Español | English
rss facebook linkedin Twitter

Novedades del nuevo reglamento de protección de datos.

Siguiendo con la actualidad en materia de protección de datos en la que estamos inmersos, desde el Departamento de Consultoría vemos interesante realizar una comparativa entre la LOPD, el Reglamento de Medidas de Seguridad (que continúan plenamente vigentes) y el recientemente aprobado Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal.

Asimismo es importante resaltar que el nuevo reglamento introduce como única novedad reseñable la inclusión en su ámbito de aplicación a los ficheros y tratamientos de datos no automatizados, ya que todas las demás “novedades” son aclaraciones y puntualizaciones que se realizan de la LOPD contando además con la interpretación que de la Ley Orgánica han efectuado los Tribunales a través de la jurisprudencia.

El Reglamento ha aclarado el nivel de seguridad de los ficheros:
  • Pasan de un nivel básico de seguridad al nivel medio los ficheros de las Entidades Gestoras y Servicios Comunes de la Seguridad Social que tengan relación con sus competencias y las mutuas de accidentes de trabajo y de enfermedades profesionales de la Seguridad Social.
  • Desaparece el nivel “básico cualificado – Medio atenuado” relativo a los ficheros que contienen datos personales sobre características o personalidad de los afectados, que permitan deducir su comportamiento, pasando a ser de nivel medio.
  • Desde el nivel básico de seguridad pasan a un nivel alto todos los datos derivados de la violencia de género.
  • Se clasifican como de nivel alto los ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto de los datos de tráfico y a los datos de localización.
Asimismo, una de las novedades más importantes paras las empresas / organizaciones es la disminución del nivel de seguridad, de alto a bajo, en lo relativo a ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual cuando:
  • Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros (por ejemplo el pago de la cuota sindical a través de la nómina).
  • Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.
  • Los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.
Medidas de seguridad específicas para ficheros y tratamientos no informatizados (papel)

El Reglamento concede una atención especial a estos dispositivos de almacenamiento y custodia de documentos, con el fin de que se garantice la confidencialidad e integridad de los datos que contienen.
  • Se exigirá la aplicación de unos criterios de archivo que garanticen la correcta conservación de los documentos.
  • Los armarios, archivadores y demás elementos de almacenamiento, deberán disponer de mecanismos adecuados de cierre (llave) que impidan el acceso a la documentación por personas no autorizadas. Mientras esa documentación no esté archivada, la persona que esté a su cargo deberá custodiarla, impidiendo que acceda a ella quien no esté autorizado.
  • Cuando estos ficheros contengan datos clasificados de nivel alto, deberán estar en áreas cerradas con el dispositivo de seguridad pertinente (puertas con llave).
  • Limitaciones en lo relativo a la generación de copias o reproducciones de información de nivel alto.
En cuanto a las modificaciones o aclaraciones sobre la LOPD, las más reseñables son las siguientes:

Consentimiento:
  • Como regla general, se prohíbe pedir o tratar datos de menores de catorce años sin el consentimiento de sus padres Si son mayores de esa edad, no se exige dicho consentimiento.
  • El responsable podrá dirigirse al afectado, informándole en los términos previstos en los artículos 5 de la Ley Orgánica 15/1999, de 13 de diciembre y 12.2 de este Reglamento y deberá concederle un plazo de treinta días para manifestar su negativa al tratamiento.
  • Si el responsable del tratamiento solicitase el consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual, deberá permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos.
  • Finalmente se aclara la situación en lo relativo a operaciones de fusión, escisión, cesión global de activos y pasivos, aportación o transmisión de negocio o rama de actividad empresarial, o cualquier operación de reestructuración societaria de análoga naturaleza, contemplada por la normativa mercantil, no se producirá cesión de datos, sin perjuicio del cumplimiento por el responsable de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre.
Prestación de Servicios:

Definitivamente se regulariza expresamente la subcontratación de servicios, permitiéndose la misma con algunos requisitos.

Regulación de actividades de publicidad y prospección comercial
  • Las personas de las que se recaben datos para la realización de acciones de publicidad y prospección comercial, deben facilitar su consentimiento para finalidades determinadas, explícitas y legítimas relacionadas con la actividad de publicidad o prospección comercial, habiéndose informado a los interesados sobre los sectores específicos y concretos de actividad respecto de los que podrá recibir información o publicidad.
  • Se regula la contratación de los servicios para la realización de una determinada campaña publicitaria de sus productos o servicios, encomendándole el tratamiento de determinados datos a un tercero:
    • Cuando los parámetros identificativos de los destinatarios de la campaña sean fijados por la entidad que contrate la campaña, ésta será responsable del tratamiento de los datos.
    • Cuando los parámetros fueran determinados únicamente por la entidad o entidades contratadas, dichas entidades serán las responsable del tratamiento.
    • Cuando en la determinación de los parámetros intervengan ambas entidades, serán ambas responsables del tratamiento.
  • Será obligatorio el consentimiento del afectado para que los responsables de distintos ficheros puedan cruzar sus datos para promocionar o comercializar productos o servicios.
  • Se regulan las denominadas “listas de exclusión” o “listas Robinson” para que cualquier afectado, que obligatoriamente debe ser informado de su existencia, pueda comunicar al responsable de un fichero que no desea recibir publicidad. Estas listas serán de obligada consulta previa por parte de quienes realicen actividades de publicidad o prospección comercial.
Asimismo reseñar también la existencia de novedades respecto a la tarjeta sanitaria, las transferencias internacionales de datos.

Finalmente es necesario indicar que el presente Reglamento de Desarrollo de la LOPD entrará en vigor tres meses después de la publicación del Reglamento en el BOE.

Koldo Peciña

Consultor Senior S21sec.

8 comentarios:

Jose Luis dijo...

Según puedo leer creo que esta entrada está hecha en base al borrador del nuevo reglamento.

El reglamento aprobado en el congreso tenía algunos cambios sustanciales, como la clasificación de los ficheros de las operadoras que se quedaba en nivel medio,

¿cierto?

S21sec labs dijo...

La entrada en el blog está realizada con el texto aprobado en el Congreso de los Diputados y en dicho texto en su artículo 81.4 se establece lo siguiente respecto al tratamiento de datos de tráfico por parte de los operadores que presten servicios de comunicaciones electrónicas disponibles al público:

4. A los ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización, se aplicarán, además de las medidas de seguridad de nivel básico y medio, la medida de seguridad de nivel alto contenidas en el artículo 103 de este Reglamento.

También aparece referencia al nivel de seguridad de los citados datos en la Disposición transitoria segunda. Plazos de implantación de las medidas de seguridad.


b) En el plazo de un año desde su entrada en vigor deberán implantarse las medidas de seguridad de nivel medio y en el de dieciocho meses desde aquella fecha, las de nivel alto exigibles a los siguientes ficheros:

1º.- Aquéllos que contengan datos derivados de actos de violencia de género.

2º.- Aquéllos de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización.


saludos!
Koldo

Jose Luis dijo...

La verdad ese artículo 81.4 no hace más que generarme dudas, ¿quiere eso decir que los ficheros de las teleoperadoras aplicarán todas las medidas de protección de los niveles básico y medio, y sólo las del artículo 103 de nivel alto?

¿Cómo declararías ese fichero ante la AGPD?

Ion dijo...

Hola Jose Luis:
Si te refieres a empresas de operadoras de telecomunicaciones, serán de
nivel alto los datos que traten relativos a tráfico y localización.

Además de todas las medidas de seguridad para los datos de nivel básico y
medio, deberán implantar TODAS las medidas de nivel alto y no sólo las que
establece el artículo 103.

En cuanto a cómo declarar este fichero, yo lo declararía con nivel alto, con
la finalidad de gestionar el tráfico y el servicio de localización.
Un saludo
Koldo

Álvaro Del Hoyo dijo...

Me temo que José Luís andaba bien encaminado. El artículo 81.4 es el que establece que los datos de tráfico y localización son de nivel medio, pero al que también se les ha de aplicar la medida de seguridad de nivel alto del artículo 103 (registro de accesos).

Esto queda algo así como el antiguo nivel básico cualificado-medio atenuado.

Yo lo declararía como de nivel medio, a pesar de que no me vería con malos ojos aplicar el resto de medidas de seguridad de nivel alto (si la relación coste-beneficio no indica lo contrario), pues las sanciones que pueden imponérsele al operador conforme a la LGTel, especialmente si se reincide, son bastante importantes.

Raul Rodriguez-consultor senior S21sec dijo...

Coincido en este caso con alvaro del hoyo. el art. 88.4 en su redaccion final no deja lugar a dudas. Las medidas aplicables a datos de trafico y facturacion para operadoras de telecomunicaciones son las del nivel medio y basico mas el registro de accesos.
Como nivel de declaracion pondria nivel medio teniendo en cuenta que declarar nivel alto podría dar lugar a que la agencia entendiese que nos hemos obligado a cumplir por nuestra propia decisión las medidas de nivel alto mientras que si declaramos medio siempre podemos aplicar medidas adicionales. En todo caso todos sabemos que el registro de protección de datos tiene efectos meramente declarativos con lo que tampoco daría mayor importancia a este hecho.
Un saludo

Juan Ramon dijo...

En las empresas que realizen sus nominas ya el nivel ha pasado a ser bajo, ¿pero ocurre lo mismo con las asesoria laborales que procesan nominas?.

Koldo dijo...

Efectivamente, el nivel del fichero seguirá siendo bajo también para las gestorías, ya que el Reglamento no establece ninguna limitación ni salvedad al respecto


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login