Desde que a finales de 2007 entrase en vigor el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprobó el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, las empresas han tenido relativamente «fácil» cumplir con la normativa relativa a la protección de datos.
Y es que, dicho Reglamento (aún vigente) establece cuáles son las medidas de seguridad exactas que los responsables de los ficheros (las empresas) deben cumplir en función del tipo de dato personal que tratan, estructurándose o dividiéndose en datos de nivel básico, medio y alto.
Ahora bien, la reciente entrada en vigor del Reglamento Europeo de Protección de Datos, de aplicación directa para todos los Estados miembros y de obligado cumplimiento a partir del 25 de mayo de 2018, cambia totalmente esta situación.
El nuevo Reglamento Europeo, a diferencia del que tenemos actualmente en España, no establece cuáles deben ser las medidas de seguridad que deben adoptar las empresas en relación al tratamiento de los datos personales que realizan. Es un tema que deja totalmente abierto a criterio de la propia empresa.
Así, deberá ser la propia empresa la que decida qué medidas de seguridad aplicará en cada momento, en función de los datos personales que trate y el riesgo que entrañen en cuanto a vulneración de la intimidad y privacidad del titular de dichos datos.
No obstante, y pese a que el Reglamento Europeo de Protección de Datos deja las medidas de seguridad a criterio de la evaluación de riesgos que realicen las empresas, también es cierto, que en todo momento se abre una puerta para que sean las Autoridades de Control de cada Estado (en nuestro caso, la Agencia Española de Protección de Datos) la que ayude y guié en esta y otras materias que el Reglamento deja abiertas.
En este sentido, nuestra Autoridad de Control, la Agencia Española de Protección de Datos, ya se ha pronunciado al respecto, manifestando estar trabajando para poder ofrecer guías que puedan ayudar al cumplimiento de la norma europea, no descartándose la aprobación de normativa española para cubrir aquello que el Reglamento Europeo de Protección de Datos, deja abierto o a criterio de las autoridades de control.
¿Por qué el Reglamento Europeo de Protección de Datos no ha establecido las medidas de seguridad concretas a cumplir?
El Reglamento Europeo de Protección de Datos no ha establecido las medidas de seguridad concretas que las empresas deben cumplir porque lo que se pretende es disponer de una norma que no se quede obsoleta al poco tiempo de su aprobación y que pueda aplicarse ahora y en un futuro adaptándose así, a las nuevas tecnologías y aplicaciones que irán apareciendo.
Si que es verdad, que uno de los grandes problemas de la normativa actual relativa al control de las nuevas tecnologías, es que se queda obsoleta poco tiempo después de su aprobación (incluso a veces antes), porque la aparición de nuevas tecnologías es tan habitual y rápida que la normativa nunca puede llegar a alcanzarla para protegerla. De esta forma, dejando la puerta abierta a cómo aplicar la normativa se «aseguran» que los nuevos proyectos, en los que se utilicen tecnologías aún inexistentes o novedosas, quedarán cubiertos o, cómo mínimo, las empresas deberán preocuparse de que así sea.