23 enero 2008

Primeras impresiones

Ya han pasado unos días desde que se publicara, el pasado sábado, el Nuevo Reglamento de desarrollo de la LOPD. Los primeros días prácticamente todo el mundo se limitó a publicar la noticia, pero poco a poco ya han ido apareciendo algunos comentarios. Vamos a ver cuales han sido.

El primero de los temas comentados es el de su vigencia. Hasta el día 18 de Abril seguirá vigente el reglamento anterior, y a partir del día 19 de Abril entrará en vigor el nuevo. Esto quiere decir que, a partir de esa fecha, cualquier NUEVO fichero que se cree tendrá que incorporar TODAS las medidas que se especifican en él. Para los YA EXISTENTES, hay más margen de cumplimiento (aunque, evidentemente, para las nuevas medidas, porque las que se mantienen desde el reglamento anterior "se supone" que ya se están cumpliendo). En general, podemos decir que cualquier fichero deberá cumplir completamente con todas las medidas de seguridad que especifica el nuevo reglamento en el plazo adicional de UN AÑO (es decir, a partir del 19 de Abril de 2009), salvo estas excepciones:
  • 18 MESES (a partir del 19 Octubre de 2009) para las nuevas medidas de nivel alto asociadas a ficheros automatizados (en digital) relativos a violencia de género o a datos de tráfico de operadores de telecomunicaciones.
  • 18 MESES (a partir del 19 Octubre de 2009) para todas las medidas (todas son nuevas) de nivel medio asociadas a ficheros no automatizados (en papel).
  • 2 AÑOS (a partir del 19 de Abril de 2010) para todas las medidas (todas son nuevas) de nivel alto asociadas a ficheros no automatizados (en papel).

Otro de los temas que ha suscitado comentarios ha sido la excepción que hace el reglamento de su aplicación a los ficheros con datos de personas físicas que prestan sus servicios para una persona jurídica (en pocas palabras, los directorios de las empresas, al menos según algunos). Parece que el objetivo era facilitar a las empresas el intercambio interno de información personal por necesidades operativas, pero al ser una excepción a la aplicación de todo el reglamento, y no sólo de las medidas de seguridad que contiene, parece que es un tema que va a provocar bastantes discusiones.

Y aparte de estos temas, seguro que el Nuevo Reglamento va a dar mucho más que hablar. Si vemos cuales eran las previsiones de los borradores previos, podemos ver cómo algunas de las exigencias más polémicas de entonces han desaparecido (informar a la AEPD de las auditorías, disponer de almacenamiento ignífugo, ...). Sin embargo, temas tan dispares como las obligaciones relativas a los operadores de telecomunicaciones o la operatividad real de un documento de seguridad muy exhaustivo seguro que tarde o temprano aparecerán en los distintos foros especializados. Y mientras tanto... cómo reaccionará todo el tejido empresarial en relación a estas nuevas obligaciones? Qué postura adoptará la Agencia Española de Protección de Datos de cara a la verificación del cumplimiento del Nuevo Reglamento? Lo iremos viendo...

No hay comentarios: