Nada menos que 158. Ese es el número de artículos que se contienen en el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Como sabéis, ese Reglamento, numerado como 1720/2007, de 21 de diciembre, fue publicado en el Boletín Oficial del Estado el pasado 19 de enero de 2008. De manera un tanto desordenada, se pretende desarrollar la Ley Orgánica (que no es poco) y, de paso, la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de comercio Electrónico y la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones (que ya es demasiado). Estas dos últimas, en cuanto se atribuyen a la Agencia de Protección de Datos determinadas competencias en materia de investigación y sancionadoras. Como tiempo habrá para estudiar el Reglamento completo y abordar aspectos más complejos, creo que ahora no es momento de redactar un ladrillo al respecto. En esta primera entrada sobre esta ¿nueva? norma, voy a referirme solamente a dos cuestiones (que, por cierto, no tienen nada que ver una con otra).
La primera cuestión, importante, – aviso a navegantes- sobre los plazos de actualización y/o adaptación de los ficheros a las medidas y niveles de seguridad contenidos en el Reglamento (único aspecto realmente importante del mismo), de acuerdo con su Disposición Transitoria Segunda. Una advertencia: los plazos para proceder a esa adaptación se computan desde la entrada en vigor del Reglamento. Y la fecha de entrada en vigor será el día 19 abril de 2008 (a los 3 meses de su publicación en el BOE, de acuerdo con su Disposición Final Segunda), es decir, que será desde esa fecha desde la que hay que contar los plazos:
A) Para FICHEROS AUTOMATIZADOS YA INSCRITOS: los plazos de actualización varían según el siguiente listado: * Un año (es decir, 19 de abril de 2009), para implantar las medidas de seguridad de nivel medio en los siguientes:- Ficheros de Entidades Gestoras, Servicios Comunes de la Seguridad Social y Mutuas Patronales.- Ficheros que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos, respecto de las medidas de este nivel que no fueran exigibles conforme a lo previsto en el artículo 4.4 del Reglamento anterior (esto es, el aprobado por Real Decreto 994/1999, de 11 de junio). ** Un año (para implantar las de nivel medio) y 18 meses (para implantar las de nivel alto) en los ficheros que contengan datos derivados de actos de violencia de género, así como en aquellos de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización. *** En los demás supuestos, un año.
B) Los FICHEROS NO AUTOMATIZADOS que existan en la fecha de entrada en vigor del Reglamento deberán ser puestos al día en diferentes plazos, según cuál sea el nivel de las medidas de seguridad a implantar: básico (12 meses), medio (18 meses) y alto (24 meses).
C) Los FICHEROS, sean automatizados o no automatizados, CREADOS CON POSTERIORIDAD a la fecha de entrada en vigor del Real Decreto (es decir, a partir del 9 abril de 2008)deberán tener implantadas, desde el momento de su creación la totalidad de las medidas de seguridad reguladas en el mismo. Por lo tanto, parece conveniente que recomendéis la inscripción de los ficheros aún no realizada, antes de la entrada en vigor del Reglamento, para que tengáis la posibilidad de ampliar los plazos de actualización.
La Segunda cuestión a la que me quiero referir está referida a los artículos 48 (Ficheros de exclusión del envío de comunicaciones comerciales) y 49 (Ficheros comunes de exclusión del envío de comunicaciones comerciales) del Reglamento. Estos dos artículos que comienzan con estos títulos tan largos y contundentes, no se refieren a otra cosa que a la posibilidad de crear los denominados servicios de “listas robinson”.Como sabéis, el Servicio de Listas Robinson tiene por objeto permitir a los usuarios de internet eliminar su nombre y dirección de correo electrónico de los listados de publicidad con el fin de reducir al mínimo la cantidad de publicidad o correo no deseado que reciben en forma de correo electrónico dirigido personalmente a ellos.Los usuarios que así lo quieren y no desean recibir más envíos de estas características se podrán inscribir en una de las listas Robinson creadas al efecto, quedando excluido de los envíos de las empresas adheridas a partir de ese momento. Aquellos usuarios que por el contrario, estén interesadas en recibir más envíos y, en particular, sobre algún tema determinado, también podrán solicitar el Servicio de Listas Robinson, y formar parte de las listas de adheridos para continuar recibiendo tales correos electrónicos.Las listas se suelen gestionar a través de Asociaciones empresas o de consumidores y/o usuarios de Internet que las distribuyen entre sus asociados o inscrito.Se trata de una iniciativa de autoregulación que, a fecha de hoy, está extendida por algunos países de la UE y de Estados Unidos pero que no tiene un alcance general aún.Estas listas serán proporcionadas a las empresas miembros de aquéllas Asociaciones, quienes garantizarán que dichos nombres y direcciones de correo electrónico dejan de figurar, o en su caso se incluyen, en los listados de usuarios que utilizan con fines de Marketing Directo. Pues bien, los artículos citados hacen expresa posibilidad de creación de tales listas, bien de manera individual por las propias empresas respecto de sus propias listas (artículo 48: “Los responsables … podrán conservar los mínimos datos imprescindibles para identificarlo y adoptar las medidas necesarias que eviten el envío de publicidad”) o bien, a través de asociaciones o agrupaciones de empresas de este tipo (artículo 49 que os transcribo a continuación) y cuya pretensión sería agrupar todas esas direcciones de correo electrónico de manera común para que la medida de exclusión pueda ser lo más adecuada posible.
El artículo 49 dice así:
“1. Será posible la creación de ficheros comunes, de carácter general o sectorial, en los que sean objeto de tratamiento los datos de carácter personal que resulten necesarios para evitar el envío de comunicaciones comerciales a los interesados que manifiesten su negativa u oposición a recibir publicidad. A tal efecto, los citados ficheros podrán contener los mínimos datos imprescindibles para identificar al afectado. 2. Cuando el afectado manifieste ante un concreto responsable su negativa u oposición a que sus datos sean tratados con fines de publicidad o prospección comercial, aquél deberá ser informado de la existencia de los ficheros comunes de exclusión generales o sectoriales, así como de la identidad de su responsable, su domicilio y la finalidad del tratamiento. El afectado podrá solicitar su exclusión respecto de un fichero o tratamiento concreto o su inclusión en ficheros comunes de excluidos de carácter general o sectorial. 3. La entidad responsable del fichero común podrá tratar los datos de los interesados que hubieran manifestado su negativa u oposición al tratamiento de sus datos con fines de publicidad o prospección comercial, cumpliendo las restantes obligaciones establecidas en la Ley Orgánica 15/1999, de 13 de diciembre, y en el presente Reglamento. 4. Quienes pretendan efectuar un tratamiento relacionado con actividades de publicidad o prospección comercial deberán previamente consultar los ficheros comunes que pudieran afectar a su actuación, a fin de evitar que sean objeto de tratamiento los datos de los afectados que hubieran manifestado su oposición o negativa a ese tratamiento“.
Creo que es una iniciativa acertada y positiva, siendo el transcurso del tiempo el que nos dirá cuál sea la efectividad de estas medidas. Al ser un convencido defensor de las bondades de la autorregulación responsable, entiendo que las empresas, a través de las asociaciones que los agrupan deben comenzar a trabajar de inmediato en la implantación de estas medidas.En el bien entendido que la posibilidad de creación de tales listas y la sumisión a sus reglas de juego será efectuado por las empresas “legales”. Las que, periódicamente, nos envían correos para que compremos Viagra o no alarguemos el pene me temo que no se someterán a tales condicionantes.
Publicado en ICTNET, con fecha 25 de enero de 2008.
8 Julio 2009 a las 2:04 pm
[...] Listas Robinson: un nuevo impulso. Como decíamos en un post anterior, el nuevo RDLOPD regula de manera particular los ficheros de exclusión o “listas robinson” que [...]