El nuevo reglamento, en primer lugar trata de aunar en un solo cuerpo normativo la normativa que regula las medidas legales, técnicas y organizativas a aplicar en toda entidad -pública o privada- que traten datos de carácter personal en sus sistemas de información, incluyéndose en el mismo los datos contenidos en soporte papel. Por tanto, disponemos de otra novedad importante, los datos en soporte papel se encuentran regulados expresamente, estableciéndose para ellos unas medidas técnicas y organizativas propias.

A continuación, iremos desgranando las principales novedades en virtud de los ámbitos de tratamiento exigidos a la hora de tratar correctamente los datos personales, a saber:

1. Ámbito Legal. El principal hecho significante es la reducción de exigencias burocráticas para poder ejercitar los derechos reconocidos a los afectados -acceso, rectificación, oposición y cancelación-, ya que se permitirá ejercitar aquellos por medios gratuitos, eximiéndose la exigencia de remisión de carta certificada. Por lo tanto, se equipara al procedimiento establecido por la Ley de Servicios de la Sociedad de la Información en cuanto al desistimiento de comunicaciones promocionales -mecanismo sencillo y gratuito-.

   El responsable del fichero deberá informar detenidamente al afectado respecto de la utilización de sus datos de carácter personal, por lo que se reviste al consentimiento de una mayor seguridad jurídica. Por lo tanto, la prueba iuris tantum corresponde al responsable del fichero quien deberá acreditar la existencia de consentimiento otorgado por el afectado.

   Las personas herederas podrán ejercitar los derechos de cancelación de los fallecidos. Por tanto, aunque se mantiene que los datos de fallecidos no son de aplicación por la normativa, se concede a su herederos el derecho de poder cancelar esos datos.

   Se rebajan la naturaleza de determinados datos de carácter personal y, por tanto, el nivel de seguridad a aplicar. Aunque lo abordaremos dentro del apartado "ámbito técnico" señalar dos extremos: los datos de alta y baja de un trabajador o la detracción de la cuota sindical en las nóminas pasarán a ser datos considerados de nivel básico. Por otra parte, los datos considerados de violencia de género se encuadran dentro de los de nivel alto.

   En cuanto a los datos personales de menores se establece la obligación de que los mismos no puedan prestar su consentimiento salvo autorización expresa de sus padres y/o representante legales. Lo mismo sucede en actos de menores de dieciocho años que precisen consentimiento paterno. En todo caso, la información que se dirija a dicho colectivo ha de ser fácilmente comprensible.

   En cuanto a los ficheros de solvencia patrimonial y de créditos, es decir, los conocidos por todos como ficheros de impagados. No podrán incluirse en dichos ficheros datos de presuntos deudores en los que la presunta deuda estuviere en reclamación judicial, administrativa o arbitral. Se mantienen las exigencias de calidad de los datos, es decir, la deuda para poder ser incluida ha de ser veraz y cierta. Por otra parte, y es significativa la misma, el deudor deberá ser informado por dos veces, una con carácter previo a su inclusión, y otra treinta días después de aquella.

2. Ámbito Técnico. En resumen y como novedad, no hay grandes novedades en cuanto a las medidas de seguridad, destacando las comentadas en el ámbito legal: los datos de violencia de género que se consideran altos y los datos propios para hacer frente a las obligaciones legales, tales como seguridad social, hacienda, etc. respecto de los trabajadores se ven reducidos al nivel bajo -altas, bajas, porcentaje de minusvalía, detracción cuota sindical, pagos a entidades bancarias, etc.-

   Las mayores novedades se producen en cuanto a los datos de que disponen las empresas que prestan servicios de comunicaciones electrónicas, dada la aplicación de la Directiva y de la Ley que regula la conservación de los datos derivados de las comunicaciones electrónicas -telefonía móvil, telefonía fija, Internet, etc.-

3. Ámbito Organizativo. Se mantiene la obligación de que los responsables de los ficheros dispongan del Documento de Seguridad junto con las Obligaciones del Personal o Circules Informativas sobre el tratamiento de datos de carácter personal. La notificación de ficheros en su actual estado se mantiene. La principal novedad, aunque ya intrínsecamente se disponía en la vigente normativa, es la mayor responsabilidad de los encargados de tratamiento, los cuales deberán significar en su Documento de Seguridad las medidas de seguridad que implantan o que disponen respecto de los datos de los responsables de los ficheros.

4. Soporte Papel. Novedad respecto a la vigente normativa, aunque no demasiada, puesto que simplemente regulan los medios a través de los cuales se deben custodias, almacenar y/o guardar, y acceder a aquellos por parte de las personas que están autorizadas. Sin embargo, deja plena libertad a la hora de configurar por el responsable del fichero las medidas a implantar para este tipo de soportes.

Nos gustaría concluir informando de dos extremos importantes, a saber:

• La potestad sancionadora caducará a los 12 meses desde la entrada en la Agencia Española de Protección de Datos. Esto significa que desde la inacción de un expediente no podrá transcurrir más de un año para que se pronuncie la Agencia sobre si el expediente adopta la forma de sancionador.

• El nuevo reglamento se acaba de publicar en el BOE este pasado 19 de enero, pro lo que a mediados de abril entrará en vigor el nuevo texto normativo. Sin embargo, ¿qué ocurre con las empresas que ya se encuentran adaptadas? Por una parte, las empresas que no están regularizadas a la presente normativa les será de aplicación el nuevo reglamento desde su entrada en vigor. Por el contrario, las empresas que ya se encuentren adaptadas -deberá la Agencia Española de Protección de Datos determinar el alcance de dicha adaptación: simplemente con la notificación de ficheros es suficiente o precisan la totalidad de las obligaciones que marca la normativa actual- dispondrán de un plazo de tiempo para acomodarse al nuevo reglamento: De 12 a 18 meses para ficheros automatizados y de 12 a 24 meses para ficheros no automatizados o soporte papel.

Estas son las principales novedades que junto con el artículo referenciado al inicio del presente artículo configuran, en esencia, las principales novedades. Tras la publicación del nuevo reglamento en el BOE iremos desgranado las novedades y la afectación de la nueva normativa a la práctica diaria de los responsables de ficheros.