Entra en vigor el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999

Hoy mismo, 19 de abril de 2008, pasados tres meses ya desde su publicación en el BOE, ha entrado en vigor el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, "RLOPD").

Se desarrolla con esta norma no sólo un nuevo o modificado régimen en cuanto a las medidas de seguridad exigibles de conformidad con el principio de seguridad, sino todo el articulado de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, "LOPD"), habiendo además traido consigo por fin un desarrollo reglamentario específico los ficheros no automatizados de datos de carácter personal. Ya nos hemos hecho eco aquí de las novedades que trae consigo el RLOPD y seguiremos haciéndolo.

Debe tenerse en cuenta no obstante que:

• la Disposición Transitoria Primera da un plazo de un año para la adaptación de los Códigos Tipo inscritos en el Registro General de Protección de Datos;
  
• la Disposición Transitoria Segunda establece diferentes plazos de implantación para las medidas de seguridad de los ficheros automatizados y no automatizados preexistentes, así como para la implantaciones de las medidas adicionales que no estuvieran previstas en el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal (en adelante, "RMS"), con lo que el articulado relativo a medidas de seguridad no será aplicable a estos ficheros hasta pasados 12, 18 ó 24 meses según los casos;
  
• las Disposiciones Transitorias Tercera, Cuarta y Quinta establecen que las solicitudes para el ejercicio de los derechos de las personas y los procedimientos y actuaciones previas iniciados con anterioridad a hoy, 19 de abril de 2008, se regirán por la normativa anterior y no por el RLOPD; y
• han quedado derogados el Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del tratamiento automatizado de los datos de carácter personal, el RMS y todas las normas de igual o inferior rango que contradigan o se opongan a lo dispuesto en el RLOPD.
  

Con respecto a la moratoria sobre la implantación de las medidas de seguridad es preciso además tener en cuenta que la exención de responsabilidad puede no alcanzar a las infracciones por vulneración de los principios distintos del de seguridad establecidos por la LOPD, de modo que podría darse el caso de que la AEPD sanciones a quienes pudieran sufrir por ejemplo una fuga de información, que quizás hubiese podido ser evitado de haber mediado las nuevas medidas de seguridad aún no implantadas. La fuga de información es un incidente de seguridad que consistiría en una vulneración del deber de secreto, infracción que dependiendo del tipo de datos de carácter personal revelados podría ser leve (art. 44.2.e LOPD), grave (art. 44.3.g LOPD) o muy grave (art. 44.4.g LOPD).

Habrá que estudiar en detalle hasta qué punto las Resolucioes e Instrucciones emitidas por la AEPD contradicen o se oponen al RLOPD para determinar si permanecen en vigor total o parcialmente.

Álvaro Del Hoyo
Departamento de Consultoría