Plazos para implantar las medidas de seguridad del nuevo desarrollo de la Ley Orgánica de Protección de Datos

El Reglamento de desarrollo de la Ley Orgánica de Protección de Datos (Real Decreto 1720/2007) establece nuevas medidas de seguridad y requisitos para los ficheros de datos de carácter personal, tanto automatizados como no (en papel); y esta es una de las principales novedades: las medidas de seguridad aplicables a los ficheros en papel.

Antes de agobiarnos y ponernos nerviosos con tantas medidas de seguridad que tendremos que implantar en nuestra empresa, negocio, o en la propia Administración, es necesario echar un vistazo a los plazos que el Real Decreto establece para llevar a cabo estas tareas.

Como ya dijimos, una de las novedades es la aplicación de medidas de seguridad a los ficheros en papel, por tanto, a la hora de computar los plazos vamos a dividir, primero, si el fichero es automatizado o no, y segundo, el nivel de seguridad exigible a ese fichero (nivel básico, medio o alto), ya que dependiendo del nivel los plazos serán distintos.

Así pues, para los ficheros automatizados que existieran en la fecha de entrada
en vigor del reglamento (19 de abril de 2008):

Un año desde el 19 de abril de 2008 para las medidas de seguridad de nivel medio de los siguientes ficheros:

  1. Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias.
  2. Aquéllos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
  3. Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos, respecto de las medidas de este nivel que no fueran exigibles conforme a lo previsto en el artículo 4.4 del Reglamento de Medidas de seguridad de los ficheros automatizados de datos de carácter personal, aprobado por Real Decreto 994/1999, de 11 de junio.

Un año desde el 19 de abril de 2008 para las medidas de seguridad de nivel medio de los siguientes ficheros:

  1. Aquéllos que contengan datos derivados de actos de violencia de género.
  2. Aquéllos de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización.

18 meses desde el 19 de abril de 2008 para las medidas de seguridad de nivel alto de los mismos ficheros que en la categoría anterior.

Un año para todas aquellas medidas no previstas en el Reglamento de Medidas de Seguridad de los ficheros automatizados de datos datos de carácter personal aprobado por Real Decreto 994/1999, de 11 de junio, pero que con este nuevo Real Decreto 1720/2007 se exijan.

Respecto de los ficheros no automatizados que existieran en la fecha de entrada en vigor del real decreto 1720/2007:

  • Un año desde el 19 de abril de 2008 para las medidas de seguridad de nivel básico
  • 18 meses desde el 19 de abril de 2008 para las medidas de seguridad de nivel medio
  • 2 años desde el 19 de abril de 2008 para las medidas de seguridad de nivel alto

Y por último, los ficheros, tanto automatizados como no automatizados,creados con posterioridad a la fecha de entrada en vigor del real decreto 1720/2007 deberán tener implantadas, desde el momento de su creación la totalidad de las medidas de seguridad reguladas en el mismo.

14 comentarios en “Plazos para implantar las medidas de seguridad del nuevo desarrollo de la Ley Orgánica de Protección de Datos”

  1. El gran problema que se plantea es si las Pymes que en su gran mayoría no han realizado acción alguna para adaptarse a la LOPD, van a hacerlo ahora dentro de los plazos que establece el Reglamento.

    De otra parte( aunque yo entiendo que es no sólo deseable, si no necesario), dados los costos que esta adaptación va a implicar, tengo dudas de que el proceso de adaptación vaya a incrementarse con la publicación del Reglamento

    Responder
  2. Hola Guillermo.
    En mi modesta opinión creo que las empresas que no se hayan adaptado hasta ahora a la LOPD, este desarrollo reglamentario no les va a interesar tampoco. De hecho, estoy convencido, que al igual que la LOPD todavía habrá miles de empresas que ni siquiera sepan que tienen unas obligaciones en materia de protección de datos.

    Responder
  3. Entonces, ¿qué legislación es aplicable antes de la entrada en vigor del Nuevo Reglamento?
    Si hay una inspección, ¿está en vigor el anterior reglamento hasta que lo esté el nuevo?

    Responder
  4. Hola José Luis:

    Mira lo que dicen algunas disposiciones transitorias de Real Decreto:

    Disposición transitoria cuarta. Régimen transitorio de los procedimientos.
    A los procedimientos ya iniciados antes de la entrada en vigor del presente real decreto, no les será de aplicación el mismo, rigiéndose por la normativa anterior.

    Disposición transitoria quinta. Régimen transitorio de las actuaciones previas.
    A las actuaciones previas iniciadas con anterioridad a la entrada en vigor del presente real decreto, no les será de
    aplicación el mismo, rigiéndose por la normativa anterior.
    El presente real decreto se aplicará a las actuaciones previas que se inicien después de su entrada en vigor.

    En reglamento entrará en vigor en la fecha prevista, con todos sus efectos, pero lo que se refiere a medidas de seguridad están esos plazos que indicaba. El reglamento regula muchas más cosas que las medidas de seguridad, así que a partir del 19 de abril será aplicable el reglamento excepto en los plazos para las medidas de seguridad.
    El anterior reglamento quedará derogado en el mismo momento que entre en vigor el nuevo; en ese momento, todos los ficheros automatizados deberán cumplir con las medidas de seguridad básicas; para las medias y altas tenemos esos plazos.

    Responder
  5. Bueno Samuel, una puntualización que yo veo con respecto a la entrada en vigor para las medidas de seguridad de nivel basico y es la DT Segunda Apartado C
    “En los demás supuestos, cuando el presente reglamento exija la implantación de una medida adicional, no prevista en el Reglamento de Medidas de seguridad de los ficheros automatizados de datos de carácter personal, aprobado por Real Decreto 994/1999, de 11 de junio, dicha medida deberá implantarse en el plazo de un año desde la entrada en vigor del presente real decreto.”

    Así por ejemplo la obligación de cambiar, al menos anualmente las contraseñas, no surgirá hasta el 19 de abril de 2009. Bueno es así como lo veo yo claro.

    Un saludo y felicidades por el blog.

    Responder
  6. Hola Ventur; yo también lo veo así, por eso pone que quedan 14 meses y pico para esas medidas…

    No obstante, en el caso concreto de la caducidad de la contraseña, yo entiendo que sí que estaba prevista esta medida en el Real Decreto 994/1999 cuando hablaba de “Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad y mientras estén vigentes se almacenarán de forma ininteligible.”, el nuevo reglamento lo único que hace es fijar ese plazo máximo a un año… pero la medida como tal ya existía por lo que tendría que estar contemplada a la entrada en vigor del Real Decreto.

    Responder
  7. Hola María.
    Respecto a tu pregunta, en realidad tendríais que tener ya un montón de cosas hechas desde el año 1999. Lo que va a entrar en vigor en un par de meses es un Real Decreto de desarrollo de la Ley Orgánica de Protección de Datos, y esta Ley Orgánica ya os está obligando a realizar ciertas conductas: informar a los clientes de que sus datos van a ser introducidos en un fichero, con la finalidad que corresponda, etc, pedir consentimiento cuando proceda, declarar ante la Agencia Española de Protección de Datos los ficheros de datos personales que esteis tratando, etc, etc.
    Yo empezaría primero por adaptarme cuando antes a la Ley Orgánica y luego empezaría con el Real Decreto que aun no está en vigor, sobre todo, porque si inscribis los ficheros en la Agencia DESPUES de la entrada en vigor no teneis plazos para implantar ninguna medida de seguridad sino que teneis que tenerlas implantadas desde el primer día.

    Responder
  8. Aunque parezca mentira, los datos es algo que a diario se utiliza y que su malintencionado uso puede hacer mucho daño. Un ejemplo, una sentencia de la Aepd sobre una mujer, investigada por su marido, al que telefónica, endesa y otros facilitaron datos sobre sus consumos y fueron presentados en la vista de divorcio, con todos los posibles perjuicios que esto cause en el fallo.
    Otro ejemplo, datos sobre mujeres que asisten a clínicas abortistas, un club social determinado, asistencia a un lugar determinado…

    Responder
  9. Estos plazos son sólo para ficheros ya dados de alta en la agencia? O bien son plazos para aquellos que deban declarar sus ficheros y, por tanto, cumplir con las normas de seguridad?

    Dicho de otra forma, si no tengo declarados los ficheros y lo hago antes del 19 de Abril, ¿tengo plazos para acondicionarme? O da igual que lo haga en el plazo de 1 año pero ya con las normas implantadas?

    Responder
  10. Hola Vicente. Esos plazos (excepto obviamente el último párrafo) son para los ficheros ya existentes en el momento de entrada en vigor. Si no tienes ningún fichero declarado, y lo haces antes del 19 de abril, tendrás el plazo correspondiente al nivel de seguridad del fichero.

    Por último, los ficheros, tanto automatizados como no automatizados,creados con posterioridad a la fecha de entrada en vigor del real decreto 1720/2007 deberán tener implantadas, desde el momento de su creación la totalidad de las medidas de seguridad reguladas en el mismo.

    Espero que haya resuelto tu duda.

    Responder
  11. Realmente yo veo esta Disposición como una pequeña trampa, pues no contar con las nuevas medidas de seguridad o incluso irse por encima del mínimo requerido en caso puede significar una fuga de informarción, o una vulneración del deber de secreto vaya, o un incumplimiento del principio de calidad de los datos,… con lo que lo más seguro es que nos sancionen, no por no contar con las medidas de seguridad, que no podrán, sino por el incumplimiento de tal o cual principio.

    Mi recomendación es implantar cuanto antes.

    Salu2

    Responder

Deja un comentario