Feliz cumple-mes

El RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD), ha cumplido un mes desde su entrada en vigor el pasado 19 de abril. ¿Qué interés ha suscitado en las organizaciones, de ámbito público o privado, y en los ciudadanos?.

La Agencia Nacional de Protección de Datos (AGPD) probablemente pueda responder a esta pregunta. Lo cierto es que en su página Web, en la sección "Preguntas mas frecuentes" del "Canal del ciudadano" no aparece ninguna pregunta acerca de la aplicación del nuevo reglamento, si en cambio al antiguo (RD 994/1999). No queremos decir que las preguntas que aparecen no sean de interés en la actualidad, ciertamente no han perdido vigencia y en algún caso los términos usados en la respuesta ofrecida me hace pensar que ha sido tenido en cuenta nuestro reciente y flamante nuevo RD 1720, por ejemplo referencias como "el ejercicio del derecho de cancelación o rectificación es personalísimo", mismo término que se encuentra en el artículo 23.1.

En la Web de la AGPD aparecen constantes referencias al nuevo Reglamento y se ofrecen ayudas a los responsables de los ficheros para su aplicación, pero no se recogen inquietudes acerca de las nuevas obligaciones que impone, o bien no se han suscitado cuestiones acerca de dichas obligaciones o no han tenido tiempo de actualizar el "FAQ" referido en el párrafo anterior.

Han de saber que respecto a los ficheros inscritos con anterioridad al 19 de abril de 2008, en función de quien es el responsable del tratamiento, y en función de la criticidad de los datos, han de ser revisados los documentos de seguridad de los ficheros que los contienen y permiten su tratamiento. También deberán estar implantadas las medidas de seguridad pertinentes y de acuerdo a lo dispuesto en el Título VIII. Así se producirán tres hitos, el 19 de abril de 2009, el 19 de septiembre del mismo año y el 19 de abril de 2010, en los que según el caso, cada cual habrá de haber finalizado esta tarea.

También las organizaciones que tengan inscrito un "código tipo" deberán notificar a la AGPD las modificaciones necesarias en estos, con el fin de adaptar su contenido a lo dispuesto en el Título VII del RD 1720, antes del 19 de abril de 2009. La novedad más importante que trae el RD 1720 es que, al igual que la LOPD, comprende tanto el tratamiento automatizado de los datos de carácter personal como el tratamiento no automatizado, por lo que las organizaciones habrán de realizar nuevas inscripciones de ficheros (además de los que permiten el tratamiento automatizado) y deberán cumplir con medidas de seguridad específicas para ellos.

Por otra parte, aunque el RD 1720 clarifica cosas respecto al RD 994 y recoge la experiencia de los años de vigencia de aquel, es notablemente mas extenso (incorporando disposiciones que extienden varias regulaciones, como los RD 428/93 o el 1332/94, e incluso sentencias que forman parte de la jurisprudencia), y su interpretación está relacionada con la de muchas mas disposiciones legales, reglamentarias y administrativas por lo que permite sopesar la dificultad que adaptarse a la LOPD tiene para las organizaciones. Estas han de pensar en un "sistema de gestión" que les permita valorar el riesgo de incumplimiento legal, implantar las medidas de seguridad necesarias, verificar su funcionamiento para ver si efectivamente el riesgo está siendo paliado, y en consecuencia reactuar sobre las medidas y los sistemas de tratamiento mismos para asegurarse de cumplir con la Ley.

En fin todo esto es solo el principio de lo que nos viene encima, pues por lo pronto lo primero que responsablemente deberemos hacer es leernos y asimilar el RD 1720, que a fuerza ahorcan y a estudiar toca. Pero no obstante "es un hecho que quien cuente con un sistema de gestión de seguridad de la información (SGSI), mas aún si este es conforme a la norma ISO/UNE 27001 y está certificado por una entidad acreditada para ello, aun cuando su alcance sea muy limitado, tiene gran parte del camino andado".

José Antonio Castilla Barea.
Auditor Certificado de Sistemas de
Información y Comunicaciones (CISA).
Consultor en Seguridad de la Información
Grupo Avante