LOPDCP: a cambiarse el ‘CHIP’

El 14 de enero entró en vigor la Ley Orgánica de Protección de Datos de Carácter Personal. El legislador ha traspuesto con ella la Directiva correspondiente y, de paso, ha realizado cambios en relación con lo que disponía la derogada LORTAD. Uno de tantos -quizá el más sustantivo- está implícito en el nombre de la nueva pieza legislativa, en el que la palabra «automatizado» brilla por su ausencia.
El ámbito genérico de aplicación de la LOPDCP (difícil de pronunciar, ¡verdad!) es más ambicioso que el de la LORTAD, ya que atañe a todo tipo de tratamiento de datos personales, no sólo a los informáticos. Este enfoque, de consecuencias muy serias para responsables de ficheros o tratamientos, y para encargados de tratamientos, excede de lo expresado en la Constitución española vigente, en cuyo Art.18.4, se dice concretamente que «La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos».

Seguridad de datos: dos reglamentos

En consecuencia, el artículo 9 de la presente Ley, ‘Seguridad de los datos’, afecta por igual a los ficheros y tratamientos informáticos y al resto de ficheros y tratamientos, los que en la pionera legislación autonómica madrileña en la materia se definen como ficheros manuales estructurados.
Pero, sigamos. En el punto 2 de dicho artículo, se indica que «No se registrarán datos de carácter personal en ficheros que no reunan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas». Aquí el legislador da noticia de un futuro reglamento de medidas de seguridad. El antiguo, aún vigente y con sólo siete meses y pico de vida (entró en vigor el 26 de junio pasado), parece como si tuviera sus días contados.
El punto 3 de este mismo Artículo, todavía nos depara una sorpresa adicional, al prever otro desarrollo. Reza así: «Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el Artículo 7 de esta Ley». El Artículo 7 es el dedicado a los datos especialmente protegidos: ideología, afiliación sindical, religión y creencias, origen racial o étnico, vida sexual y salud.
Para prever en lo posible lo que pueda acontecer con el vigente reglamento y con los previstos (no cuándo, lo que es una pena), léase la sucinta Disposición final primera, ‘Habilitación para el desarrollo reglamentario’, que tienen carácter de ley ordinaria.

Ficheros preexistentes

En este editorial no se pueden abordar todos los cambios sutiles y peteretes legales que incorpora la reciente norma. Pero para una revista como SIC es poco menos que obligado hacer referencia al pasaje más alarmante de cuantos ha brindado a la posteridad el agudo legislador en esta LOPDCP. Se trata de la Disposición adicional primera, de rango orgánico. Tal y como está redactada bien parece que se dé, a todo tipo de ficheros y tratamientos automatizados existentes con anterioridad al 14 de enero de 2000 (a esos deben referirse, como preexistentes, los redactores del texto), un plazo (moratoria) de adaptación a la Ley de ¡tres años! a partir de dicha fecha.
De ser así, se abriría una brecha insalvable entre los ficheros y tratamientos anteriores y posteriores a la entrada en vigor de la Ley. Unos tendrían tres años para adaptarse, mientras que los otros (muy vinculados, por cierto, al creciente negocio/comercio electrónico a través de web) deben nacer ya adaptados. Además, esta confusa Disposición (criptodisposición, más bien) dejaría a los responsables de ficheros y tratamientos, y a los encargados de los tratamientos, perplejos por semejante parón y con dudas sobre futuros requisitos de seguridad técnicos y de organización, y a la Agencia de Protección de Datos, el órgano de control, en una posición incómoda para velar por el cumplimiento efectivo y pleno de una Ley mediante la que se traspone una Directiva, pero que también desarrolla unos derechos establecidos en la Constitución española.
Esta Disposición, incluida en la normativa por alguna razón, se presta a finas interpretaciones. Y eso es malo en cualquier legislación. Si hay tres años para que los ficheros y tratamientos preexistentes se adapten a la Ley, ¿por qué tendrían que cumplir éstos los plazos de adaptación a las medidas de seguridad de nivel medio y alto del actual Reglamento? La Ley es una ley, y además, orgánica; mientras que el Reglamento, de menor rango, se publicó en forma de Real Decreto. Por añadidura, la impronunciable LOPDCP incorpora también una Disposición transitoria tercera, ‘Subsistencia de normas preexistentes’, que mantiene la vigencia del Reglamento de medidas de seguridad (R.D. 994/1999) «...En cuanto no se oponga a la presente ley». Oponerse, en puridad, no se opone. Pero tampoco coincide.
Ante semejante panorama, la actitud más prudente y cabal en lo que se refiere a la incorporación de medidas de seguridad, es continuar con los procesos de adaptación al Real Decreto 994/1999. Si se cumple con lo dispuesto en él, además de mejorar la calidad de los sistemas de información, se estará más en sintonía con lo que en el futuro pudiera demandarse.

Documento en PDF
 

<volver