El pasado 21 de diciembre, el Consejo de Ministros aprobó el Reglamento de Protección de Datos, tras más de dos años de elaboración. Después de su publicación en el Boletín Oficial del Estado, tendrán que transcurrir un total de tres meses desde esa fecha hasta su entrada en vigor. A partir de este momento y según la normativa, las empresas españolas serán las encargadas de velar por el derecho de los ciudadanos en relación a un correcto uso de sus datos de carácter personal. El nuevo reglamento concreta una nueva serie de exigencias que habrán de cumplir todas las empresas, con independencia de su forma jurídica o tamaño.

La obligación de automatizar los ficheros en formato papel será lo más costoso para las empresas a la hora de su aplicación porque su implantación implicará contratar a personal especializado y adquirir sistemas informáticos que permita su cumplimiento, fundamentalmente en lo que se refiere a las estrictas normas de seguridad, que también será exigible a todo tipo de organizaciones.

El Reglamento de Protección de Datos incluye expresamente en su ámbito de aplicación a los ficheros y tratamientos de datos no automatizados (en formato papel) y fija criterios específicos sobre medidas de seguridad de los mismos. Se exigirá la aplicación de unos criterios de archivo que garanticen la conservación correcta de los documentos y el ejercicio del derecho de oposición al tratamiento, rectificación y cancelación. Además, los armarios, archivadores y demás elementos de almacenamiento deberán disponer de mecanismos adecuados de cierre como una llave, que impidan el acceso a la documentación de personas no autorizadas. Mientras esa documentación no esté archivada, la persona a su cargo, deberá custodiarla, impidiendo que acceda a ella quien no tenga autorización. En el caso de los ficheros con datos incluidos en un nivel de seguridad alto, estos se guardarán en áreas cerradas con puertas con llave o cualquier otra alternativa que impida a quienes no estén autorizados el acceso a la documentación.

Uno de los objetivos del nuevo desarrollo reglamentario es reforzar la idea de protección de los derechos de los titulares de los datos, habiéndose endurecido el cumplimiento de alguno de los requisitos para llevar a cabo el tratamiento de datos personales. Se regula todo un procedimiento para garantizar que cualquier persona, antes de consentir que sus datos sean recogidos y tratados, tengan pleno conocimiento de la utilización que de esos datos se vaya a hacer. Para garantizar aún más el derecho de las personas a controlar la exactitud y utilización de sus datos personales, se exige de manera expresa al responsable de los ficheros de datos que conceda al interesado un medio sencillo y gratuito para ejercitar su derecho de acceso, rectificación, cancelación y oposición.

También cabe destacar las exigencias en cuanto a la forma de recabar el consentimiento tácito para fines distintos a los directamente relacionados con la relación contractual, principalmente para su utilización con fines de carácter comercial. Además, el responsable del fichero debe conservar un medio de prueba que permita acreditar el cumplimiento del deber de información. Otra de las exigencias consiste en la flexibilización de la forma de ejercer los derechos de acceso, rectificación, cancelación, y oposición, conocidos como “derechos ARCO”.

El Reglamento prevé un régimen transitorio de aplicación en la adopción e implantación de las medidas de seguridad. Los plazos aprobados son, con respecto a aquellos ficheros automatizados existentes en la fecha de su entrada en vigor, de entre 12 y 18 meses, siempre en función del tipo de fichero y medida de seguridad que se trate. Así, en el caso de los ficheros no automatizados existentes en la fecha de su entrada en vigor, los plazos serán de 12,18 y 24 meses para la implantación de las medidas de nivel básico, medio y alto, respectivamente.


Fuente: El Economista