Esta legislación fue completada en Junio del año 1999 con el Real Decreto 994/1999 de Medidas de Seguridad (RMS) a implantar sobre los ficheros automatizados que contenían datos de carácter personal. Meses más tarde, en diciembre de 1999, las Cortes españolas aprobaron la Ley Orgánica 15/1999, de 13 diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD) que derogaba la LORTAD y que continúa aún vigente a fecha actual.
Posteriormente, en 2007, se aprobó el Reglamento de Desarrollo de la LOPD, aprobado por Real Decreto 1720/2007, de 21 de diciembre (en adelante, RLOPD) que desarrollaba la ley LOPD y derogaba el RMS con el objetivo de definir no sólo las medidas de seguridad sobre ficheros automatizados si no, incorporar las medidas de seguridad sobre ficheros no automatizados o en papel.
En la actualidad, la LOPD y RDLOPD están vigentes como normativas a aplicar por las empresas que almacenen y traten datos de carácter personal en territorio español o estén afectados por la legislación española en aplicación de normas de Derecho Internacional Público. Si bien, esta legislación está en proceso de evaluación, ya que el 15 de Diciembre del 2015 la Comisión Europea, el Parlamento Europeo y el Consejo de la Unión Europea alcanzaron un acuerdo sobre un texto de compromiso que se espera que sea aprobado durante el año 2016 y que definirá nuevas obligaciones en materia de protección de datos. Este documento será de aplicación, previsiblemente, en el año 2018.
En su artículo 3, como introducción, define el objetivo de este nuevo reglamento:
El tratamiento de datos personales debe ser diseñado para servir a la humanidad. El derecho a la protección de datos personales no es un derecho absoluto; debe ser considerado en relación con su función en la sociedad y ser equilibrado con otros derechos fundamentales, de conformidad con el principio de proporcionalidad. El presente Reglamento respeta los derechos fundamentales y observa los principios reconocidos en la Carta de los Derechos Fundamentales de la Unión Europea, consagrado en los Tratados, en particular el derecho al respeto de la vida privada y familiar, el hogar y las comunicaciones, el derecho a la protección de datos personales , la libertad de pensamiento, de conciencia y de religión, la libertad de expresión e información, la libertad de llevar a cabo un negocio, el derecho a un recurso efectivo ya un juicio justo, así como la diversidad cultural, religiosa y lingüística.
Las novedades que propone este nuevo reglamento respecto a la actual LOPD son las siguientes:
- Inclusión de muestras biológicas como dato personal
- Especial protección a los niños.
- Incorpora el derecho al olvido (art. 17)
- Se establece la figura del Data Protection Officer (Sec. 4, art. 35) complementando al responsable del fichero como experto en protección de datos. Cabe destacar que esta figura no tiene porqué ser empleado directo de la compañía, si no que puede ser una figura externa.
- Desaparece la obligación del registro de ficheros en la agencia de protección de datos (sec 3. Art 33)
- Para ello, se ha sustituido por el desarrollo de un análisis de impacto en los casos de operaciones y flujos complejos de datos personales.
- Este análisis de impacto deberá llevar asociado una serie de recomendaciones sobre medidas de seguridad a aplicar en cada una de las soluciones tecnológicas para proteger los datos personales que se traten.
- Cabe destacar que este análisis de impacto, únicamente deberá desarrollarse en procesos que traten una gran cantidad de datos personales y sobre los que se haya detectado un alto riesgo de fuga o interés externo sobre ellos.
- Obligatoriedad de comunicar a las autoridades los incidentes de seguridad detectados en menos de 72 horas. En caso de no poder ser notificado en este plazo, se deberá acompañar de la información necesaria que justifique el haber superado dicho plazo.
- Establecimiento de iconos estandarizados que indiquen, tanto la recolección de datos, como su tratamiento y finalidad (art 12).
- Aplicación del concepto de ventanilla única, con el fin de agilizar los trámites en los derechos de los ciudadanos (art 54a).
- Incremento cuantitativo de las sanciones a aplicar. Con el fin de prevenir comportamientos irregulares, se hacen efectivas las nuevas sanciones:
- Sanciones de hasta 10.000.000€ o el 2% de la facturación bruta anual (la cantidad que sea mayor).
- Sanciones de hasta 20.000.000€ o el 4% de la facturación bruta anual, en caso de que se puedan aplicar agravantes (datos especialmente protegidos, negligencia, intencionalidad).
Cabe destacar que este nuevo reglamento intenta aunar los esfuerzos de todos los países europeos en materia de protección de datos, ofreciendo al ciudadano una mayor transparencia por parte de las empresas y un mayor nivel de seguridad en el cuidado de sus datos. Esto se traduce en una colaboración más estrecha entre las autoridades y las empresas, dando lugar a la aparición de nuevos modelos de retención de datos y un acceso más sencillo a su rectificación, cancelación y oposición.
Autor: Juan Miguel López Riesco - CISA, CISM, ISO 27001 Lead Auditor
Departamento Consultoría
