Llega el "coco" empresarial, el Reglamento de Protección de Datos
· La norma extiende su ámbito de aplicación a los ficheros y tratamientos no automatizados (en papel) y fija criterios sobre medidas de seguridad de los mismos
Este sábado, día 19 de abril, entra en vigor el Real Decreto 1720/2007, por el que se aprueba el reglamento de desarrollo de la Ley Orgánica 15/1999 de protección de datos de carácter personal, una normativa que desarrolla tanto aspectos relativos a medidas de seguridad como cuestiones generales, principios de protección de datos, derechos de las personas, y trasferencias internacionales de datos. Se trata de un texto que tiene de cabeza a todas las empresas de este país, asustadas más que concienciadas por las enormes multas que la Agencia Española de Protección de Datos ha venido imponiendo desde la entrada en vigor por actividades tan corrientes hasta entonces, como el envío de publicidad sin autorización, el intercambio de ficheros de datos entre empresas, o la que ha sido motivo de la última sanción: situar en una página web un link para recomendar la página a los amigos de los visitantes.
En último Barómetro del CIS se refleja una importante preocupación de los ciudadanos por la protección de datos y el uso de información personal por otras personas. El Barómetro destaca que este asunto preocupa bastante al 43,1% de los ciudadanos, y mucho al 27,9 % de los ciudadanos, situándose por delante de asuntos como el avance de la ciencia y la tecnología, el desarrollo de la comunicación e información a través de Internet, y la piratería.
A partir de mañana, los ficheros automatizados que existieran en la fecha de entrada en vigor del presente Real Decreto, la implantación de las medidas adicionales no previstas en el anterior reglamento, deberán implantarse en el plazo de un año desde la entrada en vigor del nuevo. Este plazo se amplía para determinados ficheros (Mutuas, Violencia de Género, etc.) hasta 18 meses.
Para los ficheros no automatizados que existieran a la fecha de entrada en vigor, (y cuyo plazo para inscribirlos en la Agencia de Protección de Datos (AEPD) finalizó el 24 de Octubre de 2007) se fijan plazos de un año, dieciocho meses y dos años a partir de la fecha de entrada en vigor del nuevo reglamento, para la implantación de las medidas de seguridad los niveles básico, medio y alto, respectivamente.
Se regula un procedimiento que garantice a cualquier persona, antes de consentir que sus datos sean recogidos y tratados, tener pleno conocimiento de la utilización que sus datos vayan a tener. Los responsables de los ficheros deben conceder al interesado un medio sencillo y gratuito para permitir a aquéllas ejercitar su derecho de acceso, rectificación, cancelación y oposición. Se prohíbe exigir al interesado el envío de cartas certificadas o semejantes, o la utilización de medios de telecomunicaciones que impliquen el pago de una tarifa adicional.
La norma extiende su ámbito de aplicación a los ficheros y tratamientos no automatizados (en papel) y fija criterios sobre medidas de seguridad de los mismos. Concede una atención especial a estos dispositivos de almacenamiento y custodia de documentos, con el fin de que se garantice la confidencialidad e integridad de los datos que contienen.
Se exigirá la aplicación de unos criterios de archivo que garanticen la correcta conservación de los documentos y el ejercicio del derecho de oposición al tratamiento, rectificación y cancelación de los datos.
El Reglamento llega cuando la Ley de Protección de Datos no se aplica al 100% ni tan siquiera en las empresas públicas, aunque sí existe un grado de percepción cada vez mayor respecto al cumplimento. Existe un convencimiento entre los técnicos de que el desconocimiento es muy grande y razón de ello es la convocatoria realizada por la Agencia para tratar de concienciar masivamente a todos los empresarios. El próximo martes 22 de abril, se celebrará en Madrid la "I Sesión Anual Abierta de la AEPD". La jornada, que se celebrará en el Auditorio del Palacio de Congresos de Madrid (Paseo de la Castellana, 99), está organizada por la Agencia Española de Protección de Datos, con motivo de la entrada en vigor del Reglamento.
La Agencia Española de Protección de Datos se muestra especialmente preocupada por el creciente número de denuncias de los ciudadanos relacionadas con la puesta a disposición de toda la Red de miles de datos sensibles especialmente protegidos (por ejemplo, los datos de salud o creencias religiosas), a través de las redes de intercambio de archivos peer to peer (P2P). Según reconoció el director de la Agencia, Artemi Rallo, actualmente están abiertos veinte procedimientos inspectores, que podrían culminar en una sanción similar a la que le fue impuesta al sindicato CCOO hace un año, por un caso similar en el que se volcaron en la Red miles de datos protegidos, a través del ordenador de un trabajador.
¿Cómo se produce una negligencia de este calibre? Muy sencillo, basta con que el trabajador esté conectado a un programa de P2P para que la totalidad de los archivos de la entidad u organización queden expuestos a toda la red mundial de Internet.
La cosa, sin embargo, no queda aquí, y la Unión Europea, por su parte, está acelerando los trabajos para aumentar los controles y la pasada semana los directores y comisionados de Protección de Datos de la Unión Europea, han presionado a los buscadores de Internet para que no puedan conservar los datos de los usuarios más de seis meses. Las autoridades europeas de protección de datos aprobaban así, la pasada semana, en el transcurso de su reunión plenaria, una Opinión relativa a la adecuación de las políticas de privacidad de los buscadores de Internet a la normativa europea de protección de datos.