Preparados, listos, ya

Mañana entra en vigor el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos (Real Decreto 1720/2007, de 21 de diciembre), así que, abróchense los cinturones que vamos a despegar.

Por ese motivo, el próximo Martes, 22 de abril, se celebra la primera Sesión Anual Abierta de la Agencia Española de Protección de Datos en la que nos procurarán aclarar algunos aspectos que plantea la interpretación y aplicación práctica de este Reglamento. Que no son pocos.
Postearemos las conclusiones de esta jornada pues lo que se trate en ella va a marcar, en gran medida, el sentido de la interpretación de la norma para su aplicación.

Con los datos especialmente protegidos no se juega

El próximo sábado 19 de abril entrará en vigor el nuevo reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal (Real Decreto 1720/2007, de 21 de diciembre).

He aprovechado la tarde para darle un repaso previo antes del pistoletazo de salida.
Hay muchos temas que nos llaman especialmente la atención en el Reglamento. Los iremos subiendo y comentando poco a poco porque es una norma especialmente bonita para interpretar. También es reiterativa. Demasiado “copy” “paste” de la Ley Orgánica de Protección de Datos y, lo que es peor, no siempre ha sido una copia literal. Por ahí patina alguna conjunción, por ejemplo, lo que puede ser problemático a la hora de interpretar. Y eso que en el prólogo se declara que la norma nace con la “vocación de no reiterar la norma superior”…

De todos modos, hoy estoy más por abordar temas técnicos que legales. Dejo para otro post las “conjunciones” y me centro en las medidas de seguridad para el tratamiento de datos de carácter personal.

Me ha llamado particularmente la atención el artículo 81 del Reglamento en el que se hace referencia a la aplicación de los niveles de seguridad. En concreto, el apartado 6, en el que dice literalmente:

“También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo de cumplimientos de deberes públicos”.


Uhm… Curioso ¿no? Sobretodo cuando al ofrecernos la definición de qué es un dato de carácter personal relacionado con la salud, el propio Reglamento en el artículo 5 apartado g) hace referencia expresa a esta particularidad:

“En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad…”


Otra vez curioso. Se me está advirtiendo que, en particular, es dato de salud el referido al porcentaje de capacidad pero luego se me exime de aplicarle las medidas de seguridad de nivel alto al grado de discapacidad.

Parece que el legislador ha querido quitarle problemas a los responsables de los ficheros (pongamos una empresa en su fichero de Recursos Humanos) que tiene que tratar datos de discapacidad de los trabajadores obligatoriamente y darles una “facilidad” permitiendo aplicar unas medidas de seguridad de nivel bajo a esos ficheros. (recuerdo que la norma general es que a los datos especialmente protegidos, salud, entre ellos, se les aplican medidas de seguridad de nivel alto. )

Pero si los datos de salud son datos especialmente protegidos y, puesto que el grado de discapacidad es un dato de salud, si nos ponemos a hacer excepciones ya estamos haciendo malabarismos con el derecho a la intimidad personal.
Y siempre cabe la duda de jugar con la semántica y pensar: -Claro es que en el artículo 5 dice “porcentaje de discapacidad” y en el artículo 81.6 “grado de discapacidad”.
A mi la duda me quedó resuelta cuando acudí al Real Decreto 1971/1999, de 23 de diciembre, de procedimiento para el reconocimiento, declaración y calificación del grado de minusvalía y leí en el artículo 4, segundo párrafo:

“El grado de minusvalía se expresará en porcentaje”

...

En fin, cuando era pequeña mi tía Marisa me cantaba una frasecita para que no tocara sus cosas que decía: “con las cosas de Marisa no se juega”. A pesar de eso acabé tirando su despertador al inodoro.
Yo ahora cojo prestada la fórmula y digo “con los datos especialmente protegidos no se juega”. Espero que mis derechos no terminen en el mismo sitio que aquel despertador.

Elena Pérez Gómez
Sánchez-Crespo Abogados y Consultores

Consentimiento tácito en protección de datos

Los lobbies funcionan. El legislador ha oído durante los últimos años y, durante los últimos meses a los grupos de presión incluyendo en el reglamento de desarrollo de la Ley Orgánica de Protección de Datos numerosas "novedades" en materia de prospección comercial favorables a los responsables de ficheros y tratamientos.

Para compensar, el reglamento ha impuesto determinadas obligaciones que, bajo mi punto de vista, no terminan de equilibrar la balanza de derechos y obligaciones de los afectados y los responsables. En mi condición de agectado no me gustan muchas de las novedades, pero en mi condición de responsable todavía estoy celebrándolas.

El artículo 14 del reglamento valida los procedimientos y las formas para recabar el consentimiento de forma tácita.

Dichos procedimietos pasan por informar al afectado de que se piensa hacer con sus datos (cumpliendo el resto de requisitos legales) y datle un plazo de un mes para que se oponga advirtiéndole de que en caso de no expresar su oposición se entenderá que consiente en que dicho tratamiento (incluida la cesión como un tratamiento más) se lleve a cabo.

Para proteger a los afectados, el reglamento obliga al responsable a:

a) que la información sea perfectamente visible si la envía junto con otra información o documentos;
b) utilizar un método por el que pueda conocer si una comunicación ha sido devuelta, en cuyo caso no podrá tener por prestado el consentimiento tácito.

c) Poner a disposición del afectado mecanismos sencillos y gratuitos para ejercer su oposición.

Además, el reglamento de protección de datos permite al responsable solicitar este consentimiento a los afectados repetidas veces siempre que medie un año en tre solicitud y solicitud.

Este mecanismo, que nos abre muchas puertas y que nos impedirá volver a quejarnos de que la normativa de protección de datos resulta ser tan restrictiva que nos resta competitividad frente a competidores extranjeros, generará una casuística tan amplia que los abogados y consultores tenemos diversión para unos cuantos años.

Resumen de noticia publicada en La Gaceta de los Negocios, 25 de febrero de 2008 por D. Antonio Sánchez-Crespo López.