Erase una vez allá por el 29 de Octubre de 1992, que unos señores (y tal vez alguna señora), decidieron proteger los datos íntimos de las personas que estuvieren informatizados a través de una ley, se publicó la LORTAD. Lamentablemente no consiguieron que fuese muy conocida por los ciudadanos de aquel reino lejano, éstos últimos sólo aprendían con «el garrote y la mano dura», así que, sólo, empezaron a tomarse en serio dicha ley cuando comenzaron las multas y sanciones (en 1998 ya hubo unas 500 denuncias, que provocaron más de 100 procedimientos, que provocaron multas por valor de mas de 900 millones de pts -unos 600.000 dolares-, la última ha sido de 10.000.001 pts por envío de correo no deseado). Se escribió sobre la ley, se comentó sus aciertos y errores, se le criticó, en ámbitos legales, por ser tardía y no del todo acorde con la Directiva europea sobre la cuestión, pero cuando empezaba a ser más popular fue sustituida. ¿Por qué me acuerdo yo ahora de «ventanas»?.
La sustituy¢ la Ley Org nica 15/99 de 13 de diciembre, que entr¢ en vigor un m’s despu’s, (14 de enero de 2000), se llama Ley Org nica de Protecci¢n de Datos (LOPD, o tambi’n empieza a conocerse como LPD). ¨Qu’ novedades ha traido esta ley con respecto a la anterior?.
1.- Objeto de la Ley.- Se ha borrado una simple palabra, «automatizado», y el cambio conseguido es importante. Es decir, la nueva ley se aplica ahora a todos los ficheros de datos, est’n o no informatizados. Antes se proteg¡an s¢lo los informatizados por considerar que corr¡an m s riesgo, (cosa que personalmente opino cierta). Pongamos un ejemplo para que se entienda, con la ley antigua una organizaci¢n pod¡a almacenar los datos sobre salud de sus empleados, (en papel), y si lo quer¡a informatizar deb¡a tener el consentimiento de sus empleados, uno a uno; con la nueva ley podr tenerlo en el soporte que considere mejor sin necesidad de consentimiento pero GUARDANDO las medidas de seguridad establecidas por la normativa legal para esos ficheros.
2.- El consentimiento.- El consentimiento del ciudadano toma una papel mayor en todo el procedimiento, se exige legalmente que el consentimiento «sea libre, inequ¡voco, espec¡fico e informado». art. 5 de la nueva ley, adem s exige que la informaci¢n llegue a diferenciar entre recogida de datos obligatoria o facultativa. La informaci¢n abarca tambi’n a poner en conocimiento del ciudadano la identidad y direcci¢n del responsable del tratamiento (art.5.e).
3.- Derechos del ciudadano.- Una novedad muy interesante. Antes se ten¡a sobre los ficheros (del mbito de la ley), libertad de acceso (derecho que es gratuito), derecho de rectificaci¢n y de cancelaci¢n (se tiene un plazo de 10 d¡as). Pero ahora, adem s de los anteriores, (como ya obligaba la UE desde 1995), se tiene el derecho a la oposici¢n, es decir a que no llegue nunca a producirse la tramitaci¢n de sus datos, (mediante solicitud y de forma gratuita para el interesado), aunque se requiere que existan motivos fundados y leg¡timos y se refieran a una concreta situaci¢n personal.
4.- El encargado del tratamiento de datos.- Persona f¡sica o jur¡dica, con la nueva ley el encargado de dicho tratamiento debe adoptar las medidas de seguridad, pero adem s es responsable directo en caso de infracci¢n. El art. 3 de la nueva ley habla de titular del fichero, responsable del tratamiento y responsable del fichero, para mi escaso entender me parece que causa una confusi¢n de conceptos cuando menos algo peligrosa, as¡ que habr que esperar a que se defina en un nuevo reglamento. Por ahora el art. 10 de la LPD obliga al responsable del fichero, administradores de sistemas, de redes, de bases de datos y personal de desarrollo -programadores- con acceso a tales datos «al secreto profesional… y a guardar tal secreto despu’s de terminar su relaci¢n…»
5.- Novedad absoluta.- Se crea «El Censo Promocional», art. 31 de la LPD. Dice «Quienes pretendan realizar permanentemente o espor dicamente la actividad de recopilaci¢n de direcciones, reparto de documentos, publicidad, venta a distancia, prospecci¢n comercial, u otras actividades an logas, podr n solicitar al Instituto Nacional de Estad¡stica o de los ¢rganos equivalentes de las Comunidades Aut¢nomas una copia del censo promocional, formado con los datos del nombre, apellidos y domicilio que constan en el censo electoral». Parece que se intenta favorecer al comercio, para env¡o de publicidad y promociones comerciales. Si alguien no desea estar dentro de ese censo promocional, cuando se den los datos para el censo electoral deber manifestarlo, y se supone que ser informado al respecto.
6.- Datos especialmente protegidos.- En la antigua LORTAD ya se proteg¡an los datos sobre solvencia patrimonial y cr’dito, son m s o menos los mismos de antes, pero ahora se a_aden los sindicales como datos sensibles.
7.- En cuanto a movimientos de datos internacionales, se prev’ la actuaci¢n de la propia Agencia de Protecci¢n de Datos (http://www.ag-protecciondatos.es/) para la comprobaci¢n del nivel de seguridad que tiene el pa¡s en cuesti¢n.
8.- ¨Qu’ sigue en vigor de la antigua legislaci¢n?.- Segon la Disposici¢n transitoria tercera de la ley, los reglamentos tales como «RD 428/93 de 26 de marzo, el RD 1332/94 de 20 de junio y el 994/99 de 11 de junio, est n en vigor, en tanto no se opongan a la presente ley». Se prev’ un nuevo reglamento propio, de desarrollo de la nueva ley (LPD) en breve. Mientras tanto, como queda recogido, esos reglamentos est n en vigor en lo no contrario a la ley, tal vez el m s importante sea el 994/99 de 11 de junio (se puede ver en el BOE n¡ 151, de 25 de junio). Sobre ese reglamento y los niveles de seguridad (fundamental), y responsabilidad de los inform ticos en la seguridad de la informaci¢n y los datos de car cter personal, ver noticia HispaSec «una-al-d¡a» de 05/01/2000.
M s informaci¢n:
05-01-2000 – Seguridad en datos personales
http://www.hispasec.com/unaaldia.asp?id=435
Eusebio del Valle
evalle@hispasec.com
