LA OPINIÓN DEL EXPERTO

EL INGENIERO INDUSTRIAL ANTE EL NUEVO REGLAMENTO
DE PROTECCIÓN DE DATOS

El Consejo de Ministros aprobó, el pasado 21 de diciembre, el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la Ley Orgánica de Protección de Datos (LOPD). Tras su publicación en el BOE el pasado 19 de enero, entró en vigor tres meses después, el 19 de abril.

A pesar de que la primera ley de protección de datos (LORTAD) es del año 1992 y la segunda (LOPD), actualmente en vigor, es del año 1999, sigue existiendo una gran desconocimiento en la mayoría de sectores empresariales de las obligaciones que existen con respecto a la protección de datos de carácter personal. La creciente importancia del derecho fundamental a la protección de datos, el desarrollo de las Tecnologías de la Información y la globalización, con los movimientos internacionales de datos, han sido factores decisivos para contar con un nuevo reglamento que clarificara muchos de los aspectos de la LOPD y que por tanto diera una mayor seguridad jurídica.

Entre algunas de las novedades más significativas es que el Reglamento incluye dentro de su ámbito de aplicación los ficheros o tratamientos no automatizados (en soporte papel) y de modo específico las medidas de seguridad aplicables a los mismos. Se amplía el número de excepciones para las que hay que solicitar el consentimiento de los titulares de los datos. Sin embargo, se obliga al responsable de los ficheros a facilitar un medio sencillo y gratuito para manifestar su negativa al tratamiento de datos; por ejemplo, mediante una llamada a un teléfono gratuito o a los servicios de atención al cliente o un envío prefranqueado.

En cuanto a las obligaciones que debe cumplir cualquier ingeniero industrial que desarrolle sus actividades profesionales como empresario individual o societario se recogen en cinco fases. En primer lugar, debe notificar al Registro General de Protección de Datos aquellos ficheros en soporte automatizado o manual (en papel) que haya identificado en su empresa (clientes, proveedores, empleados, contactos, etc.). En segundo lugar se han de redactar unas cláusulas de información para que cualquier persona física a la que se recaben datos, esté informada de los extremos recogidos en el artículo 5 de la LOPD. En esta segunda fase, también se elaborarán y firmarán los contratos o anexos de protección de datos con aquellos colaboradores externos que para prestarnos un servicio tengan que acceder a datos personales; por ejemplo con la asesoría fiscal y contable, con el asesor laboral, etc. En tercer lugar, se redactará, implantará y mantendrá un documento de seguridad que recoja toda la política de seguridad de datos de la empresa según establece el artículo 8 del Real Decreto 994/1999, de 11 de Junio por el que se aprueba el Reglamento de Medidas de Seguridad. En cuarto lugar, diseñar un protocolo para que cualquier ciudadano pueda ejercitar sus derechos de acceso, rectificación, cancelación y oposición al tratamiento de sus datos. Y por último, formar a sus empleados en materia de protección de datos.

El incumplimiento de cualquiera de estas obligaciones está sujeto a un régimen sancionador que oscila entre los 601,01 euros hasta los 601.012,10 euros. Aunque pueda pensarse lo contrario, lo cierto es que la Agencia de Protección de Datos impuso en el año 2006 sanciones por valor de 24,4 millones de euros a responsables de ficheros.

Joaquín Rieta Carbonell
Miembro del Grupo Jurídico de protección de datos de la CEOE para la  redacción del Nuevo Reglamento LOPD.

Responder al EXPERTO