martes, 6 de noviembre de 2012

XX Aniversario de la LORTAD: 20 años de protección de datos.


Por  Javier Sempere. Asesor de apoyo técnico-jurídico en la Agencia de Protección de Datos de la Comunidad de Madrid

 El pasado 31 de octubre de 2012 se cumplieron veinte años desde la publicación en el Boletín Oficial del Estado de la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal, más conocida como “LORTAD” y que marcó un hito histórico en nuestro país al ser la primera norma en materia de protección de datos que se aprobaba.

Con posterioridad, dicha norma fue derogada por la vigente Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), de manera que sólo estuvo vigente durante un período de siete años.

Esta segunda Ley Orgánica en la materia, como muchos saben, fue fruto de la transposición de la Directiva 95/46, del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de los mismos.

¿Existen diferencias entre la LORTAD y la LOPD?

Pues aunque pueda parecer lo contrario, ya que la norma posterior –LOPD- se supone que debería ser más “exquisita” desde el punto de vista técnico y jurídico, gran parte de los profesionales que por aquel entonces ya trabajan en la materia echan de menos la LORTAD, la cual consideran de mayor riqueza y concreción, destacando sobretodo su Exposición de Motivos.

En este sentido, si estás interesado en conocer más detalles sobre los tiempos de la LORTAD, en la revista digital de la Agencia de Protección de Datos de la Comunidad de Madrid (APDCM) www.datospersonales.org hemos publicado un número monográfico al respecto con la participación de reconocidos y prestigiosos expertos, que además, ya trabajaban en la materia en aquel ya lejano 1992.

Curiosamente, la LOPD no sólo no tiene Exposición de Motivos, sino que puede ser la única Ley –al menos que yo conozca- que carece de la misma.

Sobre esa Exposición de Motivos me gustaría destacar los siguientes párrafos:

El primero de ellos, porque al leerlo hoy en día se adelante en el tiempo cuál “Nostradamus”, y sin saberlo, porque en aquel momento era prácticamente imposible, “predice” la facilidad en que se pueden recabar los datos personales hoy en día en Internet:

“Las modernas técnicas de comunicación permiten salvar sin dificultades el espacio, y la informática posibilita almacenar todos los datos que se obtienen a través de las comunicaciones y acceder a ellos en apenas segundos, por distante que fuera el lugar donde transcurrieron los hechos, o remotos que fueran éstos.”

El segundo, porque define perfecta y clarividentemente el objetivo de la norma que no es otra que la protección del derecho fundamental a la protección de datos personales ante los riesgos existentes de aquella época:

“Los más diversos datos -sobre la infancia, sobre la vida académica, profesional o laboral, sobre los hábitos de vida y consumo, sobre el uso del denominado dinero plástico, sobre las relaciones personales o, incluso, sobre las creencias religiosas e ideologías, por poner solo algunos ejemplos- relativos a las personas podrían ser, así, compilados y obtenidos sin dificultad. Ello permitiría a quien dispusiese de ellos acceder a un conocimiento cabal de actitudes, hechos o pautas de comportamiento que, sin duda, pertenecen a la esfera privada de las personas; a aquélla a la que sólo deben tener acceso el individuo y, quizás, quienes le son más próximos, o aquellos a los que él autorice. Aún más: El conocimiento ordenado de esos datos puede dibujar un determinado perfil de la persona, o configurar una determinada reputación o fama que es, en definitiva, expresión del honor; y este perfil, sin duda, puede resultar luego valorado, favorable o desfavorablemente, para las más diversas actividades públicas o privadas, como pueden ser la obtención de un empleo, la concesión de un préstamo o la admisión en determinados colectivos.”

Principios, derechos y sanciones de la LORTAD.

Por otra parte, la LORTAD fijaba los principios relativos al tratamiento de los datos personales: calidad, información, consentimiento, datos especialmente protegidos, datos de salud, deber de secreto, seguridad y cesiones, así como los derechos de las personas: acceso, rectificación, cancelación e impugnación de valoración.

Tanto el derecho de oposición como la figura del encargado del tratamiento aparecerían específicamente con la LOPD en cumplimiento de los artículos 14 y 17.3 de la Directiva 95/46.

También crea la Agencia de Protección de Datos, que pasaría a denominarse en la LOPD Agencia Española de Protección de Datos, y establecía ya las criticadas altas cuantías de las sanciones económicas: desde 100.000 pesetas (600 euros) hasta 100.000.000 (600.000 euros).

Asimismo, la LORTAD se completó con dos normas reglamentarias: el Real Decreto 1332/1994, de 20 junio, por el que se desarrollaron diversos preceptos; y el Real Decreto 994/1999, de 11 de junio, sobre medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal. En la actualidad ambas están derogadas.

¿Qué nos deparará el futuro en protección de datos?

Cantaba Bob Dylan en el año 1964 en su fabulosa The times they are a- changin’:

“Si vuestro tiempo es algo/ que vale la pena conservar/entonces mejor que empecéis a nadar/ u os hundiréis como una piedra/ porque los tiempos están cambiando”.

Efectivamente, en esta sociedad del conocimiento y de la economía del dato, todo cambia vertiginosamente, de manera que hay que adecuarse a la mayor brevedad a estos cambios. Ya se sabe, primero va el tecnológico y después el jurídico o normativo.

En esta materia cada vez surgen nuevos problemas y enfoques que afectan a este derecho fundamental. Así, y a modo de ejemplo, si durante los últimos años se han debatido cuestiones relativas a la historia clínica, la videovigilancia, los ficheros de solvencia patrimonial (morosos) y un largo etcétera.

Cuando a principios de este año, parecía que los foros de discusión estaban un poco agotados en torno al “cloud-computing” (computación en nube) y la futura reforma comunitaria, la segunda mitad del año empieza a mostrarse más apasionante con temas como el “BYOD” (“bring your own device”), geolocalización, privacidad en las apps, el llamado “Big Data”, y sin olvidar, nunca mejor dicho, el que parece ser el tema estrella de los últimos años: el derecho al olvido.

Además, nos queda saber cómo se resolverá la cuestión prejudicial planteada por la Audiencia Nacional ante el Tribunal de Justicia de la Unión Europea sobre diversos puntos de aplicación de la Directiva 95/46 a google, y los efectos que tendrá esta resolución.

 Futuro Reglamento de Protección de Datos de la Unión Europea.

Esta norma, que sustituirá a la vigente Directiva, va avanzando en su tramitación de manera que podría estar aprobada para finales del año 2013 o principios del 2014.

Justamente la semana pasada, la Comisaria Viviane Reading, advertía sobre la posibilidad de ser menos exigente con las PYMES y Administraciones públicas. Desde mi humilde punto de vista, un error, ya que el tratamiento de los datos personales no depende del número de trabajadores de una empresa, sino del carácter de los mismos como por ejemplo los datos de salud. Este error también aparece en la figura del Delegado o Responsable de Protección de Datos, que en la propuesta se recoge en función del número de trabajadores (250) y no en función de la categoría de los datos.

Cuestión diferente es si en caso de incumplimiento la sanción económica a una PYME debe ser igual al de una multinacional. Respuesta que a mi entender debe ser negativa.

En el caso de las Administraciones públicas, que en la actual propuesta podrían ser sancionados económicamente, todo hace pensar que la citada menor exigencia pueda conllevar a que no se les aplique dichas sanciones, es decir, seguir en la situación actual que regula la LOPD, y que es ampliamente criticada, al producir una discriminación en materia de incumplimiento entre el sector público y el privado. No obstante, en el Reino Unido, el ICO (Autoridad de Protección de Datos) sí impone sanciones económicas a las Administraciones públicas.

No obstante, y dejando al margen las obligaciones y derechos que regule la futura norma, debe procederse a un cambio de modelo: el respeto de la privacidad debe ser un valor añadido en la oferta de productos y servicios, e integrase como un elemento más que diferencie la competitividad de las empresas.

6/11/2012. FUENTE: Diariojuridico.com

XX Aniversario de la LORTAD: 20 años de protección de datos.