DNTecnologias.es

El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, publicado en el BOE del viernes 29 de enero de 2010, incluye en su disposición adicional cuarta una modificación del Reglamento de desarrollo de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre.

Se modifica la letra b) del apartado 5 del artículo 81 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal aprobado por Real Decreto 1720/2007, de 21 de diciembre, que pasa a tener la siguiente redacción:

“b) Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.”

Por tanto, es modificada la redacción original (“Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad“), quedando este artículo de la siguiente forma:

“Artículo 81. Aplicación de los niveles de seguridad.

1. Todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de seguridad calificadas de nivel básico.

2. Deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas de nivel medio, en los siguientes ficheros o tratamientos de datos de carácter personal:

a) Los relativos a la comisión de infracciones administrativas o penales.

b) Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre.

c) Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.

d) Aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.

e) Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.

f) Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

3. Además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicarán en los siguientes ficheros o tratamientos de datos de carácter personal:

a) Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.

b) Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.

c) Aquéllos que contengan datos derivados de actos de violencia de género.

4. A los ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización, se aplicarán, además de las medidas de seguridad de nivel básico y medio, la medida de seguridad de nivel alto contenida en el artículo 103 de este reglamento.

5. En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando:

a) Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.

b) Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.

6. También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.

7. Las medidas incluidas en cada uno de los niveles descritos anteriormente tienen la condición de mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias específicas vigentes que pudieran resultar de aplicación en cada caso o las que por propia iniciativa adoptase el responsable del fichero.

8. A los efectos de facilitar el cumplimiento de lo dispuesto en este título, cuando en un sistema de información existan ficheros o tratamientos que en función de su finalidad o uso concreto, o de la naturaleza de los datos que contengan, requieran la aplicación de un nivel de medidas de seguridad diferente al del sistema principal, podrán segregarse de este último, siendo de aplicación en cada caso el nivel de medidas de seguridad correspondiente y siempre que puedan delimitarse los datos afectados y los usuarios con acceso a los mismos, y que esto se haga constar en el documento de seguridad.”

Ante el éxito de participación de las jornadas anteriores, la Cámara de Comercio de Sevilla ha organizado el día 21 de abril de 2.009 una nueva edición del curso monográfico “Las empresas ante la normativa sobre protección de datos. Exigencias del Nuevo Reglamento de desarrollo de la Ley Orgánica de Protección de Datos. (R.D. 1720/2007)“.

En éste se pretende ofrecer una visión práctica en la adecuación al cumplimiento de la LOPD por las empresas, en el que se realizará un análisis de los requisitos que establece tanto la LOPD como su Reglamento de aplicación, que además, se complementa con un análisis de las medidas de seguridad informática que han de cumplir los ficheros que contienen datos de carácter personal.

A continuación incluyo el programa abreviado del curso:

17,00 h. Entrega de documentación, en la que se incluye un ejemplar del libro “Las empresas ante la normativa sobre protección de datos”.

17,15 h. Apertura.

17,20 h. PROTECCION DE DATOS.

• ¿Qué es la protección de datos personales?
• Ámbito de aplicación.
• Sujetos.
• Obligaciones del responsable.
• Responsabilidades del responsible.
• Protección de Datos y profesionales.

Ponente: D. Pedro Rodríguez López de Lemus.
Presidente de la Asociación Andaluza de Comercio Electrónico, Presidente de la Asociación de Abogados especialistas en Nuevas Tecnologías de Andalucía.

17,50 h. MEDIDAS DE SEGURIDAD INFORMÁTICA.

• Necesidad de formación en materia de Seguridad.
• Contingencias y peligros que pueden afectar los datos informáticos.
• Políticas de Seguridad.

Ponente: D. Bartolomé Borrego Zabala.
Vocal Responsable de la División de Nuevas Tecnologías de la Delegación Especial de la Agencia Tributaria de Andalucía, Ceuta y Melilla.

19,15 h. VISIÓN PRÁCTICA EN LA ADECUACIÓN AL CUMPLIMIENTO DE LA LOPD Y RLOPD.

• Situación actual en el cumplimiento de la LOPD y RLPOD.
• Problemática más frecuente.
• El proceso de adecuación en las organizaciones públicas y privadas.

D. Juan Miguel Pulpillo Fernández
Abogado Área Sistemas de Información Ascêndia Reingeniería + Consultoría.

20,30 h. Clausura.

Lugar de impartición:
Cámara Oficial de Comercio, Industria y Navegación de Sevilla
Edificio Galia Puerto
Carretera de la Esclusa, 11. Acceso A
41011 Sevilla

Más información, programa completo y descarga de formulario de inscripción.

Hace hoy un año de la publicación en el BOE del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de carácter personal. Era una norma muy esperada, ya que era el primero que se aprobaba desde la entrada en vigor de esta Ley. Es mucho por tanto lo que se espera de él, ya que debe aclarar la dispersa normativa en protección de datos, y hacer más fácil su cumplimiento por parte de las empresas y Administraciones Públicas.

Este Reglamento introduce importantes novedades, entre las que destacaremos las siguientes:

• Se excluye del cumplimiento de esta normativa a los ficheros que traten datos de personas jurídicas, como ya venía ocurriendo, y como novedad también se excluyen los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquellas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono, y número de fax profesionales. Esta medida afecta, entre otros, a ficheros como los de contactos, clientes, y proveedores.
• Otro aspecto a destacar es que se regula el bloqueo de datos como paso previo a la supresión de los mismos en el proceso de cancelación de los datos.
• En cuanto al consentimiento, eje fundamental del Derecho Fundamental a la protección de datos, obtiene una pormenorizada regulación. Ahora, la carga de la prueba de su captación corresponde al Responsable del Fichero, la empresa que posee el fichero. Por otra parte, cuando el consentimiento se vincule a una relación contractual, se distinguirá el caso en el que el tratamiento del dato se encuentre vinculado a ésta, del supuesto en el que la finalidad no guarde relación directa con el contrato. En este último caso, el consentimiento se prestará de modo independiente y no se permitirán procedimientos como las casillas premarcadas, muy en boga en los formularios a través de páginas web.
• También se fija un completo estatuto del Encargado del Tratamiento, imponiendo al Responsable del Fichero un deber de vigilancia que antes no existía, y permitiendo la subcontratación por parte del Encargado.
• Respecto a las medidas de seguridad, determinados ficheros de nivel alto pasan a ser de nivel básico, aquéllos que contienen datos especialmente protegidos de manera accidental o para el cumplimiento de deberes públicos, como podrían ser algunos ficheros de nóminas. Por el contrario, otros ficheros, como los que contienen datos de violencia de género, se incorporan al club de aquellos que tienen que establecer medidas de seguridad de nivel alto. Es de destacar también la obligación de incluir en el documento de seguridad, a los ficheros en formato no automatizados, como son los que están en papel.

Todos estos cambios no son fruto del capricho del Legislador, sino que son producto de la experiencia adquirida por la Agencia Española de Protección de Datos, la Jurisprudencia establecida durante estos últimos años, y algo muy importante, el debate social suscitado durante la tramitación de este Reglamento, en donde han participado numerosos colectivos. Por todo ello, cabe esperar que este Reglamento además de para aclarar la normativa y facilitar su aplicación, sirva fundamentalmente para difundir la cultura de protección de datos entre todos nosotros, personas, empresas y Administraciones Públicas.