Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal

AutorMaría del Mar Martínez Sánchez
CargoSubdirectora del Registro General de Protección de Datos de la Agencia de Protección de Datos
Páginas315-317

Este comentario complementa el que sobre la actual Ley de Protección de Datos efectué hace dos números en esta misma sección. El objeto del mismo no es únicamente el artículo que he reseñado, sino también algunas cuestiones que aparecen en el resto de los trabajos del mismo número de Actualidad Informática Aranzadi. Se trata, qué duda cabe, de una materia árida, y que, aunque nos afecta profesionalmente, no es muy atrayente, de modo que voy a resaltar lo más relevante de forma esquemática:

  1. La ley que regulaba esta cuestión era la conocida LORTAD, Ley 5/92 de 29 de octubre. Durante su vigencia se promulgó el reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, aprobado por Real Decreto 994/1999, de 11 de junio (en adelante el reglamento). Y, posteriormente, la Ley Orgánica 15/1999, 13 de diciembre, de protección de datos de carácter personal (en adelante la ley), sustituyó a la LORTAD.

    El ámbito de esta última es más amplio que el de la LORTAD, porque la primera abarcaba únicamente los ficheros automatizados de datos, y la actual amplía su ámbito a todo tipo de ficheros, estén o no automatizados. El reglamento regula nada más que los primeros, por lo que será necesario un desarrollo reglamentario específico para que los ficheros manuales queden sujetos a la normativa de protección de datos.

  2. La ley define más claramente que su predecesora la figura del encargado del tratamiento, distinguiéndola de la del responsable del fichero o tratamiento. Así, éste (art. 3.d) es cualquier persona que tenga poder de decisión sobre el fin, contenido y uso del tratamiento. Por su parte, el encargado (art. 3.g) se limita a tratar datos por cuenta del responsable; deberá efectuar el tratamiento (art. 12) de acuerdo con las instrucciones recibidas, y habrá de implementar las medidas de seguridad en el nivel correspondiente a los datos que maneje.

  3. Ni la ley ni las directivas existentes sobre el tema definen de manera precisa qué ha de entenderse por medidas de seguridad, prefiriendo utilizar unos tipos legales abiertos. El reglamento, sin embargo, parte de la idea de que es preferible tener regladas y determinadas esas medidas, diferenciando tres niveles de seguridad en función de la menor o mayor necesidad de confidencialidad de los datos, y estableciendo las medidas de seguridad mínimas para cada uno de ellos: el) Nivel básico: incluye todos los ficheros que contengan datos de carácter personal...

Para continuar leyendo

Solicita tu prueba

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR