El Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos ha llegado con retraso, pues el plazo previsto en la Disposición Adicional Primera de la LOPD terminó el 24 de octubre del año pasado. Ocho años (desde dicha Ley) no han debido ser suficientes para resolver qué se hace con los ficheros no automatizados (léase papel en la mayoría de los casos), así que nos quedan unos meses en los que habrá que mirar para otro lado. Sobre los plazos para implantar las medidas, les remito a Samuel Parra.
Un reglamento es una norma del poder Ejecutivo que desarrolla una ley, esto es, contempla las cuestiones secundarias o de detalle, pero siempre debe estar guiado por los parámetros que fija la norma superior. Con mayor medida si nos referimos a derechos fundamentales, como es el de la protección de datos, donde rebasar esos límites además vulneraría la Constitución, que reserva su regulación a las leyes orgánicas.
Y así ha sido. Como señaló Félix Haro, el Consejo de Estado ya advirtió de estas cuestiones a propósito del borrador de Reglamento, que se excedía en algunos puntos, entrando en conflicto con la Ley Orgánica, conflicto que se resuelve por cuestión de rango, pero añadimos una incertidumbre y falta de seguridad jurídica que es lo que faltaba a las empresas. Ya no se trata de que se resuelvan las imprecisiones de la Ley, sino que este Reglamento, que ya no se refiere, como el anterior, únicamente a las medidas de seguridad, aspira a ser la norma de referencia en materia de protección de datos.
Dentro de las cuestiones conflictivas que me llaman la atención, destaco las siguientes:
- La chapuza incomprensible que ha comentado David Maeztu, a propósito de determinados datos que quedan fuera del Reglamento pero no de la Ley.
- El tratamiento de datos por cuenta de tercero (artículos 12 de la Ley y 20 a 22 del Reglamento). De acuerdo con la Ley, quien realice servicios por cuenta del responsable del fichero no puede comunicar dichos datos, ni siquiera para su conservación, a otras personas. Dicha prohibición el Reglamento se la salta a la torera, permitiendo la subcontratación de las obligaciones del encargado del tratamiento, en algunos casos sin autorización del responsable del fichero, siempre que se cumplan determinadas exigencias. Habrá quien diga que una cosa es ceder o comunicar y otra subcontratar (esto es, un tratamiento de datos por cuenta de quien trata datos por cuenta de tercero), y es cierto, pero si la Ley expresamente se refiere a la «conservación», entiendo que no sólo se refería a la comunicación propiamente dicha sino también a estos casos. Los resellers de servicios de alojamiento pueden dormir más tranquilos porque ahora sólo deben resolver la cuestión de las tranferencias internacionales de datos, pero si realmente se quería modificar dicho régimen, la vía era reformar la Ley, no introducirla en el Reglamento.
- Aún cuando se traten datos relativos a ideología, afiliación sindical, religión o creencias, origen racial, salud o vida sexual (datos especialmente protegidos), se aplicarán medidas de nivel básico cuando únicamente se utilicen para la realización de transferencias dinerarias como asociados o miembros (casos en que la empresa paga la cuota sindical por cuenta del trabajador, por ejemplo) o se trate de ficheros no automatizados en los que los datos se traten de forma incidental o accesoria. Lo mismo cuando se traten el grado de discapacidad o su simple condición en cumplimiento de deberes públicos. Un alivio para las empresas que tengan minusválidos contratados, pero nuevamente la Ley era el camino idóneo para regular estas excepciones cuando el régimen de estos datos es tan riguroso.
- Algunas medidas de seguridad son papel mojado. Por ejemplo, se mantiene la obligación de cifrar (o proteger de modo equivalente) lo datos en los soportes o dispositivos de almacenamiento que vayan a emplearse para la distribución de datos de nivel alto, si bien esto es matizable, porque curiosamente se establece como simple recomendación que se evite el tratamiento de datos de carácter personal en dispositivos portátiles que no permitan su cifrado.
- Siguiendo con las medidas de nivel alto, los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente, y permanecer cerradas cuando no sea preciso acceder a los ficheros, pero sigue la norma diciendo que no obstante, si eso no fuera posible de acuerdo con las características de los locales, el responsable adoptará «medidas alternativas», lo que abre un gran margen de discrecionalidad. Del mismo modo, los dispositivos de almacenamiento deben disponer de mecanismos que obstaculicen su apertura, pero si no es posible volvemos a la indefinición.
No obstante, no todo son críticas. Acertadamente se delimitan los ficheros personales o domésticos como aquellos que se refieren a la vida privada o familiar, lo que corrobora la tesis que sostemos algunos de que los datos de los comentaristas de bitácoras digitales se somenten al régimen de esta normativa, aunque rara vez se cumpla.
Me parece interesante la definición de «persona identificable», pues determina el ámbito de aplicación de la normativa. Se establece que una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados, como ya venía sosteniendo la AEPD. Sigo sin entender cómo puede seguir sosteniéndose que la dirección IP es un dato personal para quien no sea el administrador de una red local o el proveedor de acceso del afectado, pero tanto el Supervisor Europeo de Protección de Datos como la AEPD siguen en esa línea.
En cuanto a la regulación del consentimiento para el tratamiento de los datos (artículos 6 de la Ley y 12 a 17 del Reglamento), se permite la prestación de éste de forma tácita (no presunta), debiendo concederse un plazo de 30 días para manifestar la negativa al tratamiento, de forma sencilla y gratuita. Recuerden que de utilizar esta vía deben reforzar los sistemas de prueba. La revocación del consentimiento no podrá someterse a la obligación de remitir carta certificada o la utilización de servicios de tarificación adicional. Estas exigencias también quedan prohibidas en cuanto al ejercicio de los derechos de acceso, rectificación, oposición y cancelación.
Se desdobla el régimen de ficheros de las Administraciones Públicas, de modo que no todos tendrán la consideración de ficheros públicos. Serán privados los correspondientes a determinados organismos públicos (sociedades del servicio público empresarial y corporaciones de derecho público, como cámaras de comercio, colegios profesionales, cofradías de pescadores,…) que no estén vinculados al ejercicio de potestades de derecho público. Entiendo que esto no termina de resolver el tema y choca con la normativa autonómica sobre protección de datos, pero para más información sobre esta cuestión les remito a lo que comenté en su día.
Los productos de software destinados al tratamiento automatizado de datos personales, deberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto, que permitan alcanzar. Está muy bien, porque en realidad cualquier aplicación ofimática puede servir para el tratamiento de datos, así que será estupendo ver cómo se incumple o las cosas que se dicen. Claro que tampoco pasará nada porque no constituye una infracción.
Por último, es importante señalar que los datos relativos a actos de violencia de género, y los de tráfico y localización de los operadores de servicios de comunicaciones electrónicas o que exploten redes públicas de telecomunicaciones serán de nivel alto. Uniendo esto a la conservación de los datos, está claro que éste es el grupo que sale peor parado en este tema.
Hola Javier!
Una entrada magnífica, como siempre… 🙂
Lo último que he hecho antes de salir del despacho hoy ha sido leer algunas partes del Reglamento y sinceramente, sigo pensando que eso no es un reglamento, sino una Ley (Todos en el despacho coincidimos abiertamente) y que esto no ha sido más que una medida para sacar la norma, sin tener que pasar por las mayorías del congreso, en el caso de que se hubiera modificado la LOPD.
Respecto a lo que comentas de las medidas de seguridad…la mejor de todas creo que esta "La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad."…jajaja, me parto…
Me veo a un becario de Garrigues levantándose a preguntarle al Socio del departamento (entendiendo que le hayan delegado esta responsabilidad)… "Perdone, puedo mandar un mail con los datos de mis dos compañeros a los abogados de la otra compañía, es que si no no se pueden poner en contacto con ellos…"…en fín…
Repito, veremos a ver, si esta norma no se recurrida en breve…Por mi parte tiene visos de poder ser recurrida por ser inconstitucional y no cumplir con lo dispuesto en el art. 81 de la CE…
Un saludo.
Excelente, como siempre.
Ademas es grato comprobar que todos más o menos pensamos lo mismo, han querido hacer una ley por vía de Reglamento, y se corre un serio riesgo de que partes de la norma queden fulminados en cualquier momento.
Un saludo.
Te felicito Javier por la profundidad de tu análisis, algo que también he comprobado en otras cosas que he leído tuyas.
Estoy bastante de acuerdo en que a través del Reglamento se ha pretendido legislar y eso no es nada bueno.
No soy tan experto como vosotros y vuestros post me resultan muy ilustrativos.
Muy interesante. Creo que todos coincidiremos en que se ha superado de mucho el ámbito de un reglamento de desarrollo de la Ley en el presente. Yo ahora estoy comenzando a pegarle una lectura más profunda, dado que como mínimo podré darme un par de risas con algunas de las cosas que se establecen en el mismo.
Respecto al tema de la ip, coincido plenamente contigo respecto a la complciación de identificación de una persona a través de ella (más allá de la identificación del titular de un servicio, mucho más sencillo). No digo que no pueda ser utilizado en determinados casos, pero la interpretación de la AEPD no la comparto.
Y respecto a permitir o no su cifrado… supongo que se refieren a medidas basadas en soluciones hard, dado que la utilización de algorismos de encriptación avanzados no dependen del soporte físico utilizado y podríamos aplicarlo aquí o allá.
Veremos si llega a entrar en vigor aún…
Pienso que aún estamos entrando en materia respecto al nuevo reglamento, pero que me comentan de los profesionales que están fuera del ámbito de la Ley.
Que pasará cuando sancionen a un profesional que se dedique al comercio, framacéuticos, ópticos y otros.
Un saludo
Quisiera hacer una matización a su observación sobre lo recogido en el artículo 81. 5 a) del Nuevo Reglamento de Medidas de Seguridad:
5. En caso de ficheros o tratamientos de datos de
ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando:
a) Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.
En realidad este ha sido uno de los caballos de batalla de las entidades financieras españolas que veían como, por aplicación de los dispuesto en la Ley, cualquier anotación electrónica y también ahora la correspondiente emisión del recibo en soporte papel, que hiciera alusión a la afiliación sindical (adeudo por domiciliación de cuotas sindicales), salud (domiciliación de Sanitas, por ejemplo) o política (domiciliación de cuotas de un partido político) convertían al fichero que las soportaba en datos de nivel alto con su consiguiente tratamiento (transmisión cifrada, backup en lugar distinto de donde se conserva el fichero operativo, etc.). Por eso han pedido que se diferenciara entre datos capturados de clientes conteniendo estos datos protegidos de la mera domiciliación o transferencia a terceros y el legislador ha accedido a ello. Saludos.
Felicidades Javier:
No conocía tu página y me he quedado gratamente sorprendido por la seriedad de tus reflexiones y los enlaces que tienes.
Me gustaría saber tu opinión sobre si existe alguna manera de ejercer los derechos sin coste alguno para el interesado. Gracias
Buenas,
Como comentan algunos "tertulianos" de este blog, en vez de reformar la LOPD, se ha hecho vía reglamento. Se ha tratado de justificar varios de los artículos dudodos -por poder vulnerar el ppo de reserva ley- en base a que la mayor parte de la LOPD regula relaciones de derecho privado (al menos eso es lo que escuché en una conferencia a uno de los autores del Rglmto).
La definición de fichero público y privado nunca puede estar en un Rglmto. En cierto modo, puede ser usado por la AEPD para intentar "recuperar" competencias asumidas por las Agencias autonómicas.
En cuando a esa relación fichero público y fichero privado de Colegios Profesionales y sociedades del sector público empresarial y demás, en cierta manera me parece "kafkiana" atendiendo a que las Agencias autonómicas no tienen capaciadad de sancionar económicamente. Nos podemos encontrar -esto ya existía antes del Rlgmto- con dos ficheros de un Colegio Profesional con la misma tipología de datos, uno público y uno privado, la infracción del primero no conllevaría multa alguna, la del segundo sí. O una de dos, o dan capacidad sancionadora económica a las Agencias autonómica -cuestión q ya existe por ejemplo en prevención de riesgos laborales, donde un órgano de la misma Administración puede multar a otro órgano de dicha Administración-, o se someten todos los ficheros a la misma autoridad de control.
Cuestión aparte está que sigue sin arreglarse el 20 de la LOPD. Un fichero de una AAPP no es más que un órgano administrativo. Se obliga a la Administración a aprobar una disposición de carácter general, siguiendo además el procedimiento administrativo para la aprobación de este tipo de normas. Incluso, nos encontramos el caso del Ayto de Madrid, q en virtud de su Ley de Capitalidad, puede aprobarlo por Acuerdo de la Comisión de Gobierno -q no tiene potestad reglamentaria-.
Salu2.
[…] ¿Queréis más debate en esta materia de la protección de datos, tan de moda últimamente?. David Maeztu nos informa de posibles conflictos entre la LOPD y el nuevo Reglamento. Y Javier Prenafeta comenta alguna “chapuza” más por parte del legislador. […]
Gracias a todos por vuestros comentarios y aportaciones. Ya veremos en qué queda este reglamento. Quizá sea la avanzadilla y luego se aborde la reforma de la Ley. Cualquier cosa.
A Juan E. Dordio: Se habla de ejercicio gratuito pero en realidad se quiere hacer referencia a que no se imponga un coste para ello, o suponga un beneficio para el responsable del fichero. Difícilmente alguna empresa enviará sobres prefranqueados para ello, así que el único ejercicio gratuito que se me ocurre es por correo electrónico o vía web, aunque claro ya se está condicionando o limitando el medio. En cualquier caso, el ejercicio en sí es gratuito, otra cosa son los costes de la comunicación.
A Argay: El tema de ficheros públicos/privados de determinados entes es muy interesante, y efectivamente dará problemas porque los límites no son tan claros.
Y ya que estamos, que las AAPP no sean sancionables me parece una auténtica vergüenza.
Hola Javier:
Enhorabuena por el análisis. Sólo una cosa respecto al ejercicio de derechos:
No olvidemos el artículo 23 (ó 24, no recuerdo ahora exactamente) que consagra la posibilidad del ejercicio de derechos ante los Servicios de Atención al Cliente (llamémoslos para el caso de las Entidades de Crédito por ejemplo, "ordinarios" para diferenciarlos de los Departamentos de Atención al Cliente previos a las reclamaciones ante los Comisionados de Defensa) y siendo válida la identificación del afectado por los mismos medios que para la realización de trámites propios del servicio en si.
Es decir, que necesariamente todas las comunicaciones con los Servicios de Atención al Cliente, por simples que en origen sean, van a tener que ser grabadas porque puede existir la posibilidad de que en el curso de la conversación el cliente ejerza, por ejemplo, su derecho de oposición.
Al margen de lo anterior, creo que es fundamental realizar un análisis de la regulación que hace el Reglamento de los Ficheros de Solvencia Patrimonial y Crédito, en especial de la regulación de las bajas cautelares (David Maeztu publicó un post interesantísimo al respecto de ellas en la CIRBE) y de la regulación de la acreditación del requerimiento previo de pago como requisito necesario para la inclusión en ASNEF que viene motivado, como alguna otra cosa, por una serie de Sentencias de la Audiencia Nacional enmendando la plana a la Agencia sobre lo cuando se considera acreditado el envío de un requerimiento de pago o no.
Saludos a todos.
Buenos días!
En primer lugar felicitarte por tu blog. Es estupendo y muy didáctico.
Al respecto del nuevo Reglamento un par de comentarios quería hacer:
– La primera impresión que me dió de su lectura "en diagonal" es que se ha quedado un tanto light…sobre todo si nos fijamos en los diferentes Borradores que se han ido generando. En definitiva, este es el Reglamento que tenemos y veremos a partir del 19 de Abril que interpretaciones va realizando la AEPD.
– En segundo lugar me gustaría aquí hacer una reflexión para el debate: Sin entrar en que no es juridicamente correcto incluir excepciones a una Ley via reglamentaria, si que me ha llamado la atención la excepción del ya "famoso" artículo 81 del Reglamento. En concreto, de su apartado 6 que señala:
"También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos."
Parece indicar que este artículo tendría la intención de rebajar de nivel de protección de los "Ficheros Nóminas", como así indicaba el Gobierno en su "nota de prensa" cuando se aprobó el Reglamento (http://www.la-moncloa.es/ConsejodeMinistros/Referencias/_2007/refc20071221.htm#Datos): “Por otra parte, se establecen ciertas especialidades para facilitar la implantación de medidas de seguridad, que incidirán sobre todo en el ámbito de las PYMES. Por ejemplo, bastará con aplicar las medidas de seguridad de nivel básico, en lugar de las de nivel alto, respecto a datos especialmente protegidos cuando sólo se utilicen para el pago de cuotas a las entidades de las que los titulares de los datos sean miembros. Lo mismo se permite respecto a los datos referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez, cuando tengan por única finalidad cumplir una obligación legal. Esto es particularmente aplicable a los datos relativos a la afiliación sindical o respecto a la salud en los ficheros de nóminas.”
Yo esta afirmación de que "los ficheros de nóminas" bajan de nivel no lo tengo tan claro…¿que pasa por los datos de las Bajas por IT (incapacidad temporal)? La AEPD hasta ahora las considera de nivel alto (por lo que respecta a las medidas de seguridad). Voy a citar la Memoria de la AEPD del ejercicio 2001, en concreto, del apartado 4.4 Inscripción de ficheros de titularidad privada con datos especialmente protegidos de origen racial, salud y vida sexual:
“La recogida y el tratamiento de los datos especialmente protegidos de salud en el entorno de gestión de nóminas está motivada por la declaración del dato del grado de minusvalía para el cálculo de las retenciones prevista en la legislación del IRPF. Cuando el fichero incluye las fechas de alta y baja de los trabajadores por razón de enfermedad, asociados a un código que identifique la causa de la baja como enfermedad profesional, accidente laboral o enfermedad común, se considera que incluyen y tratan datos de salud, por lo tanto, en ambos casos, se debe declarar el tipo de dato de salud en el apartado correspondiente de Estructura básica y descripción de los tipos de datos / otros datos especialmente protegidos.
La consideración de este tipo de información como un dato de salud, y la consiguiente obligatoriedad de implantar las medidas de nivel alto, hace que los sistemas informáticos que tratan este tipo de datos de carácter personal relativos a las cotizaciones a la seguridad social y a las retenciones del I.R.P.F. tengan que adoptar las medidas de nivel alto.”
El Reglamento no dice nada de estos datos sobre Incapacidades Temporales, sino que habla de "Grado de discapacidad", "Simple declaración de discapacidad" y "Simple declaración de invalidez"…pero no de incapacidad temporal (Según la normativa de la Seguridad Social Incapacidad Temporal e invalidez son conceptos diferentes).
¿Que opináis de este tema?
Un saludo y perdón por el "rollo"
En primer lugar felicidades por el blog a Javier, está plagado de artículos interesantísimos para cualquier licenciado en derecho que le atraigan las TIC, y si le añadimos la calidad de los comentarios y los links a otros blogs, para mi se ha convertido en lectura obligada y muy recomendable (aunque no hubiera escrito nunca, a veces es mejor observar y aprender) .
De todas formas, me gustaría plantear una duda sobre la referencia a los productos de software en la disposición adicional del reglamento.
¿Realmente podría sancionarse incumplir la mención del nivel de seguridad como infracción grave de "preceptos de protección" impuestos por vía de desarrollo reglamentario de acuerdo con el art. 44.3 d) LOPD? ¿O cuando la LOPD habla de "preceptos de protección" no incluiría esta obligación?
Por otra parte, la pregunta de Gontzal en el comentario 11 también es interesantísima, aunque creo que hasta que no veamos el criterio que aplica la AEPD todo queda en especulaciones. Estoy de acuerdo en que la sensación que da este artículo, combinado con el polémico 2.2 del reglamento, es la pretensión flexibilizar la aplicación de estas normas para algunos sujetos y esencialmente facilitar la actuación de empresas y pymes. Pero a parte de asentar y reafirmar la doctrina que ya seguía la AEPD en ciertas resoluciones, no sé si el reglamento conseguirá demasiado bien ese objetivo o si quienes lo aprueban son conscientes de las consecuencias que realmente tiene . Creo que la redacción del art. 81 es clara y no da en teoría mucha posibilidad a la interpretación ya que la rebaja del nivel de seguridad es "exclusivamente" para datos sobre el grado o condición de discapacidad o invalidez, y no parece que incluya bajas…aunque veremos qué se interpreta, ¿no?
Saludos!
Hola, lo primero felicitar a Javier por el blog, muy interesante e instructivo.
Sigo al hilo de los comentarios 11 y 12 en cuanto a los datos de bajas de empleados. Me gustaría conocer vuestras opiniones y si tenéis alguna nueva noticia en cuanto a este tema. En comunicación con la AEPD sobre este asunto, unos te dicen una cosa, otros la contraria, otros que aún no han tenido formación sobre el Nuevo Reglamento y no te pueden contestar… etcétera. A ver en qué queda…
Un saludo.
En mi opinión, y al margen del conflicto con la Ley también en este punto, creo que del criterio del Reglamento se puede extender también a los datos de altas y bajas, pues no deja de ser una simple declaración y que además responde a una obligación legal.
Ante todo quiero disculparme si este no es el sitio adecuado para planterarles esta cuestión:
Debe una asesoria laboral inscribir el fichero de NOMINAS de las nóminas que efectua de sus CLIENTES?
Siendo el CLIENTE el responsable y quien debe inscribir el fichero y analizando las obligaciones del ENCARGADO DEL TRATAMIENTO (art.82 del REGLAMENTO): Identificar fichero y Responsable , adoptar medidas de seguridad y confeccionar Documento/os de Seguridad, mi respuesta sería NO.
Pero algo se me escapa, porque consultando los ficheros inscritos en la AGPD, hay montones de ficheros de laboral inscritos por asesorias con finalidad de "confeccionar nominas de las empresas clientes" .
Gracias a todos por sus comentarios publicados.
En mi opinión no, la gestoría realiza un tratamiento de datos por cuenta de tercero. La propia Agencia lo ha comentado en varias ocasiones como ejemplo de libro.
En el Registro de Ficheros se puede encontrar de todo. No hay que hacer mucho caso porque no se evalúan las inscripciones.
Muy buen escrito me ha sido de utilidad.
Saludos
Buenos días. Felicitaciones a Javier por su interesante blog.
Tengo una duda y me gustaría conocer tu opinión.
¿Se produce cesión de datos por parte de la Entidad Financiera cuando ésta comunica a una persona una transferencia que yo he ordenado a una cuenta de esa persona que mantiene en la Entidad Financiera?. ¿Es necesario pedir antes el consentimiento del beneficiario para poder ordenar la transferencia?. ¿En ese caso, quién debería pedir el consentimiento para ese tratamiento (transferencia), la Entidad Financiera o yo, que ordeno la transferencia?. ¿Existe alguna ley que permita efectuar la transferencia sin pedir antes el consentimiento del beneficiario?.
Muchas gracias.
Miguel Ángel, efectivamente existe una cesión de datos al banco cuando ordenas una transferencia, relativa al concepto, importe y beneficiario, y así hay que hacerlo constar en la inscripción de los ficheros ante la Agencia de Protección de Datos, no obstante de acuerdo con el art. 11.2.c de la LOPD no requiere el consentimiento del afectado, primero porque te ha facilitado el número de cuenta para ello, y porque se considera necesaria para el cumplimiento de una relación jurídica entre las partes.