El tan esperado desarrollo reglamentario de la L.O. 15/1999, finalmente ha conseguido exponer, a nuestro juicio con gran claridad, la forma para que el Responsable del Fichero articule de forma efectiva los principios fundamentales expuestos en la Ley. No obstante, establece una serie de excepciones en materia de medidas de seguridad que son, cuanto menos, controvertidas.
“81.5. En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando: a) Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros. b) Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.
{mosgoogle}81.6. También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.”
Sin duda, nos hallamos ante una relajación clara del nivel de protección fijado por el derogado R.D. 994/1999 y en una contradicción al título del artículo 7 de la L.O. 15/1999 que precisamente considera a dichos datos como especialmente protegidos.
El R.D. 1720/2007, por tanto, establece una restricción o limitación en la protección de los datos especialmente protegidos, vinculada al uso o tratamiento que estos reciban.
Y este punto es, precisamente, el que queremos analizar.
En primer lugar, procede estudiar si esta limitación es válida dentro de un desarrollo reglamentario. Recordemos la argumentación del Defensor del Pueblo recogida en la STC 292/2000, en la que éste exponía que el artículo 53.1 C.E. reserva en exclusiva a la Ley la regulación y limitación del ejercicio de un derecho fundamental. En este sentido, en la propia STC 292/2000 se expone que “la constitución ha querido que la Ley, y sólo la Ley, pueda fijar los límites a un derecho Fundamental.”
Continua la STC 292/2000 diciendo que
“Los derechos fundamentales pueden ceder, desde luego, ante bienes, e incluso intereses constitucionalmente relevantes, siempre que el recorte que experimenten sea necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y, en todo caso, sea respetuoso con el contenido esencial del derecho fundamental restringido”
No obstante, posteriormente, y en relación a la intervención reglamentaria en la regulación de un derecho Fundamental la STC 292/2000 expone que:
“…incluso en los ámbitos reservados por la Constitución a la regulación por Ley no es imposible una intervención auxiliar o complementaria del Reglamento, pero siempre que estas
remisiones restrinjan efectivamente el ejercicio de esa potestad reglamentaria a un complemento de la regulación legal que sea indispensable por motivos técnicos o para optimizar el cumplimiento de las finalidades propuestas por la Constitución o por la propia Ley”
Por tanto, tendremos que determinar cuales son los motivos técnicos o la optimización del cumplimiento de finalidades que han motivado al Legislador para establecer las restricciones que disponen los artículos 81.5 y 81.6 del R.D. 1720/2007.
Una posible motivación para estas restricciones la podemos encontrar en la referencia del Consejo de Ministros a la aprobación del R.D. 1720/2007 el 21 de diciembre de 2007.
Podíamos leer, en el sitio web de la Moncloa la siguiente valoración:
“Por otra parte, se establecen ciertas especialidades para facilitar la implantación de medidas de seguridad, que incidirán sobre todo en el ámbito de las PYMES. Por ejemplo, bastará con aplicar las medidas de seguridad de nivel básico, en lugar de las de nivel alto, respecto a datos especialmente protegidos cuando sólo se utilicen para el pago de cuotas a las entidades de las que los titulares de los datos sean miembros. Lo mismo se permite respecto a los datos referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez, cuando tengan por única finalidad cumplir una obligación legal. Esto es particularmente aplicable a los datos relativos a la afiliación sindical o respecto a la salud en los ficheros de nóminas.”
Parece ser, por tanto, que el objetivo perseguido es facilitar la implantación de medidas de seguridad en el ámbito de las PYMES, algo que, para todos aquellos que llevamos años asesorando a empresas en lo relativo al cumplimiento de la normativa de protección de datos, es una obvia consecuencia de la aplicación de estas restricciones.
Pero precisamente, para aquellos que tenemos ya experiencia en la problemática de la aplicación práctica de las medidas de seguridad en las PYMES, no ha dejado de sorprendernos esta “relajación” normativa.
La realidad es que, en el ámbito de la PYME, la mayoría de las veces los tratamientos de datos que se verán afectados por esta relajación de medidas de seguridad son realizados por una entidad especializada, una asesoría o gestoría en materia laboral.
Y la realidad, asimismo, es que la totalidad de estas entidades realizan estos tratamientos de forma automatizada, recurriendo para ello a software de fabricantes especializados que ya desde hace muchos años cumple con las medidas de seguridad aplicables a nivel alto estipuladas en el R.D. 999/1999.
Por tanto, nuestras preguntas son, ¿a quien estamos facilitando la implantación de medidas? ¿A la PYME? ¿A su gestoría? ¿Al fabricante de software que puede invertir menos tiempo de desarrollo en adecuar a la norma las revisiones de sus productos?
Eludiremos responder a estas cuestiones, pero si que podemos afirmar que en la realidad empresarial española, desde hace muchos años ha dejado de ser un problema la aplicación de las medidas de seguridad de nivel alto a los tratamientos de datos de nóminas. O al menos, ha dejado de ser un problema para aquellas PYMES que sí están cumpliendo con la norma.
Curiosamente, es precisamente en el ámbito empresarial de la gran empresa, donde si puede existir beneficios derivados de esta relajación normativa. La causa está en que en estas empresas, con departamentos dedicados de RR. HH. no es raro que se utilice un software hecho a medida y desarrollado por el propio departamento de Informática. Y efectivamente, esta vez si, ese software no suele observar las medidas de seguridad de nivel alto.
De esta forma, entendemos que, siguiendo la STC 292/2000, no existen motivos técnicos y mucho menos una optimización de cumplimiento de finalidades en esta restricción que establece el desarrollo reglamentario frente a la Ley, y que tampoco es justificable esta limitación de la protección efectiva de un derecho Fundamental en base a finalidades constitucionalmente relevantes, dado que éstas no han sido identificadas.
Entendemos, por el contrario, que la protección de los datos personales (y mas aún, los especialmente protegidos) debe responder precisamente a la naturaleza de la información que contienen y no al tratamiento o uso al que vayan destinados.
De esta forma, una incidencia de seguridad en el tratamiento de un dato de salud, que conlleve una revelación de datos a personas no autorizadas, conlleva el mismo daño moral para el interesado independientemente de cual sea el origen del dato. Y velar porque no se produzca ese daño moral es la verdadera finalidad de la Ley.
Nos resulta difícil de entender por qué la protección de nuestro grado de minusvalía recogido en un tratamiento de datos laborales tiene menor importancia que la protección de ese mismo dato en una historia clínica, máxime cuando el personal encargado del tratamiento de ese dato en un entorno sanitario tiene otra concienciación respecto de su confidencialidad que el personal de un departamento de RR. HH.
Por tanto, realmente, a nuestro juicio la seguridad de ese dato precisamente está mucho mas comprometida en el entorno laboral que en el sanitario, no observando precisamente el R.D. 1720/2007 esta realidad con las restricciones dispuestas en la aplicación de medidas.