Hace unos meses, Pablo nos adelantó la aprobación del Reglamento que actualiza la Ley Orgánica de Protección de Datos. Su entrada en vigor fue el 19 de abril mediante su publicación en el BOE. (RD 1720/2007 - PDF). Las principales novedades que aporta este reglamento son las siguientes:
- Se excluye de su aplicación a las personas fallecidas.
- No será de aplicación tampoco al tratamiento de datos de personas físicas (autónomos) que presten sus servicios en personas jurídicas.
- Se establece que podrán conservarse los datos (excepción al principio de cancelación) durante el tiempo en que pueda exigirse algún tipo de responsabilidad o en el caso de datos de valor histórico, estadístico, etc.
- Se excluye de la obligación del consentimiento al tratamiento de datos en los supuestos de cesión para satisfacción de un interés legítimo del responsable del tratamiento o cesionario amparado por Ley. Asimismo, se establece que no será necesario el consentimiento para la comunicación de datos de salud con fines asistenciales.
- Se regula el consentimiento tácito: Dando un plazo de 30 días para oponerse al tratamiento de los datos, en caso de no haber oposición al mismo se entiende que el interesado otorga su consentimiento.
- El nuevo reglamento recoge, además, un “Estatuto del Encargado de Tratamiento”.
- Introduce como datos de nivel alto los referentes a violencia de género y aquéllos recabados por la policía sin el consentimiento del interesado.
Respecto a las medidas de seguridad se establece un importante cambio para los ficheros que contengan datos de salud, orientación sexual, origen racial, afiliación sindical (datos de nivel alto), estableciendo que los ficheros que contengan datos de este tipo pero que sean accesorios (es decir, que su inserción en el fichero sea a meros efectos de comunicación de cotizaciones a la Seguridad Social, o para el cobro de cuotas sindicales, etc..) podrán considerarse de nivel básico, implementando, por lo tanto, las medidas de seguridad de nivel básico a esos ficheros.
Existe una excepción a esta consideración de carácter básico para los datos personales sensibles, que es el caso de los Despachos Profesionales o Asesorías. Tiene que tratar este tipo de datos cedidos por sus clientesimplementando medidas de seguridad altas para todos esos ficheros.
Quiero recordaros que la inmensa mayoría de empresas imcumplimos con esta Ley, tanto en la obligación de inscripción de ficheros como en su adecuado tratamiento. Se ha establecido un plazo de un año para la mayoría de los casos. No debemos dejar pasar de lado este punto porque la verdad se imponen sanciones ejemplares.