Los “Morosos e Insolventes” están de enhorabuena (1ª parte)

El desarrollo que se ha hecho de los registros de datos de carácter personal relativo a insolventes y morosos en el nuevo Reglamento de la LOPD no ha gustado nada a las empresas que se dedican a esas actividades. Debe ser por eso que, junto con alguno más, han decidido impugnar un importante número de preceptos del mismo a través de los correspondientes recursos jurisdiccionales contencioso-administrativos.

 

La pregunta natural es ¿tienen motivo para estar “cabreados” con el nuevo Reglamento? Desde mi punto de vista, no les falta razón. Con sólo prestar atención a dos de las múltiples cuestiones que se abordan en el texto reglamentario nos daremos cuenta rápidamente. No está de más recordar que, en caso de duda, la solución siempre tiene que decantarse por el ejercicio de los derechos del afectado. Por ello, cuando no haya solución aparente entre dos posibilidades, habrá que darle la razón al “moroso”.

 

Antes de entrar en esta breve relación de cuestiones que se plantean con el nuevo Reglamento, es obligatorio recordar que la Ley Orgánica 15/1999 (al igual que la anterior norma de 1992), aborda el problema fundamentalmente en el artículo 29, regulación raquítica a la postre y que dejaba para el Reglamento el desarrollo de las principales cuestiones. Por ello, en su día, se dictó por la propia APD la Instrucción 1/1995, de 1 de marzo, relativa a prestación de servicios de información sobre solvencia patrimonial y crédito. Esta Instrucción, dictada en interpretación de la antigua LORTAD, pretendía fijar unos criterios comunes y orientadores sobre tal cuestión. La citada Instrucción sigue vigente a día de hoy.

 

En el flamante nuevo Reglamento de desarrollo, se han pretendido introducir los criterios jurisprudenciales (y, por ende, los de la propia Agencia) sobre tal cuestión, existentes en los pronunciamientos de la Audiencia Nacional de los últimos años. El problema, claro está, es que intentar generalizar desde la perspectiva de sentencias que analizan asuntos individuales es sumamente complicado. Veamos unos ejemplos:

 

Se inicia el artículo 38 del RD 1720/2007 disponiendo en su número 1º que:

 

“Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos”.

 

Paremos un momento. Antes de ir con los requisitos hay que llamar la atención sobre un requisito previo que se enuncia en ese párrafo y que presenta los primeros problemas:

 

* “datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado”.

 

Según este texto, con carácter previo siquiera a considerar si la supuesta deuda cumple los requisitos para su inclusión, hay que determinar si la propia deuda (suponemos que, en función del importe) es determinante para enjuiciar la solvencia económica del afectado. Pero ¿quién efectúa esa valoración? ¿con qué datos ha de contar para llevarla a cabo? Supongo que no será lo mismo que el Presidente del Banco de Santander no pague una cuota de, digamos de la hipoteca, que sea yo mismo el que no la pague. Evidentemente, el enjuiciamiento de la solvencia económica de un afectado requiere que existan una serie de datos adicionales que permitan realizarla (¿datos de la declaración de la renta? ¿certificado de ingresos anuales? ¿nivel de endeudamiento?). Pero, ¿cómo van a acceder a tales datos? Habrá que observar qué nos dice la Audiencia Nacional sobre estas cuestiones. Pero es que, además, el impago de una cuota de la ADSL creo que no es suficiente para determinar la solvencia de nadie. En todo caso, puede ser un acto de justicia poética.

 

Si seguimos con el análisis del artículo, los problemas se acentúan:

 

Artículo 38.1.a:

“Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero”.

 

Aún reconociendo que los conceptos por los que se determinan que una deuda es “cierta, vencida y exigible” ya han sido interpretados con reiteración, la segunda parte de ese párrafo exige que no se hay entablado reclamación judicial, arbitral o administrativa, o bien que no se haya planteado una reclamación ante el Comisionado para la defensa del cliente de servicios financieros del RD 303/2004.

 

Claro que, teniendo en cuenta que ese Real Decreto no ha sido desarrollado y que, por lo tanto, esa figura del Comisionado (diferente a la del “Defensor del Cliente”) camina por el limbo del BOE -como nos podrá confirmar Bartolomé-, difícilmente se va a poder hacer cargo de semejantes reclamaciones. El propio Consejo de Estado advertía, en su Informe preceptivo sobre el Reglamente, de las disfunciones de este articulado:

El Consejo de Estado no objeta esta redacción, pero considera que no obstante la amplitud de su enunciado, aún deja márgenes para distintas interpretaciones (…) En este sentido, ha de destacarse que las disposiciones reguladoras de los comisionados para la defensa del cliente de servicios financieros y los departamentos de atención al cliente y el defensor del cliente de las entidades financieras excluyen de su conocimiento las consultas, quejas o reclamaciones que se les dirijan cuando tengan conocimiento de que el asunto a que se refieran se encuentre o haya sido sometido a cualquier instancia arbitral, administrativa o judicial. (…) De las citadas disposiciones se deduce que esos órganos emiten informes de los que pueden resultar conductas de las entidades que prestan servicios financieros indiciarias del “quebrantamiento de normas de transparencia o protección a la clientela“, o en los que se detecten indicios de conductas delictivas, o de infracciones tributarias, de consumo o competencia, o de otra naturaleza, supuestos en los que habrán de ponerse los hechos en conocimiento del organismo de supervisión al que esté adscrito, a los efectos oportunos.

Resulta, por consiguiente, que el interesado que no ha entablado una reclamación en los términos del artículo 38.1.a) del Reglamento proyectado puede, sin embargo, haberse dirigido a alguno de los referidos órganos de defensa de sus derechos como usuario de servicios financieros. No parece lógico que la entidad que puede incurrir en alguna de las conductas descritas en el citado artículo 15 del Reglamento de Comisionados pueda, en tanto se resuelve la queja o reclamación, comunicar los datos de dicho cliente a un fichero de esta clase”.

Pero, además de lo anterior, ¿qué se entiende por una reclamación arbitral o administrativa? ¿tiene que ser órgano competente que pueda entrar a conocer la cuestión de la deuda o sobre la causa del origen de la deuda? Difícilmente. ¿Órgano municipal, autonómico, nacional? Con facultades reales de decisión o, meramente, consultivo.

Peor lo tenemos si lo anterior lo conectamos con el número 2º del mismo artículo 38 donde se establece que tampoco podrán incluirse cuando “exista un principio de prueba que de forma indiciaria contradiga alguno de los requisitos anteriores”. Toma ya. Un indicio es, según la RAE, un “Fenómeno que permite conocer o inferir la existencia de otro no percibido”, aunque bien podemos aplicar en este caso, su segunda acepción “Cantidad pequeñísima de algo, que no acaba de manifestarse como mensurable o significativa”. Suponemos que la valoración de tal circunstancia ha de efectuarla el responsable del fichero, ¿o no? Pero, principalmente, desconocemos cuál sea prueba indiciaria suficiente para evitar la inscripción o la cancelación cautelar del dato. Cualquier abogado al que le toque un asunto relacionado con este tema se frotará las manos con fruición. Algunos ejemplos ¿La presentación de una reclamación ante la Oficina Municipal de Consumo es una prueba indiciaria? ¿la remisión de un burofax? ¿la presentación de una reclamación ante el Servicio de atención al cliente? ¿Durante cuánto tiempo nos puede servir ese indicio?

Demasiadas preguntas para tan poco texto. En siguientes entradas seguiremos comentando estos artículos.

Nuevo Reglamento LOPD (IV): Medidas de nivel Alto

Continúo con la serie de entradas destinadas al nuevo Reglamento de la LOPD que, como ya sabéis, entró en vigor el pasado 19 de abril.

 

Continuamos, como en los anteriores, refiriéndonos al Reglamento aprobado mediante el Real Decreto 994/1999, de 11 de junio, como RD anterior y al Reglamento vigente a día de hoy, Real Decreto 1720/1997, de 21 de diciembre, como RD nuevo.

 

Una vez más, hay que recordar que los sistemas de información que deben adoptar las medidas de seguridad de nivel alto deben reunir, además de las específicas, las correspondientes a los niveles anteriores. Dicho lo cual, indicar que estas medidas de nivel alto deben aplicarse a los Ficheros que contengan datos de los denominados “especialmente protegidos” y, en concreto:

 

1. Los que contengan datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.

2. Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.

3. Aquéllos que contengan datos derivados de actos de violencia de género.

 

No se les aplican las medidas de nivel alto a los ficheros de los operadores de servicios de comunicaciones electrónicas disponibles al público o a los que exploten redes públicas de comunicaciones electrónicas, sino únicamente la prevista en el artículo 103 (controles de acceso y su registro), en lo que se refiere a los datos de tráfico y a los datos de localización, se aplicarán.

 

Se dejan de aplicar, igualmente, las medidas de nivel alto a los ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual cuando ( *) los datos se traten con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros (p.ej. sindicatos respecto a sus asociados, o asociaciones respecto a sus asociados; (**) cuando se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad (empresas respecto a sus empleados); (***)

asimismo, los que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.

 

Las normas sobre las medidas de nivel se contienen fundamentalmente en los artículos 23 a 26 del RD anterior y en los artículos 101 a 104 del RD nuevo. Quedan de la siguiente manera:

 

a) Gestión y Distribución de soportes. (art. 23 RD anterior y art. 101 RD nuevo).

 

Mientras en el artículo 23 del RD anterior se hacía una escueta referencia a la distribución de soportes, en el artículo 101 del RD nuevo se desarrolla con más amplitud esta cuestión.

 

Ahora se establece la obligación de utilizar sistemas de “etiquetado” de soportes que sean comprensibles para los usuarios con acceso autorizado a los citados soportes y documentos pero que, por el contrario, dificulten su identificación para el resto de personas.

Se insiste, igualmente, en la necesidad de que los soportes que contengan datos de carácter personal se preserven con un sistema de cifrado para los supuestos de transporte de tales soportes.

Especialmente importante es la nueva referencia a los dispositivos portátiles (véase, PDAs, ordenadores portátiles, USB keys, etc.). A partir de ahora, se obliga al cifrado de los datos de carácter personal contenidos en los mismos cuando tales dispositivos abandonen las instalaciones de la empresa. Se exige que se evite la utilización de dispositivos que portátiles que no permitan su cifrado, haciéndose constar tal circunstancia en el documento de seguridad “y se adoptarán medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos”.

 

b) Registro de accesos (art. 24 RD anterior y 103 RD nuevo).

 

Se mantienen las siguientes obligaciones respecto a la situación anterior:

1. Guardar los logs correspondientes a los intentos de acceso con los datos relativos a la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado (estos son los datos mínimos que hay que guardar, no existiendo obstáculos para ampliar el rango de datos). En los accesos autorizados se guarda, además, la información que permita identificar el registro accedido.

2. Los sistemas de autorización de los registros de accesos quedan bajo el exclusivo poder directo del responsable de seguridad competente, quedando prohibida su desactivación ni la manipulación de los registros.

3. Se mantiene un período de conservación de los datos registrados de, al menos, dos años.

4. Es obligación del responsable de seguridad la revisión mensual (al menos) de la información anterior y la elaboración del informe correspondiente (¿a quién se le entrega?).

 

Como novedad se establece la exención de tener un registro de accesos en los supuestos en que el responsable del fichero o del tratamiento sea una persona física y cuando éste garantice que únicamente él tiene acceso y trata los datos personales.

 

En todo caso, es necesario que tal circunstancia se recoja expresamente en el documento de seguridad.

 

c) Copias de respaldo y recuperación (art. 25 RD anterior y 102 RD nuevo).

 

Al igual que en la situación anterior, es obligatorio mantener una copia de respaldo y de los procedimientos de recuperación de los datos que debe estar situado en  un “lugar diferente de aquél en que se encuentren los equipos informáticos que los tratan”, debiendo cumplirse en ese lugar las medidas de seguridad del Fichero del que traen causa. Se exige la utilización de elementos que garanticen la integridad y recuperación de la información, de forma que sea posible su recuperación.

 

d) Telecomunicaciones (art. 26 RD anterior y art. 104 RD nuevo).

 

Concluye este apartado relativo a las medidas de nivel alto con una referencia a las redes de telecomunicaciones, como sucedía en el RD anterior.

Ahora, dada la excepción existente a la aplicación de tales medidas en determinadas circunstancias, el RD nuevo exige que cuando estemos ante un supuesto de redes de telecomunicaciones en la que sí es necesaria su aplicación, sea a través de redes públicas o redes inalámbricas de comunicaciones electrónicas, será necesario que se cifren los datos que ser transmitan por ellas o bien que se utilice un mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. Habría que añadir, en la medida en que la técnica lo permita.

 

 

 

Con esto hay que dar por concluida el somero repaso de las novedades y modificaciones que, con carácter general, se introducen en el nuevo Reglamento respecto de las medidas de seguridad aplicables según los niveles correspondientes. En general podemos afirmar que las detalla de manera más comprensible y con una mejor estructura que en la versión anterior.

Se quedan muchas cuestiones en el tintero. Por eso, en posteriores entradas, me referiré a concretos conflictos que se pueden derivar de la entrada en vigor del mismo.

 

Espero que esta primera serie haya sido de vuestro interés.

 

Nuevo Reglmto LOPD (III): Medidas de Nivel Medio

En esta tercera entrega compararemos las medidas de nivel medio que se establecían en el Real Decreto 994/1999, de 11 de junio (que continuaremos llamando RD anterior) frente a las que aparecen ahora recogidas en el Real Decreto 1720/1997, de 21 de diciembre que también continuaremos llamando RD nuevo.Tenemos que reiterar la advertencia que ya hicimos en anteriores entradas sobre el carácter acumulativo de las medidas de seguridad, esto es, que las medidas de nivel básico se aplicarán a todos los ficheros automatizados o no (los no automatizados con algunas peculiaridades) que se incluyan dentro del ámbito de aplicación de la LOPD, con independencia del adjetivo que exhiban sus ficheros (básico, medio o alto). Los ficheros de nivel medio deberán adoptar las medidas de carácter básico así como las propias de su nivel medio.

Cuáles sean los ficheros o tratamientos que deban adoptar las medidas de nivel medio se recogen en el artículo 81.2 del RD nuevo que, básicamente, se refiere a los siguientes:
* Los relativos a la comisión de infracciones administrativas o penales.
* los relativos a la prestación de servicios de información sobre solvencia patrimonial y crédito (ASNEF y similares).
* Aquellos de los que sean responsables Administraciones tributarias en el ámbito de sus competencias (Hacienda somos todos).
* Los ficheros de las entidades financieras relativos a la prestación de servicios financieros (no sólo bancos y cajas, sino también entidades de refinanciación, de reunificación de deudas y similares).
* Los de las Entidades Gestoras, Servicios Comunes de la Seg. Soc. y Mutuas de Accidentes de Trabajo relativos al ejercicio de sus competencias.
* Aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos (este grupo es más “etéreo” y habrá que analizar uno a uno cada supuesto para determinar su inclusión o no; por ejemplo, sistemas o servicios de “scoring”).
Las normas sobre las medidas a implantar se recogen en los artículos 15 a 22 del RD anterior y en los artículos 95 a 100 del RD nuevo.

Veamos las diferencias:

a) El Responsable de Seguridad (art. 16 RD anterior y art. 95 RD nuevo)Se mantiene el mismo texto respecto a la necesidad de su designación (uno o varios de ellos), aunque ahora se establece la posibilidad de la designación sea única para todos los ficheros o diferenciada según los sistemas de tratamiento utilizados, debiendo recogerse tal cuestión en el Documento de Seguridad.
Asimismo se introduce una importante matiz al afirmarse en el RD nuevo que esta designación no supondrá nunca una exoneración (en el RD anterior se decía “delegación”, que no es lo mismo) de la responsabilidad que corresponde al responsable del fichero o al “encargado del tratamiento” (también se añade a éste en el RD nuevo que no tiene porqué coincidir con aquél).
Por lo demás, el responsable de seguridad sigue siendo la persona encargada de coordinar y controlar las medidas definidas en el documento de seguridad.

b) Auditorías (art. 17 RD anterior y art. 96 RD nuevo)
Se mantiene la obligación de someterse a una auditoría, externa o interna, cada dos años al menos para verificar su corrección, añadiéndose ahora que deberá efectuarse otra de carácter extraordinario cuando se lleven a cabo modificaciones sustanciales en los sistemas que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas.
La auditoría debe comprender, tanto los sistemas de información como las instalaciones de tratamiento y almacenamiento de datos. Su objeto sigue siendo el mismo: dictaminar sobre la adecuación de las medidas y controles a la norma, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias.
En función del resultado de la misma, el responsable de seguridad debe proponer las mejoras correspondientes al responsable del fichero (o del tratamiento, suponemos) quedando a disposición de la AEPD (junto con el documento de seguridad) o de sus correspondientes autonómicas.

c) Identificación, autenticación y control de acceso físico (arts. 18 y 19 RD anterior y art. 98 y 99 RD nuevo)
Con la introducción en el nivel básico de medidas tendentes a conseguir la identificación de los usuarios a la hora de acceder al sistema, el RD nuevo se limita a reiterar la obligación de establecer un sistema de “baneo” para evitar la posibilidad de intentos reiterados de accesos no autorizados al sistema. No se dice qué se entienda por reiterado o cómo deba procederse más allá de la expulsión del sistema. Será el documento de seguridad el que deba fijar el número de veces que ha de intentarse el acceso para ser “baneado”, así como medidas adicionales (rastreo de IP’s, lista negra de sitios, etc.).
En cuanto al acceso a los locales donde se encuentren “físicamente” los sistemas de información se reitera la necesidad de impedirlo a personas no autorizadas de acuerdo con lo que indique al respecto el documento de seguridad.

d) Gestión de Soportes (art. 20 RD anterior y art. 97 RD nuevo)
Como quiera que el RD nuevo ya incluye parte de estas medidas entre las de nivel básico, las referidas a Gestión de Soportes para ficheros o tratamientos de nivel medio son más escasas y vienen a complementar a aquéllas.
Se debe establecer un procedimiento de Entrada y otro de Salida de Soportes: en ambos casos, los sistemas de gestión de los mismos deben permitir, de manera directa o indirecta, conocer el tipo de documento o soporte, la fecha y hora, el emisor/destinatario, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción que deberá estar debidamente autorizada en el documento de seguridad.
Se elimina el resto de referencias contenidas en el RD anterior, ya que, como ha quedado dicho, se incorporan a las medidas de nivel básico.

e) Registro de Incidencias (art. 21 RD anterior y art. 100 RD nuevo)
Se mantiene el sistema anterior, esto es, completando las medidas de nivel básico del artículo 90 RD nuevo, pero añadiendo para los supuestos de medidas de nivel medio que los registros de incidencias deben incluir los procedimientos realizados de recuperación de los datos, la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación.
Se mantiene, igualmente, necesidad de la autorización escrita del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos.Finalmente se elimina la referencia a las pruebas en paralelo de sistemas con datos reales que se contenía en el RD anterior, ya que ha sido incorporado a las medidas de nivel básico.

Como habéis podido apreciar, se ha reducido en el “nuevo” nivel medio muchas referencias existentes en la normativa anterior que han sido incorporadas al nivel básico o que, simplemente, suponían una reiteración de lo que ya se decía. Aunque quedan muchas cuestiones por abordar al detalle, éstas que os he señalado son, a mi juicio, las principales que se incorporan en el nuevo Reglamento.