Estamos en: 

1. Artículos y Textos Legales >
2. Artículos >
3. Síntesis de la Conferencia LOPD' 2005: El próximo Reglamento de Protección de Datos

(A continuación se transcribe la intervención de la autora en la mesa redonda que tuvo lugar como colofón de las jornadas organizadas por IEE Informáticos Europeos Expertos en colaboración con SERESCO los días 26 y 27 de octubre de 2005 en el Hotel Holiday Inn de Madrid bajo el título: LOPD' 2005. El próximo Reglamento de Protección de Datos. Nuevas medidas de seguridad y desarrollo de la LOPD. D. José Luis Piñar Mañas dictó la conferencia inaugural, y fueron ponentes de las mismas por orden de intervención: Don Emilio del Peso Navarro, Don Manuel Marchena Gómez, Don Juan José Martín Casallo López, Doña Rosa María García Ontoso, Don Javier Puyol Montero, Don Miguel Ángel Ramos González, Doña María José Blanco Antón, Don José Jover Padró, Don Miguel Ángel Davara Rodríguez, Don Arturo Ribagorda Garnacho y Doña Margarita del Peso Ruiz actuando como moderadores de las mesas redondas y ponencias Don José Antonio Martín Pallín, Don Jorge Páez Mañá y D. Tomás Arroyo Salido)

En el curso de esta conferencia, se entregó a D.ª Rosa María García Ontoso el Premio IEE´2005.

Buenas tardes:

A mí me corresponde la tarea de sintetizar lo dicho hasta ahora en estas dos jornadas con la intención de que sirva de marco o introducción a este coloquio y debate final sobre el conjunto de lo expuesto.

El fin que se ha perseguido con la convocatoria de LOPD´2005 es reunir a una serie de expertos en la materia para debatir sobre los defectos y virtudes de una norma jurídica que a todos va a afectar y se ha intentado su estudio y análisis desde diversas perspectivas.

Las bases sobre las que se han sustentado las intervenciones de los ponentes han sido jurídica y técnica o dicho de otra manera se ha tratado de la regulación jurídica de la realidad tecnológica.

Creo que más que un relato cronológico puede ser más clarificadora una síntesis a partir de tres niveles de análisis ya que los temas que se han abordado se pueden encuadrar en distintos niveles de concreción:

• Valores
• Derechos fundamentales
• Garantías de protección del derecho fundamental a la protección de datos de carácter personal:
  • Garantías jurídicas
  • Garantías instrumentales

1. En repetidas ocasiones se ha puesto de relieve la oposición entre la seguridad y el control por parte de los poderes públicos o privados y la esfera de autonomía personal y de libertad del individuo. En un mundo donde cada vez existen más numerosos y más sofisticados medios de control y de intervención será necesario ponderar hasta qué punto se da prioridad a uno o a otro. Esto es tarea de los legisladores y de los jueces pero también, en gran medida, de la sociedad en su conjunto.

2. En segundo lugar se ha hablado de derechos fundamentales. La configuración del derecho a la protección de datos como derecho fundamental autónomo plantea también la cuestión de su integración en el ordenamiento jurídico y su relación con otros derechos ante los que, en ocasiones, tendrá que ceder.

Existen pues una serie de derechos fundamentales distintos y en íntima conexión con aquel, como el derecho a la intimidad que puede ser vulnerado con la intervención del correo electrónico bien en relaciones personales o en relaciones laborales.

Este problema se abordó desde tres puntos de vista:

• La configuración penal de la intervención del correo electrónico.
• El tratamiento penal del spam.
• La posibilidad del empresario de fiscalizar el correo electrónico de sus trabajadores.

En los dos primeros casos han surgido problemas en el ámbito jurisprudencial derivados del hecho de insertar nuevas realidades tecnológicas en categorías jurídicas deudoras en cierto modo del pasado pero, en todo caso con un decantamiento claro de la magistratura a favor del derecho a la intimidad.

En el caso de la intervención del correo electrónico de los empleados se dijo que existen sentencias contradictorias pero la posición más prudente es la prevención e implantación de normas y medidas que apliquen los principios de proporcionalidad y previsibilidad y que establezcan medidas alternativas para casos de necesidad que dejen claro que el interés del empresario es controlar el trabajo de sus empleados y no inmiscuirse en su intimidad.

También se ha planteado el tema de la seguridad versus la autonomía individual referida a la videovigilancia y su regulación tanto en lo que se refiere a la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos como a la seguridad privada.

La utilización de las videocámaras en lugares públicos debe someterse a los principios de proporcionalidad, idoneidad, intervención mínima y razonable riesgo para la seguridad ciudadana, así como someterse a un procedimiento reglado con lo que vuelven a ponerse de relieve las cautelas jurídicas frente a la utilización de tecnologías invasivas de la intimidad.

3. Hasta aquí lo que respecta al marco general de estudio, a los valores y los derechos fundamentales de los que se trata. En un tercer nivel estarían las concretas garantías previstas por el constituyente y el legislador que se pueden aplicar a la protección del derecho a la protección de datos de carácter personal, donde se pueden distinguir:

Garantías jurídicas. La primera de ellas que informa el desarrollo reglamentario de la LOPD deriva del artículo 9 de nuestra Constitución y es el principio de jerarquía normativa en virtud del cual el reglamento se limitará al desarrollo normativo de la ley y por tanto estará sujeto a una serie de limitaciones.

En este sentido se analizaron tres cuestiones:

• La necesidad de aprobación del Reglamento. Inciden en esta necesidad las siguientes circunstancias:
  • La LOPD carece de Exposición de Motivos que ayude a su interpretación.
  • La LOPD no tiene norma de desarrollo, aplicándose en lo que no se opongan a la misma los reglamentos de la LORTAD por lo que se hacía indispensable acabar con esta situación.
  • Los problemas que plantea la aplicación del RD 994/1999 por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal a los ficheros en soporte papel.
  • Esta situación hacía imprescindible dotar de mayor seguridad jurídica al régimen del derecho a la protección de datos de manera que se regule de forma integrada, se suplan las deficiencias en cuanto a sistemática y se solventen dudas en cuanto a la interpretación de la ley bajo la Directiva 95/46 del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
• Comentarios en cuanto al contenido del Borrador de Reglamento:
  • La inclusión de previsiones "ex novo": derecho de oposición, medidas de seguridad aplicables a ficheros no automatizados.
  • Derogación de las anteriores normas reglamentarias salvo el Estatuto de la Agencia Española de Protección de Datos que queda pendiente de desarrollo.
  • Interpretación de la Ley a la luz de la STC 292/2000, de 30 de noviembre de 2000.
• Explicación de algunos aspectos concretos:
  • Aclaración de la expresión "finalidades incompatibles".
  • Incorporación de la definición de dato de salud.
  • Concreción de las formalidades exigidas a las notificaciones a los afectados sobre su inclusión en determinados ficheros.
  • Relación entre responsable del fichero y encargado del tratamiento y posibilidad de subcontratar.
  • Regulación de varios procedimientos como el de aprobación de Códigos Tipo.
  • Simplificación de la notificación de ficheros al Registro de la AEPD.
  • Desarrollo del artículo 5.5 de la LOPD de forma que el deber de información se exceptúa cuando una ley prevea la cesión.

En varias exposiciones se ha hablado de los límites a la regulación reglamentaria de determinados aspectos de la LOPD.

Se destacaron las luces y sombras del Borrador de Reglamento de la LOPD.

Entre las primeras se encuentran, entre otras: su aprobación; las medidas para ficheros no automatizados; la inclusión de determinadas definiciones; la disminución en el nivel de medidas de seguridad exigibles para ficheros de personal y la notificación de las auditorías.

Entre las segundas, se pueden ver: los cimientos poco fiables sobre los que se ha construido el Borrador del Reglamento como es el Reglamento de medidas de seguridad de la LORTAD; la existencia de un solo reglamento; la falta de definición de algunas figuras existentes en la LOPD como titular del fichero el encargado del mantenimiento y el responsable del mantenimiento; la previsión de medidas comunes para ficheros automatizados y no automatizados cuando parten de filosofías diferentes y la previsión del registro de accesos para ficheros de nivel medio con las dificultades que comporta la implantación de esta medida.

Hubo una referencia a los límites en la regulación de los derechos de acceso, rectificación, cancelación y oposición reseñando aspectos problemáticos como su configuración como derechos personalísimos y la posibilidad de ejercitarlos por medio de representante voluntario o la regulación reglamentaria de la gratuidad en el ejercicio de estos derechos.

Respecto de la regulación del derecho de acceso se mantuvo la necesidad de aclarar la validez, siempre que sea conforme a la ley, del procedimiento de ejercicio establecido por el responsable del fichero.

Mientras que en el caso de derechos de rectificación y cancelación se entendió que es la finalidad perseguida y no la naturaleza del error que reputamos al dato la que marca la diferencia entre los dos derechos.

El derecho de oposición es la novedad del reglamento con respecto a la legislación anterior y se trata siempre de datos obtenidos sin consentimiento del interesado ya que en caso de que se hayan obtenido con su consentimiento lo que procede es la revocación de dicho consentimiento.

Respecto de los límites al desarrollo reglamentario de la LOPD se distinguieron tres niveles: lo que es necesario, lo que es conveniente y lo que es deseable.

En el nivel de lo necesario se encuentran las dieciocho referencias al desarrollo reglamentario que se incluyen en la LOPD. Entre ellas:

• Artículo 9 de la LOPD.
• Artículo 17 de la LOPD.
• Artículo 18 de la LOPD.
• Artículo 26 de la LOPD.
• Artículo 31 de la LOPD.
• Artículo 32 de la LOPD.
• Artículo 35 de la LOPD.
• Artículo 37 de la LOPD.

Sería conveniente acabar con la inseguridad jurídica que reina en materia de protección de datos, así como incluir en el reglamento de desarrollo de la LOPD referencias expresas a instituciones que utilizan ficheros con datos de carácter personal sometidos a regímenes jurídicos distintos. También incluir una regulación específica del ejercicio de derechos por parte del interesado ante determinados responsables de ficheros que abarque un ámbito más amplio que el previsto en el actual Borrador del Reglamento.

En cuanto al desarrollo reglamentario del artículo 13 de la LOPD existe un claro límite al desarrollo reglamentario de la propia LOPD en el sentido de que la norma reglamentaria no puede modificar el texto de este artículo.

En el nivel de lo deseable se propuso el sometimiento del Borrador del Reglamento a la opinión pública de modo que se recibiesen por parte de sus redactores las opiniones de todos los sectores implicados en su cumplimiento.

Por lo que se refiere a las garantías instrumentales donde se encuentran las medidas de seguridad, se han tratado en distintas ponencias varios aspectos:

Así, se establecieron las bases del futuro desarrollo reglamentario de las medidas de seguridad abordando unas cuestiones previas:

• Que la Agencia Española de Protección de Datos ha sido consciente del desfase que supone la aplicación de reglamentos de la derogada LORTAD junto a la vigente LOPD.
• Que se ha partido del reglamento actual y de una instrucción que no se ha llegado a publicar sobre medidas de seguridad en ficheros no automatizados así como de las inquietudes que han manifestado responsables de ficheros ante la Agencia Española de Protección de Datos y de la propia experiencia de la Agencia.
• Que las medidas de seguridad previstas se refieren a ficheros que contengan datos de carácter personal.
• Que se parte de la previsión contenida en el artículo 9 de la LOPD.
• Que se trata de un reglamento de mínimos por lo que quedaría a criterio de los responsables de los ficheros un reforzamiento mayor de la seguridad.
• Que no se incluyen normas técnicas específicas debido a la rápida obsolescencia de las mismas, frente a la vocación de permanencia de las normas jurídicas.
• Que se parte de la importancia de las medidas de carácter organizativo.
• Que la implantación de las medidas debe ir asociada al ciclo de vida de los sistemas de información destacando la importancia de que se tengan en cuenta en la fase de diseño.

En segundo lugar se trató el objetivo perseguido con la redacción del Borrador de Reglamento en lo que se refiere a las medidas de seguridad, es decir, dar cabida en la regulación a los ficheros automatizados y no automatizados:

• Este objetivo ha supuesto la adaptación de las definiciones incluidas en el Borrador.
• La sistemática utilizada se ha basado en la previsión de unas medidas comunes y medidas específicas para cada tipo de fichero.
• Dentro de las medidas específicas referidas a los ficheros no automatizados se destacó: almacenamiento y archivo, seguridad de los locales, acceso físico, copia o reproducción y traslado.

En tercer lugar se hizo referencia a los niveles en que se clasifican las medidas de seguridad aplicables a los ficheros que contengan datos de carácter personal, con la importante salvedad de que el criterio utilizado responde a la finalidad con la que se van a emplear los datos más que a la naturaleza propiamente dicha de los mismos. Así cabe distinguir, tres niveles:

• Básico: Todos los ficheros o tratamientos de datos de carácter personal
• Medio:
  • Relativos a la comisión de infracciones administrativas o penales
  • Aquellos cuyo funcionamiento se rija por el artículo 29 de la LOPD
  • Aquellos de los que sean responsables las Administraciones Tributarias y se relacionen con el ejercicio de sus potestades tributarias
  • Aquellos de los que sean responsables las entidades financieras y para finalidades relacionadas con la prestación de servicios financieros.
  • Aquellos que contengan datos de colectivos especialmente sensibles: menores de catorce años y víctimas de la violencia de género
  • Aquellos de los que sea responsable la Seguridad Social también relacionados con el ejercicio de sus potestades, aunque se indicó que en este caso es posible que fuera necesario aplicar las medidas de nivel alto por el tipo de datos que contienen.
  • Aquellos de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico.
• Alto:
  • Aquellos de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de localización.
  • Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud, o vida sexual.
  • Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.
  • Los que contengan datos o claves necesarios para emitir certificados digitales que permitan realizar firma electrónica excepto aquellos que por su propia naturaleza deban ser públicos.

Asimismo hubo una referencia a la previsión incluida en el Borrador del Reglamento que supondrá que las medidas de seguridad a aplicar exigidas para los ficheros de nómina sean las pertenecientes al nivel básico.

Por otro lado, los ficheros regulados en el artículo 4.4 del R.D. 994/1999, necesitarán la implantación de las medidas de seguridad de nivel medio.

En tercer lugar se trató el tema de las responsabilidades desde varios puntos de vista:

• El responsable del fichero designa al responsable de seguridad pero esta designación no trae consigo una delegación de responsabilidades.
• Responsabilidades del encargado del tratamiento distinguiendo en este caso dos posibilidades:
  • Que la prestación de servicios se lleve a cabo en los locales del responsable del fichero.
  • Que la prestación de servicios no se lleve a cabo en los locales del responsable del fichero.
• Responsabilidades del personal externo que trabaje en locales del responsable del fichero. En este caso se hizo referencia expresa a los contratos con personal de limpieza y de seguridad.
• Responsabilidades que se pueden depurar al establecer niveles de accesos por perfiles.

En cuarto lugar se hizo referencia al Documento de Seguridad como documento interno en el cual estuviese prevista la concienciación del personal pero se puso el acento en la no difusión del Documento a toda la organización, ya que esta actuación sería absolutamente contraria a todos los principios de seguridad.

También se insistió en la utilidad del Documento de Seguridad para las organizaciones puesto que su misma existencia es una medida de seguridad, aún en el supuesto improbable de que en la organización no se tuviesen datos de carácter personal.

El Documento de Seguridad se podrá organizar libremente según criterio organizativo del responsable: conjunto, por niveles o por ficheros.

En quinto lugar se trató el registro de accesos señalando:

• Que facilita la depuración de responsabilidades.
• Que los software de bases de datos ya llevan incorporado este sistema de control de accesos.
• Que los ficheros a los que sea obligatorio aplicar las medidas de nivel medio pertenecen por regla general a grandes organizaciones que pueden incorporar esta medida de control.
• Que la AEPD es consciente de las dificultades de su implantación cuando el responsable del fichero es una persona física.

Por último se hizo referencia a la auditoría como medida de seguridad y control y en este sentido se constató:

• Su obligatoriedad cada dos años a partir del nivel medio
• La previsión de su notificación a la AEPD con la fecha de realización y la indicación de si era interna o externa

Se expusieron los aspectos técnicos de las medidas de seguridad previstas en el Borrador del Reglamento partiendo del necesario equilibrio entre protección de datos y desarrollo social y económico. Después de una referencia a la legislación aplicable y al ámbito de aplicación del Borrador del Reglamento se hizo un estudio de cada una de las medidas de seguridad previstas en el citado Borrador.

Se trató la auditoría como una medida de evaluación del control haciendo referencia a la auditoría interna versus auditoría externa y sus diferencias con la consultoría; el perfil de los auditores de datos y su falta de regulación y todo el proceso de una auditoría sobre la protección de datos y las medidas de seguridad así como el resultado del trabajo: el informe de auditoría y la labor de concienciación al personal, sugiriendo la posibilidad de incluir un informe para la dirección y un cuadro-resumen clarificador.

Por último, se abordó en una mesa redonda el presente y futuro de las medidas de seguridad aplicables a los ficheros y tratamientos con datos de carácter personal proponiendo una serie de medidas que iban más allá de la aplicación de un régimen sancionador en el sentido de crear una cultura de protección de datos que calase en los profesionales y en la sociedad en general y en este sentido, cabe destacar:

• La incidencia en la formación multidisciplinar de los responsables en materia de protección de datos. Formación que se debería exigir en el sistema educativo, en la universidad, en la función pública y en las empresas.
• La labor difusora y pedagógica destacando la importancia de la concienciación.
• Trabajos de normalización.
• El recurso a la autoregulación mediante Códigos Tipo.
• Se puso el acento en la prevención y en la sensibilidad.
• La necesidad de precisión de determinados conceptos jurídicos indeterminados.
• La necesidad de acercamiento entre la legislación y la realidad.

En resumen, las intervenciones en su conjunto plantearon la conveniencia de tener presente:

• La confrontación de valores
• La ponderación de derechos
• La necesidad imperiosa de seguridad jurídica en el marco normativo de la protección de datos de carácter personal
• La mayor utilidad de la prevención, formación y concienciación frente a la imposición de sanciones
• La proporcionalidad en la interpretación y aplicación de la normativa sobre protección de datos

Este artículo ha sido publicado en la revista de la Agencia de Protección de Datos de la Comunidad de Madrid datospersonales.org