Dictamen de Consejo de Estado 627/1998 de 05 de marzo de 1998
Resoluciones
Dictamen de Consejo de Es...zo de 1998

Última revisión

Dictamen de Consejo de Estado 627/1998 de 05 de marzo de 1998

Tiempo de lectura: 27 min

Relacionados:

Órgano: Consejo de Estado

Fecha: 05/03/1998

Num. Resolución: 627/1998

Tiempo de lectura: 27 min


Cuestión

Proyecto Real Decreto por el que se aprueba el Reglamento de Medidas de Seguridad de los Ficheros automatizados que contengan datos de carácter personal.

Contestacion

TEXTO DEL DICTAMEN

La Comisión Permanente del Consejo de Estado, en sesión celebrada el día 5 de marzo de 1998, emitió el siguiente dictamen:

"En cumplimiento de la Orden de V.E. de 27 de enero de 1998 (entrada en registro 10 de febrero), el Consejo de Estado ha examinado el expediente relativo al proyecto de Real Decreto por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal. En la Orden se hace constar la urgencia del dictamen.

De los antecedentes remitidos resulta:

Primero. En el expediente obran cuatro proyectos de Real Decreto. El primero de ellos fue objeto de consulta al Consejo de Estado, que emitió el dictamen 3.692/97, de 24 de julio de 1997. Tras el dictamen, se elaboró un nuevo proyecto, que fue estudiado en la Comisión de Secretarios de Estado y Subsecretarios. De acuerdo con el propio dictamen, se acordó que el Ministerio abriera un trámite de audiencia. Así se hizo, si bien antes fueron introducidas algunas modificaciones, resultando un tercer proyecto. Por último, tras el trámite de audiencia, el Ministerio redacta el cuarto proyecto, que lleva fecha de 17 de diciembre de 1997.

El proyecto de Real Decreto se abre con un Preámbulo de cinco párrafos. En él se expresa que el Reglamento desarrolla el artículo 9 y 43.3.h) de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de Datos de carácter personal (LORTAD), así como el artículo 17.1 de la Directiva 95/46 del Parlamento Europeo y del Consejo, de 24 de julio de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. La falta de este Reglamento ha impedido sancionar el incumplimiento de las medidas de seguridad porque el artículo 43.3.h) se remite al Reglamento. Se añaden dos características del régimen que contiene el proyecto: primero, sólo interesan las medidas de seguridad encaminadas a proteger derechos constitucionales; y segundo, el proyecto desarrolla sólo las medidas básicas de seguridad, pero no impide la adopción de "medidas especiales para aquellos ficheros que por la especial naturaleza de los datos que contienen o por las propias características de los mismos exigen un grado de protección mayor". Sigue a este Preámbulo una fórmula promulgatoria, un artículo único que aprueba el Reglamento titulado "de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal", y una disposición final única, que ordena la entrada en vigor el día siguiente al de su publicación en el Boletín Oficial del Estado.

El Reglamento se compone de 26 artículos, agrupados en seis capítulos. Después de unas disposiciones generales de variado contenido en el capítulo I, los siguientes capítulos II, III y IV versan sobre las medidas de seguridad, respectivamente, de nivel básico, medio y alto; el capítulo V se refiere a las infracciones y sanciones, y el VI y último enuncia en artículo único dos competencias específicas del director de la Agencia de Protección de Datos. Una disposición transitoria única establece plazos de seis meses, un año y tres años, dependiendo del nivel de las medidas de seguridad, para la adecuación de las ya existentes.

Segundo. Acompaña al proyecto una Memoria justificativa, sin fecha, que arranca con la observación de que las tres normas básicas sobre tratamiento de datos informáticos se refieren al problema de la seguridad de éstos: y son el Convenio 108 del Consejo de Europa, de 28 de enero de 1981; la citada Ley Orgánica 5/1992, de 29 de octubre; y la Directiva 95/46/CE del Parlamento Europeo, de 24 de julio de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. En los tres textos se conciben las medidas de seguridad de forma abierta como hechos que deben ser evitados: pérdida accidental, la alteración, la difusión y el acceso no autorizado. Ahora bien, el proyecto considera que "no toda sanción o incumplimiento de medidas de seguridad determina un ataque directo o indirecto a la privacidad, por lo que solamente aquel que ponga en peligro dicho bien jurídico protegido deberá ser atajado por afectar a la confidencialidad en el tratamiento del dato personal".

Aprecia la memoria un progresivo reforzamiento de las medidas de seguridad en las tres normas, explicable por las fechas sucesivas de su aprobación y la cambiante tecnología. Precisamente los avances tecnológicos aconsejan distinguir entre responsable del tratamiento y encargado del tratamiento, como hace la Directiva.

El Real Decreto 1332/1994, de 20 de junio, no ha desarrollado los números 2 y 3 del artículo 9 de la LO relativo a medidas de seguridad, lo que determina la inaplicación del régimen sancionador por los incumplimientos de estas medidas por parte de los responsables de ficheros, teniendo en cuenta que el artículo 43.3.h) de la expresada Ley tipifica una sanción grave por una infracción cuyos detalles se confían al Reglamento.

El Reglamento que se proyecta, atendiendo a la mayor o menor confidencialidad e integridad de la información almacenada, ha establecido tres niveles de seguridad siguiendo en esto la noción de "nivel de seguridad apropiado" de la Directiva y las "General Recommendations on Data Security" publicadas en 1988 por la Autoridad de Control sueca, así como el borrador "Dutch Data Security Standars" de la Autoridad de Control holandesa. Un elemento básico de este sistema es el "documento de seguridad" en que cada organización deberá determinar la exacta proporción de las medidas de seguridad que le son aplicables.

Tercero. Constan en el expediente los informes de los diversos departamentos ministeriales emitidos con ocasión de la Comisión General de Secretarios del Estado y Subsecretarios.

El Ministerio de la Presidencia cita el dictamen del Consejo de Estado, que señala la falta de trámite de audiencia en el procedimiento, y afirma que el proyecto se halla viciado por ese motivo de una nulidad de pleno derecho. En otro orden de cosas, propone la cita completa de normas en el Preámbulo; la inclusión en el Real Decreto aprobatorio de una disposición adicional que explícitamente excluya del ámbito de la norma los ficheros penitenciarios; y, en cuanto al contenido del Reglamento mismo, se destaca que en el artículo 3 el texto añade un nuevo criterio de graduación de las sanciones no previsto en la LO.

El Ministerio de Asuntos Exteriores declara que el Preámbulo del proyecto debe citar la Directiva 95/46, ya que en el artículo 32 de la misma se dice que las disposiciones nacionales que den cumplimiento a lo en ella establecido deberán hacer referencia a dicha Directiva: "Aunque la transposición completa de la Directiva se realizará mediante Ley Orgánica, existen aspectos en el proyecto de Real Decreto que son transposición parcial del Derecho comunitario". Sugiere algunas modificaciones en los artículos 2, 13, 19 y 21

El Ministerio de Economía y Hacienda se refiere a los efectos presupuestarios de la aplicación del Reglamento y a la necesidad de tener en cuenta la peculiaridad de los ficheros contemplados en el artículo 113 de la Ley General Tributaria.

El Ministerio de Trabajo y Asuntos Sociales echa en falta la no delimitación del órgano responsable de asignar el nivel de seguridad de un sistema, y señala la necesidad de distinguir diversos supuestos de tratamiento de datos fuera de la organización. También pone de relieve los problemas prácticos del uso compartido de ficheros automatizados por las Administraciones Públicas, y los problemas de almacenamiento de los soportes informáticos. Por último, considera de difícil cumplimiento los plazos de adecuación previstos.

El Ministerio de Administraciones Públicas destaca que no ha sido solicitado el informe preceptivo al Consejo Superior de Informática, preceptivo según el artículo 3.2 del Real Decreto 2291/1983, de 28 de julio, sobre órganos de elaboración y desarrollo de la política informática del Gobierno. Además, propone algunos "cambios de detalle", como completar el artículo 2 añadiendo algunas definiciones adicionales, o introducir diversas precisiones en el articulado referentes a las responsabilidades, al acceso de datos a través de redes de comunicaciones, a los documentos de seguridad, a las funciones y obligaciones del personal y a las telecomunicaciones.

El Ministerio de Sanidad considera conveniente que el proyecto se someta a informe del Consejo de Consumidores y Usuarios. Se refiere también a la necesidad de establecer gradaciones en los datos referidos a la salud, ya que no todos tienen la misma importancia. Recomienda alguna seguridad mayor que impida el acceso a los datos sanitarios. Destaca asimismo que el proyecto no recoge la distinción contenida en la Directiva 95/46 en su artículo 2 entre responsable y encargado del tratamiento. El artículo 32 de la Directiva establece la obligación de los Estados miembros de hacer referencia a la misma al adoptar las medidas por ella contempladas, y añade: "en el caso de que el proyecto constituya transposición parcial de la Directiva, debería tenerse en cuenta lo establecido en dicho artículo".

Cuarto. En el trámite de audiencia presentaron alegaciones tres asociaciones o grupos interesados.

En primer lugar, la Asociación Española de Marketing Directo, que propone se califiquen expresamente de nivel básico los ficheros de carácter comercial referentes a clientes, compras y gestión de cobros.

Por su parte, la Asociación Española de Banca Privada considera que el Reglamento proyectado impone una carga burocrática excesiva a las empresas y complica gravemente la gestión informática, citando diversos ejemplos al respecto, por lo que solicita mayor graduación, proporcionalidad y simplicidad de las medidas. Al mismo tiempo formula algunas observaciones sobre el articulado: sobre la definición del responsable de seguridad, figura que no existe en la Ley Orgánica, por lo que debe ser muy flexible; sobre la extraña situación sistemática de la materia sancionadora; sobre el importe mínimo, que se estima excesivo, de la multa (10 millones de pesetas); sobre el alcance de la expresión "datos relativos a servicios financieros" del artículo 6, que llevan aparejados un nivel medio de protección, lo que resulta exagerado para algunas operaciones bancarias elementales. Se echa en falta la transcripción del artículo 17.3 de la Directiva 95/46/CE y el que no se distinga entre trabajo externo propio o contratado. Se considera que debe exceptuarse del borrado de ficheros temporales aquellos debidamente protegidos.

La Confederación Española de Cajas de Ahorros, por último, hace diversas sugerencias de mejoras técnicas en la redacción (artículo 1, 4, 8, 10). Propone una nueva redacción del artículo 21 a fin de "compatibilizar los procedimientos que este proyecto prescribe con los ya existentes en la mayoría de las organizaciones y permitir que las identificaciones no revelen necesariamente el contenido de los soportes".

Quinto. El 29 de octubre de 1997 la Secretaría General Técnica del Ministerio de Justicia comunica al Ministerio de Administraciones Públicas que no considera necesaria la audiencia del Consejo Superior de Informática, ya que éste es competente sólo para conocer la política informática del Gobierno, ámbito más restringido que el que cubre el proyecto (ficheros automatizados de los sectores público y privado), y además fue creado antes de la entrada en vigor de la LORTAD, la cual ha encomendado a la Agencia de Protección de Datos la responsabilidad de velar por el cumplimiento de las normas sobre protección de datos informáticos.

Sexto. El 11 de noviembre de 1997 la Secretaría General Técnica del Ministerio de Sanidad y Consumo remite informe realizado por el Consejo de Consumidores y Usuarios al Proyecto de Reglamento acompañado de observaciones formuladas por la propia Secretaría General Técnica. Estas últimas se refieren sobre todo a la conveniencia, excluida en el Preámbulo del proyecto, de adoptar medidas para evitar la pérdida física de datos, ya que hay situaciones, como las previstas en la Ley de Reproducción Asistida, en que es obligada su conservación. Sugiere también que el artículo 14 se refiera a "intereses legítimos". Por su parte, el Consejo de Consumidores y Usuarios estima improcedente el criterio de la intencionalidad para graduar las sanciones y que debían protegerse con carácter alto los datos personales que permitan evaluar la personalidad del individuo. Considera excesivos los plazos de adaptación, no bien precisados los derechos de información de la persona cuyos datos son almacenados ni los requisitos de notificación, "que debería hacerse siempre que haya cualquier tipo de movimiento, como si de una notificación administrativa se tratase".

Séptimo. El Ministerio de Administraciones Públicas, en informe de 3 de diciembre de 1997, declara que las observaciones del anterior han sido en gran parte acogidas en el nuevo proyecto; con todo, recomienda que las expresiones definidas en el artículo 2 del proyecto se correspondan con las más adecuadas contenidas en el Real Decreto 263/1996, y propone la inclusión de un nuevo párrafo en el Preámbulo alusivo a este Real Decreto, por el que se regula la utilización de técnicas electrónicas, informáticas y telemáticas por la Administración General del Estado.

Octavo. El informe de la Agencia de Protección de Datos, evacuado el 8 de enero de 1998, se refiere al anterior de 20 de mayo de 1997, en que mostró su conformidad con el primer proyecto, considerándolo adecuado a los principios de la Ley Orgánica 5/1992. Entiende que esta nueva versión respeta la estructura del texto primitivo sin alteraciones sustanciales, y que las modificaciones introducidas han supuesto una mejora en lo relativo a la sistemática del texto y a la coherencia terminológica. Destaca tres aspectos: la mejor colocación sistemática de las sanciones, la introducción del concepto de sistema de información, y la aclaración del concepto y obligaciones del responsable de seguridad. En consecuencia muestra su conformidad con el proyecto.

Y, en tal estado de tramitación, V.E. dispuso la remisión del expediente para dictamen. Previa solicitud, el Presidente del Consejo de Estado concedió trámite de audiencia a la representación única de tres asociaciones interesadas (ASNEF, AEL, AEF), que presentó unas alegaciones, con fecha 18 de febrero de 1998, centradas en el artículo 2 del proyecto (la definición de "sistemas de información", que es utilizada en los artículos 8, 17 y 18), en el artículo 4, que indebidamente menciona a los "servicios financieros", no contemplados con este carácter especial por la Ley Orgánica, a diferencia de lo que ocurre con los ficheros de las Fuerzas y Cuerpos de Seguridad y de la Hacienda Pública, y, en fin, en el artículo 19 relativo a la gestión de soportes.

Llega al Consejo de Estado un expediente más completo y rico que el que primeramente fue remitido y objeto del anterior dictamen. Cumple las prescripciones de los artículos 128 a 132 de la antigua Ley de Procedimiento Administrativo, de 17 de julio de 1958, y también las del artículo 24 de la Ley 50/1997, de 27 de noviembre, del Gobierno, con la única excepción del informe de la Secretaría General Técnica, que falta en este expediente como el otro. Este informe hubiera sido aún más deseable ahora, ya que, habiéndose emitido tanta variedad de observaciones y propuestas, así de organismos públicos como privados, sería importante conocer el criterio que ha seguido el órgano instructor para aceptar algunas -las menos- y rechazar las demás -la mayoría-, teniendo en cuenta que se han elaborado tres proyectos después del primero.

La principal modificación se encuentra en el Preámbulo (ya no Exposición de Motivos), que se introduce sin explicación, aun cuando tiene consecuencias jurídicas, como ha de comprobarse. Antes el proyecto decía: "El presente Reglamento tiene por objeto el desarrollo de lo dispuesto en el artículo 9 de la Ley Orgánica". Ahora dice: "El presente Reglamento tiene por objeto el desarrollo de lo dispuesto en el artículo -en realidad debería decir "los artículos"- 9 y 43.3.h) de la Ley Orgánica 5/1992 y la adaptación al Derecho español del artículo 17.1 de la Directiva 95/46 del Parlamento Europeo y del Consejo, de 24 de julio de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos".

El anterior dictamen del Consejo de Estado contenía algunas reflexiones sobre la articulación entre Ley Orgánica y Reglamento de desarrollo. No se objetó la habilitación legal del Gobierno para aprobar el Reglamento, pues ésta venía fundada en las remisiones al desarrollo reglamentario de la propia Ley Orgánica (artículos 9, 43.3.h) y disposición final primera). Citando la doctrina del Tribunal Constitucional (Sentencia 160/1987, entre otras), que distingue entre desarrollo del ejercicio y contenido de un derecho fundamental, exclusivo de la Ley Orgánica, y otras disposiciones, que simplemente tocan algún aspecto del derecho fundamental sin afectar a su núcleo, el dictamen notaba cómo, en efecto, el proyecto no aspiraba a regular el ejercicio de un derecho personal, sino a organizar un fichero de forma que no se menoscabase ese derecho.

"Este derecho fundamental de la persona -decía el dictamen- consiste en que otros no hagan, en la pasividad de los demás, que deben abstenerse de ciertas conductas. Son conductas que se realizan sobre y en ciertos objetos, con lo que se produce una inadvertida transición desde los derechos de las personas a las obligaciones inherentes a cosas. La Ley, según expresión de su Exposición de Motivos, "se nuclea en torno a los que convencionalmente se denominan ficheros de datos: es la existencia de éstos y la utilización que de ellos podría hacerse la que justifica la necesidad de la nueva frontera de la intimidad y del honor". Los poseedores y usuarios de estas cosas -los ficheros- están obligados a garantizar ciertas condiciones de seguridad y protección; en la dogmática civilística se denominarían "obligationes propter rem". Lo interesante estriba en el paso natural desde el derecho fundamental, materia genuina de la Ley Orgánica, al régimen de los aspectos organizativos de los ficheros, cuestión mucho más propia de la potestad reglamentaria".

Sobre este punto el Consejo de Estado, no habiendo mudado las circunstancias primitivas, mantiene su parecer anterior, que es el arriba expuesto. Cuestión próxima, si bien no idéntica, es la finalidad que deben perseguir esos registros o ficheros. Hay dos posibilidades al menos: una, que el Reglamento discipline todas las medidas de seguridad necesarias para proteger los datos de carácter personal frente a cualquier amenaza, no sólo el riesgo de violación de la confidencialidad, sino también la pérdida o deterioro de los datos; otra posibilidad es que el Reglamento sólo regule las medidas que aseguren la confidencialidad de los datos, dejando fuera de su ámbito la mera conservación o guarda de los mismos.

De las dos posibilidades, el proyecto se inclina decididamente por la segunda, que es la restrictiva, como se proclama ya en el propio Preámbulo: "El Reglamento determina las medidas de índole técnica y organizativa que garanticen la confidencialidad e integridad con la finalidad de preservar el honor, la intimidad personal y la familiar y el pleno ejercicio de los derechos personales. De acuerdo con este criterio, no se tratan las medidas relativas a la pérdida de los datos de carácter personal en tanto no supongan un menoscabo de los derechos constitucionalmente protegidos".

La Memoria explicativa insiste en la misma idea. Dice que se ha inspirado en tres normas fundamentales: Convenio 108 del Consejo de Europa, de 28 de enero de 1981; la citada Ley Orgánica 5/1992, de 29 de octubre; y la Directiva 95/46/CE del Parlamento Europeo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. En los tres textos se conciben las medidas de seguridad de forma abierta como aquellas que persiguen una seguridad total frente a todo riesgo: pérdida accidental, la alteración, la difusión y el acceso no autorizado. Declara abiertamente la Memoria que en esto el proyecto se separa de los tres textos citados; considera que "no toda sanción o incumplimiento de medidas de seguridad determina un ataque directo o indirecto a la privacidad, por lo que solamente aquel que ponga en peligro dicho bien jurídico protegido deberá ser atajado por afectar a la confidencialidad en el tratamiento del dato personal".

Pues bien, la mentada opción comporta no pocos problemas y contradicciones. Es, en primer lugar, discutible que el artículo 18.4 de la Constitución se agote en la confidencialidad de los datos de carácter personal. Es también discutible que la conservación de estos datos sea cuestión ajena a la confidencialidad y al artículo 18 de la Constitución. Así, la Secretaría General Técnica del Ministerio de Sanidad y Consumo señala la conveniencia, excluida en el Preámbulo del proyecto, de adoptar medidas para evitar la pérdida física de datos, ya que hay situaciones, como las previstas en la Ley 35/1988, de 22 de diciembre, de Reproducción Asistida, en que es obligada su conservación. En efecto, el artículo 5 reconoce el derecho de los hijos nacidos como consecuencia de la aplicación de estas técnicas a obtener información sobre los donantes, incluso su identidad, lo que puede afectar al derecho fundamental contemplado en el artículo 18 de la Constitución.

Sucede, además, que el propio artículo 9 de la Ley Orgánica acoge explícitamente la opción postergada por el proyecto. Dice: "El responsable del fichero deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural".

Por lo tanto, no es exacto afirmar, como hace el Preámbulo, que el Reglamento tiene por objeto el desarrollo de lo dispuesto en el artículo 9 de la Ley Orgánica, toda vez que da a entender que desarrolla todo el precepto cuando sólo lo hace en parte. Por la misma razón, tampoco daría cumplimiento total a la remisión del artículo 43.3.h) de la Ley, que se refiere a las "debidas condiciones de seguridad" in genere y no únicamente a las que protegen la confidencialidad. Donde la Ley Orgánica, espejo de la vis expansiva de los derechos fundamentales, ofrece un horizonte amplio y ancho, el proyecto lo limita a uno de sus aspectos, la confidencialidad, si bien es, sin duda, el más importante y el que mayor protección merece. Por lo mismo, no sería correcto ni la propia denominación oficial del Reglamento ("Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal") ni su artículo 1, que define su ámbito de aplicación y fines.

En el contexto de las presentes consideraciones, es posible juzgar, con la suficiente perspectiva, la mención introducida en el Preámbulo, aludida más arriba, a "la adaptación al Derecho español del artículo 17.1 de la Directiva 95/46 del Parlamento Europeo y del Consejo, de 24 de julio de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos".

El artículo 17.1 de la Directiva reza:

"Los Estados miembros establecerán la obligación del responsable del tratamiento de aplicar las medidas técnicas y de organización adecuadas para la protección de los datos personales contra la destrucción, accidental o ilícita, la pérdida accidental y contra la alteración, difusión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos dentro de una red, y contra cualquier otro tratamiento ilícito de datos personales".

"Dichas medidas deberán garantizar, habida cuenta de los conocimientos técnicos existentes y del coste de su aplicación, un nivel de seguridad apropiado en relación con los riesgos que presente el tratamiento y con la naturaleza de los datos que deban protegerse".

Como se ve, este precepto alude a "la destrucción", "pérdida accidental", "riesgos" en general (como distintos de "la naturaleza de los datos que deban protegerse"). En suma, este artículo 17.1 de la Directiva armoniza perfectamente con el artículo 9 de la Ley Orgánica, pero no tan derechamente con el proyecto.

La vigente Ley Orgánica nacional ya contempla las medidas enunciadas en el expresado artículo 17 de la Directiva. Si no fuera así, debería reformarse la Ley Orgánica, como anuncia en su informe el Ministerio de Asuntos Exteriores. Pero, en cualquier caso, no parece adecuado transponer fragmentariamente un único párrafo de un artículo de una Directiva cuyo contenido, además, contradice la concepción global del proyecto.

En conclusión, debería suprimirse en el Preámbulo la alusión a la "adaptación al Derecho español del artículo 17.1 de la Directiva 95/46". Asimismo el proyecto ganaría en contenido y en armonía con la Ley que desarrolla si incorporase algunas medidas conducentes a la conservación de los datos informáticos, lo que no estaría en contradicción con su clasificación de niveles dependientes de la confidencialidad, toda vez que algún criterio para clasificar los niveles debe usarse y desde luego el usado en el proyecto parece el preferible.

La Memoria afirma que los avances tecnológicos aconsejan distinguir entre "responsable del tratamiento" y "encargado del tratamiento", como hace la Directiva. La Ley Orgánica sólo reconoce la figura del "responsable del fichero" y a ésta el Reglamento añade la de "responsable de seguridad". Sobre este particular decía el anterior dictamen que "en la Ley no existe la figura del "responsable de seguridad" como distinta de la de "responsable del fichero". El Reglamento define a aquél en el artículo 2, punto 10, como la: "persona de la organización a la que se ha asignado formalmente la responsabilidad de coordinar y controlar las medidas de seguridad aplicables a los ficheros de datos de carácter personal". Se trata de un cargo o puesto responsable, pero con responsabilidad indefinida, no siendo posible saber, por ejemplo, si puede ser sancionado de conformidad con los artículos 44.2 y 45.2 ya citados de la Ley, toda vez que el artículo 9 de ésta, que enuncia la obligación positiva, sólo alude al responsable del fichero y el artículo 42.1 restringe a éste el régimen sancionador".

En el nuevo proyecto remitido es definida con más detalle en el artículo 2 la figura de "responsable de seguridad" y los artículos 14, 15 y 16 contienen algunas modificaciones muy significativas; el artículo 14 prescribe que el documento de seguridad expresa la identificación del responsable de seguridad; el artículo 15, titulado "responsable de seguridad", establece, como antes, que el responsable del fichero designará un responsable de seguridad y añade de nueva planta: "En ningún caso esta designación supone una delegación de la responsabilidad que corresponde al responsable del fichero de acuerdo con este Reglamento"; el artículo 16 atribuye al responsable de seguridad ciertas nuevas competencias en lo relativo a las auditorías. Por su parte, los artículos 11, 12 y 17 convierte oraciones impersonales que enunciaban deberes genéricos en el anterior proyecto en responsabilidades concretas del "responsable del fichero".

Todas estas modificaciones del Reglamento merecen aplauso porque contribuyen a concretar las diversas competencias de las dos figuras y sobre todo mantiene intacta la responsabilidad última inderogable del responsable del fichero, tal como fue concebida por la Ley Orgánica.

Asimismo, los artículos 10 y 19 cambian el uso anterior del verbo "registrar" por el sustantivo "registro", lo que probablemente indica un deseo de concretar la medidas de seguridad mediante la creación específica de registros. El proyecto añade una nueva definición en el artículo 2, la del "sistema de seguridad": "conjunto de ficheros automatizados, programas, soportes y equipos empleados para el almacenamiento y tratamiento de datos de carácter personal". Este término, de creación reglamentaria -no aparece en la Ley Orgánica ni en la Directiva-, se repite en los artículos 7, 17 y 18.

Se ha abierto un capítulo independiente para las infracciones y sanciones, el quinto y penúltimo. El principio de legalidad impide que una norma reglamentaria contenga el tipo de una infracción (artículos 129 de la Ley 30/1992 y 23 de la Ley del Gobierno ya citada). El artículo 43 de la Ley Orgánica describe los tipos de infracción y entre las graves se encuentra "mantener ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen". En consecuencia, el Reglamento objeto de la consulta se abstiene de tipificar explícitamente las infracciones y sanciones, pero en realidad, como se decía en el primer dictamen, todo el articulado es una tipificación de la infracción, por cuanto el Reglamento primero enuncia las obligaciones y después establece que el incumplimiento de esas obligaciones constituye una infracción grave. Las infracciones son más o menos sancionables atendiendo a unos criterios que en el artículo 24 se detallan, lo cual es un arbitrio práctico para dar variedad a las sanciones sin recurrir a una tipificación expresa de las mismas, proscrita también por el principio de legalidad.

Por último, se comprueba que se ha dado nueva redacción al artículo 26.1, de acuerdo con la observación del primer dictamen del Consejo de Estado, a fin de acomodar su tenor a lo dispuesto por la Ley Orgánica.

En mérito de lo expuesto, el Consejo de Estado es de dictamen:

Que, una vez consideradas las observaciones contenidas en el cuerpo del dictamen, puede V.E. elevar al Consejo de Ministros para su aprobación el proyecto de Real Decreto por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal."

V.E., no obstante, resolverá lo que estime más acertado.

Madrid, 5 de marzo de 1998

EL SECRETARIO GENERAL,

EL PRESIDENTE,

EXCMA. SRA. MINISTRA DE JUSTICIA.

LIBROS Y CURSOS RELACIONADOS

Tratado de protección de datos personales
Disponible

Tratado de protección de datos personales

José Luis Domínguez Álvarez

29.75€

28.26€

+ Información

Derecho digital. Esquemas y casos prácticos para su estudio
Disponible

Derecho digital. Esquemas y casos prácticos para su estudio

V.V.A.A

26.35€

25.03€

+ Información

Reglamento General de Protección de Datos (RGPD)
Disponible

Reglamento General de Protección de Datos (RGPD)

Editorial Colex, S.L.

3.65€

3.47€

+ Información