El nuevo reglamento de desarrollo de la Ley de protección de datos . -Continuación

1- Ejercicio de los derechos denominados ARCO

Los derechos denominados ARCO  son los derechos de acceso, rectificación, cancelación y oposición, todos ellos previstos en el Título III del Reglamento.

Principales ideas relativas al ejercicio de estos derechos:

Estos derechos son de carácter personalísimo y sólo podrán ser ejercidos por el afectado o por su representante legal.

Son derechos independientes, de tal forma que no puede entenderse que el ejercicio  de ninguno de ellos sea requisito previo para el ejercicio de otro.

Se deberá conceder al afectado un medio sencillo y gratuito para el ejercicio de dichos derechos.

Queda expresamente prohibido, el exigir la utilización de cartas certificadas o semejantes o bien la utilización de medios de telecomunicación que impliquen el pago de una tarifa adicional.

El Tribunal Constitucional afirma que estos derechos constituyen el haz de facultades que emanan del derecho fundamental a la protección de datos y “sirven a la capital función que desempeña este derecho fundamental: garantizar a la persona un poder de control sobre sus datos personales, lo que sólo es posible y efectivo imponiendo a terceros los mencionados deberes de hacer”.

2- Derecho de acceso

El derecho de acceso es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que se esté realizando así como el la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.

Al ejercitar el derecho de acceso, el afectado podrá optar por recibir la información a través de uno  o varios de los siguientes sistemas de consulta del fichero:

Visualización en pantalla.

Escrito, copia o fotocopia remitida por correo, certificado o no.

Telecopia.

Correo electrónico u otros sistemas de comunicaciones electrónicas.

Cualquier otro sistema que sea adecuado a la configuración  del fichero.

El responsable del fichero deberá resolver la solicitud de acceso en el plazo de un mes a contar desde la recepción de la solicitud. Transcurrido este plazo sin respuesta expresa, el interesado  podrá interponer la pertinente reclamación.

La solicitud de acceso podrá ser denegada en los dos supuestos siguientes:

Cuando el derecho de acceso se hubiera ejercitado en los doce meses anteriores a la solicitud, salvo que se acredite un interés legítimo.

Cuando lo prevea una Ley.

3- Derecho de rectificación y cancelación

El derecho de rectificación permitirá al afectado modificar los datos que resulten ser incompletos o inexactos y el de cancelación le permitirá suprimir los datos que resulten ser inadecuados o excesivos.

En la solicitud de rectificación y/o cancelación se deberá indicar a qué datos se refiere, la corrección que haya de practicarse y se deberá aportar la documentación que justifique lo solicitado.

El plazo que tiene el responsable del fichero para resolver es el de 10 días como máximo a contar desde la recepción de la solicitud. Transcurrido ese plazo sin que la petición haya sido resuelta, el afectado podrá interponer el recurso correspondiente.

4- Derecho de oposición

El derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal  o bien se cese en determinados supuestos (éstos se encuentran recogidos en el artículo 34 del Reglamento).

Como en los anteriores supuestos, el derecho se ejercitará mediante la presentación de una solicitud dirigida al responsable del tratamiento el cual deberá resolver en el plazo máximo de 10 días a contar desde la presentación de dicha solicitud. En caso contrario, podrá interponerse recurso.

5- Documento de seguridad

El documento de seguridad será elaborado por el responsable del fichero o tratamiento recogiendo en él, como mínimo, los siguientes aspectos:

Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.

Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en el reglamento.

Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.

Estructura de los ficheros y descripción de los sistemas de información que los tratan.

Procedimiento de notificación, gestión y respuesta ante las incidencias.

Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.

Las medidas que sean necesarias adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.

Si a los ficheros se les tuviera que aplicar las medidas de seguridad de nivel medio o alto, se deberá incluir además en este documento de seguridad quién es el responsable o responsables de seguridad y los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.

6- Esquema de los plazos previstos  para la implantación de las medidas de seguridad

6.1.- Ficheros automatizados existentes en la fecha de entrada en vigor del Real Decreto.

En el plazo de 12 meses a contar desde la entrada en vigor se deberán implantar las medidas de seguridad de nivel medio exigible a aquellos ficheros cuyos responsables sean las Entidades Gestoras y Servicios Comunes de la Seguridad Social , mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social y de aquellos ficheros que contengan datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

En el plazo de 12 meses a contar desde la entrada en vigor deberán implantarse las medidas de seguridad de nivel medio y en el de 18 meses desde aquella fecha, las de nivel alto exigibles a los siguientes ficheros:

Datos derivados de actos de violencia de género.

Los ficheros que sean responsabilidad de los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas.

6.2.- Ficheros no automatizados existentes en la fecha de entrada en vigor del Real Decreto.

12 meses desde la entrada en vigor – medidas de seguridad de nivel básico.

18 meses desde la entrada en vigor – medidas de seguridad de nivel medio.

24 meses desde la entrada en vigor – medidas de seguridad de nivel alto.