El periodo de transición que se ha abierto desde mayo de 2016 hasta la entrada en vigor definitiva del nuevo Reglamento (UE) 2016/679 en materia de protección de datos, supone un nuevo avance en cuanto al Derecho de Nuevas Tecnologías, en un esfuerzo por armonizar y unificar toda la normativa de desarrollo nacional de los distintos países comunitarios que, como la LOPD y la LSSICE en España, venían regulando de forma heterogénea la protección de datos de carácter personal.
La principal virtud de este nuevo Reglamento es la de ser de aplicación directa, es decir, no requerir un desarrollo adicional por los poderes legislativos de cada país para su aplicación.
Uno de los aspectos importantes de este Reglamento es su esfuerzo por intentar imprimir un carácter proactivo a la protección de datos, lo que se ha traducido, entre otras cosas, en lo que se ha venido a denominar la protección de datos desde el diseño y por defecto.
Ficheros de datos de carácter personal
Siendo el diseño de ficheros y su consiguiente registro uno de los elementos principales de garantía y seguridad de la protección de datos, es evidente que, ante cualquier nuevo producto, servicio o necesidad, la definición de los mismos ha de anticiparse a la puesta en marcha del elemento que lo causa.
A estos efectos, es interesante observar cómo las entidades públicas y privadas desarrollan correctamente estas prácticas, como en el caso de la resolución tomada el pasado 17 de enero por el Consell Jurídic Consultiu de la Comunitat Valenciana, para la creación de un nuevo fichero de las imágenes tomadas por las cámaras de vídeo vigilancia y su refundición con el resto de ficheros de protección de datos de carácter personal, inscritos por este organismo en la Agencia Española de Protección de Datos.
Aunque la normativa vigente distingue entre ficheros de titularidad pública y ficheros de titularidad privada, a efectos prácticos las características, uso y medidas de protección a la hora de crear un nuevo fichero destinado a albergar datos susceptibles de protección son, básicamente, los mismos.
El Real Decreto 1720/2007, de 21 de diciembre, establece las medidas técnicas y de organización que se han de implantar para garantizar la seguridad en los ficheros a nivel estructural.
En función de estas medidas técnicas, la Consultoría de protección de datos y los delegados y responsables de ficheros, han de seguir unas pautas establecidas en la creación de nuevos ficheros, su notificación y registro, para lo cual es de gran utilidad la guía desarrollada por la propia AEPD. Actualmente, con el reglamento de desarrollo de la LOPD (RD 1720/2007)
Los ficheros se configuran en tres niveles de protección, alto, medio y básico, según el tipo de datos que contengan y en función del nivel de privacidad de los mismos, siendo de máximo nivel datos como la ideología o la religión.
Asimismo, se han de distinguir diferentes niveles de protección en función de que los ficheros sean automatizados o no.
Por último, será siempre imprescindible disponer, en todo momento, de un documento de seguridad accesible a todas las personas que intervengan en el tratamiento de los datos, a modo de protocolo.
