La aprobación en 2007 del Real Decreto 1720, Desarrollo Reglamentario de la vigente Ley Orgánica de Protección de Datos de 1999, fue muy oportuno en el tiempo al incluir los ficheros manuales y fijar los conceptos de la Legislación de Telecomunicaciones. También lo fue en su momento el Real Decreto 994, desarrollo del artículo 9 de la extinta Ley Orgánica de 1992 para los ficheros informatizados.
Ahora, estamos a tiempo a presupuestar lo necesario para poder aplicar unas medidas adecuadas de seguridad a aquellas empresas, organismos o particulares que no las tuvieran ya en parte o totalmente implantadas, muy especialmente en la parte organizativa y de concienciación de las mismas.
En 1999 muchas organizaciones estaban esperando a que se publicara el Reglamento para poder aplicar medidas de seguridad, aunque fueran medidas de libro. Los sistemas de información, los servidores de datos y las redes de comunicaciones deberían de nacer con las medidas de seguridad ya estudiadas. Es decir, desde el estudio funcional, donde se clasificaría la información a tratar o a contener o a transmitir en los supuestos de disponibilidad, confidencialidad e integridad y se presupuestaría la solución tecnológica a aplicar de forma que se pudiera implantar el Reglamento. También para que protegiera la intimidad de las personas tal como nos exige la Constitución Española.
Las empresas proveedoras de servicios tienen que ser conscientes de la responsabilidad que tienen con los productos que realizan, comercializan o con los que proporciona algún tipo de servicio. Así está previsto en el artículo 12 de la LOPD y anteriormente en el artículo 27 de la extinta Lortad, siendo corresponsables los encargados de tratamiento junto con los Responsables de los ficheros en las infracciones en que incurrieran.
Son aún más estrictos en la Ley 8 de 2001 de Protección de Datos de Carácter Personal en la Comunidad de Madrid. En su artículo 9.4 indica que el incumplimiento de las determinaciones indicadas en el artículo 12 de la LOPD será causa de resolución del contrato, sin perjuicio de las sanciones que eventualmente correspondan y de las responsabilidades que pudieran derivarse por los daños y perjuicios que se ocasionen. Hay que recordar muy especialmente el deber de secreto que tienen con respecto a la información que gestionan o administran.
Sería interesante la creación de los Delegados o Coordinadores de Protección de Datos en las empresas y organizaciones previstos en la Directiva 95/46. Profesionales expertos en la materia que promovimos mucho desde que la Apdcm comenzó su andadura. La informática es imprescindible y lo va a ser cada vez mas, por eso sigue siendo necesario extender el conocimiento de la Legislación de Protección de Datos, Legislación de Propiedad Intelectual y de Telecomunicaciones, Comercio Electrónico y de la Sociedad de la Información, la parte correspondiente del Código Penal, tanto a Usuarios como a Profesionales, sin dejar de lado las Leyes de Patrimonio Histórico, Patrimonial y de Estadística por sus fuertes implicaciones en la organización de los archivos en papel, las autorizaciones de acceso y el reciclaje del mismo y su digitalización. También las evidencias electrónicas de que la información, cuando se digitaliza, no se modifica con respecto a la contenida en los originales en papel.
Se sigue necesitando una fuerte labor difusora y pedagógica, empezando por la formación del profesorado para que lo transmitan a los alumnos de todos los procesos y edades y ciclos educativos. A pesar de la fuerte labor difusora realizada desde las Agencias y muchos colectivos profesionales y asociaciones, no basta con que se legisle y se estudien y publiquen desarrollos reglamentarios del articulado.
No pueden ser simples informaciones publicadas en el BOE, hay que conseguir que las mismas se conviertan en conocimiento y en convencimiento de la necesidad de su aplicación para el bien general. Un trabajo que debemos prolongar hasta que consiga que la cultura de la protección de datos se integre en la vida diaria y cotidiana de todos nosotros.
Desde mi punto de vista, también fue muy importante la aprobación en 1999 del artículo 45.5 de la Lopd. Éste permite, en razón de las circunstancias concurrentes, si el órgano sancionador apreciara una cualificada disminución de la culpabilidad o de la antijuridicidad de los hechos, el establecer la cuantía de la sanción en el caso de ficheros de titularidad privada. Para ello aplica la escala relativa a la que precede inmediatamente en gravedad a aquella en que se integra la considerada en el caso en que se trate.
Sería interesante que se produjera un desarrollo reglamentario del artículo 45.7, también referido al tipo de sanciones, en el que se indica que el Gobierno actualizará periódicamente la cuantía de las sanciones de acuerdo con las variaciones que experimentan los índices de precios. Lo hace adaptando, en la medida de lo posible, el régimen sancionador de la Ley española al de los otros países de la Unión Europea. Países a los que les es igualmente de aplicación la Directiva 95/46/CE. También lo hace dotando a la Agencia Española de un presupuesto propio independiente de la aplicación o recaudación a través del régimen sancionador, como han solicitado sus Directores en el Congreso de los Diputados en numerosas ocasiones.
Por ultimo recordar el artículo 25.1 de la Constitución Española: “Nadie puede ser condenado o sancionado por acciones u omisiones que en el momento de producirse no constituyan delito, falta o infracción administrativa, según la legislación vigente en aquel momento”.