códigos tipo como medio para establecer las reglas y estándares específicos que permitan armonizar los tratamientos de datos por los responsables adheridos a los mismos.
Por último, cabe destacar que, pese a su entrada en vigor el 19 de abril de 2008, en materia de medidas de seguridad se otorga a los responsables del fichero y a los encargados del tratamiento, un plazo de uno a dos años para adecuar las medidas de seguridad que vienen aplicando a los ficheros o tratamientos preexistentes al Reglamento, a las nuevas exigencias que él introduce.
