En fecha 14 de diciembre de 1999 se publicó en el Boletín Oficial del Estado la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, que vino a derogar la anterior Ley Orgánica 5/1992, de 29 de octubre, de Tratamiento Automatizado de Datos de carácter personal, trasponiendo a nuestro Derecho lo establecido en la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales.

La Ley es de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.

Por lo tanto, se regirá por esta Ley todo tratamiento de datos de carácter personal:

a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.

b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.

c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

Los principios de protección deben aplicarse a todos los tratamientos de datos de carácter personal cuando se realicen en territorio español en el marco de las actividades de un establecimiento del responsable. Así mismo, se regirán por la Ley todos aquellos tratamientos de datos que utilicen medios situados en territorio español, excepto que tales medios se utilicen únicamente con fines de tránsito en la transmisión de los datos.

Estarían excluidos de los principios de protección el tratamiento de datos efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas, como por ejemplo la correspondencia y la llevanza de un repertorio de direcciones.

Los principios de protección de datos establecen, por una parte, las obligaciones que incumben a las personas, autoridades públicas, empresas, organismos etc., que efectúen tratamientos con datos de carácter personal, obligaciones relativas a la recogida de los datos, a la calidad, la seguridad, la notificación, al principio de finalidad y todas aquellas circunstancias en las que se pueden efectuar un tratamiento de datos. Por otra parte, establecen los derechos otorgados a las personas cuyos datos sean objeto de tratamiento (afectado o interesado en terminología de la Ley), el derecho a ser informado acerca del tratamiento, de poder acceder a los datos, solicitar su rectificación o incluso oponerse a su tratamiento en determinadas circunstancias.

El Registro General de Protección de Datos, en cumplimiento del artículo 14 de la Ley, es el órgano al que corresponde velar por la publicidad de la existencia de los ficheros de datos de carácter personal, con la finalidad de que los ciudadanos tengan la posibilidad de ejercitar los derechos de acceso, rectificación, oposición y cancelación de sus datos, pudiendo conocer a tal fin la siguiente información:

- la existencia de ficheros automatizados

- la finalidad de sus tratamientos - la identidad del responsable del fichero

Debe recordarse que la inscripción de los ficheros en el Registro General de Protección de Datos tiene un carácter meramente declarativo, sin perjuicio de la obligación de notificar los mismos en los términos establecidos y de que la información contenida en la notificación se ajuste a la realidad.

La Ley ha desechado el establecimiento de la autorización previa a la inscripción constitutiva en un registro con la pretensión de evitar una perniciosa burocratización, por lo tanto, la inscripción en el Registro General de Protección de Datos es declarativa. Por otra parte, la consulta es pública y gratuita y serán objeto de inscripción en el mismo, tanto los ficheros de los que sean titulares las Administraciones Públicas, así como los ficheros de titularidad privada. También serán objeto de inscripción las autorizaciones de transferencias internacionales de datos a terceros países, y los códigos tipo.

Los principios de la inscripción de ficheros se pueden resumir en los siguientes puntos:

- El responsable del fichero deberá efectuar una notificación para su inscripción en el Registro, con anterioridad a la realización de un tratamiento o de un conjunto de tratamientos.

- La inscripción de un fichero de datos no prejuzga que se hayan cumplido el resto de las obligaciones derivadas de la Ley.

- La notificación de ficheros implica el compromiso por parte del responsable de que el tratamiento de datos personales declarados para su inscripción cumple con todas las exigencias legales.

- La notificación de los ficheros al Registro supone, una obligación de los responsables del tratamiento, sin coste económico alguno para ellos, y facilita que las personas afectadas puedan conocer quienes son los titulares de los ficheros ante los que deben ejercitar directamente los derechos de acceso, rectificación y cancelación.

Los procedimientos de notificación tienen por objeto asegurar la publicidad de los fines y los tratamientos de los datos personales, así como sus principales características. Únicamente podrán crearse ficheros de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular y se respeten las garantías que esta Ley establece para la protección de las personas.

1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos.

2. En la notificación deberán figurar necesariamente el responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad, con indicación del nivel básico, medio o alto exigible y las cesiones de datos de carácter personal que se prevean realizar y, en su caso, las transferencias de datos que se prevean a países terceros.

3. Deberán comunicarse a la Agencia de Protección de Datos los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación.

4. El Registro General de Protección de Datos inscribirá el fichero si la notificación se ajusta a los requisitos exigibles. En caso contrario podrá pedir que se completen los datos que falten o se proceda a su subsanación.

5. Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la Agencia de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el fichero automatizado a todos los efectos.

Serán objeto de inscripción el Registro General de Protección de Datos,

a) Los ficheros de que sean titulares las Administraciones Públicas.

b) Los ficheros de titularidad privada.

c) Las autorizaciones a. que se refiere la Ley.

d) Los códigos tipo a que se refiere el artículo 32 de la Ley.

e) Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de información, acceso, rectificación, cancelación y oposición.

No obstante, sería interesante hacer algunas consideraciones en relación con la entrada en vigor de la nueva Ley 15/1999, que no ha supuesto cambios sustanciales a los efectos de lo previsto en sus artículos 20, 25 y 26, que regulaban la creación de ficheros y la obligación de notificarlos.

La nueva Ley regula la inscripción de los ficheros de titularidad pública y privada, respectivamente, en los artículos 20 y 26, estableciendo los requisitos que deberán incorporarse a las solicitudes de inscripción en el Registro General de Protección de Datos. Asimismo, la nueva Ley introduce nuevas definiciones, tales como las referentes al encargado del tratamiento y fuentes accesibles al público y modifica, entre otros, los supuestos legales que amparan la comunicación o cesión de datos, establecidos por los artículos 11 y 21, o los relativos al movimiento internacional de datos que disponen los artículos 33 y 34.

En los artículos 20 y 26 se establece para los ficheros de titularidad pública y privada respectivamente, la información que, como mínimo, debe figurar en la notificación. La única novedad respecto de las previsiones que contemplaba la LORTAD, es la relativa a las medidas de seguridad, con indicación del nivel básico, medio o alto exigible.

La creación, modificación o supresión de los ficheros de las Administraciones Públicas sólo podrán hacerse por medio de disposición general publicada en el "Boletín Oficial del Estado» o diario oficial correspondiente. La correspondiente disposición de carácter general, deberá contener los extremos referidos en el artículo 20.2 de la Ley, que prevé que "las disposiciones de creación o de modificación de ficheros deberán indicar.

a) La finalidad del fichero y los usos previstos para el mismo.

b) Las personas o colectivos sobre los que se pretenda obtener datos de carácter personal o que resulten obligados a suministrarlos.

c) El procedimiento de recogida de los datos de carácter personal.

d) La estructura básica del fichero y la descripción de los tipos de datos de carácter personal incluidos en el mismo. e) Las cesiones de datos de carácter personal y, en su caso, las transferencias de datos que se prevean a países terceros.

f) Los órganos de las Administraciones responsables del fichero.

g) Los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso, rectificación, cancelación y oposición.

h) Las medidas de seguridad con indicación del nivel básico, medio o alto exigible.

El artículo 39 de la nueva Ley contempla al Registro General de Protección de Datos, como órgano integrado en la Agencia de Protección de Datos. El artículo 37, al igual que el artículo 38 de la LORTAD, atribuye entre otros, el principio de publicidad de los ficheros, a cuyo efecto exige que se publique la relación de los mismos. Por lo tanto, y en el escenario de la declaración de ficheros, a los efectos de publicidad de los mismos, se puede considerar que el concepto al que se refiere la Directiva en su artículo 21 de Publicidad de los tratamientos, es equiparable al concepto utilizado por la nueva Ley española en su artículo 37.j) Velar por la publicidad de la existencia de los ficheros automatizados. Este contenido también coincide plenamente con lo que disponía la LORTAD en su artículo 36.j).

Hasta la fecha, el procedimiento de notificación e inscripción de ficheros de datos de carácter personal en el Registro General de Protección de Datos se regula fundamentalmente en el Real Decreto 1332/1994, de 20 de junio, que desarrolla determinados aspectos de la Ley Orgánica 5/1992, cuyos artículos 5 y 6 habilitan a la Agencia de Protección de Datos para elaborar modelos normalizados de solicitud de inscripción para los ficheros de titularidad pública o privada, respectivamente.

La Disposición transitoria tercera de la Ley Orgánica 15/1999 declara expresamente la vigencia del Real Decreto 1332/1994. Ello no obstante, el régimen previsto en los artículos 20 y 26, ya citados, en el que se introduce la obligación de notificar las medidas de seguridad exigibles al fichero, con indicación del nivel básico, medio o alto que haya de adoptarse, así como la necesaria adaptación de dichos preceptos al régimen general establecido en la Ley, han hecho necesario un nuevo modelo de notificación de ficheros, reemplazando al establecido en la Resolución de la Agencia de Protección de Datos, de 22 de junio de 1994. Los nuevos modelos se han regulado por Resolución de la Agencia de Protección de Datos, de 30 de mayo de 2000 (B.O.E. n° 153, de 27 de junio de 2000), por la que se aprueban los modelos normalizados en soporte papel, magnético y telemático a través de los que deberán efectuarse las solicitudes de inscripción en el Registro General de Protección de Datos. Los citados modelos se pueden obtener a través de Internet en nuestra página Web www.agenciaprotecciondatos.org.

Asimismo, se ha desarrollado un programa informático de generación de notificaciones de creación, modificación o supresión de ficheros, de acuerdo con el modelo normalizado, con la finalidad de facilitar la notificación de ficheros o tratamientos a través de técnicas automatizadas.

Este programa también se puede obtener en la página web de la Agencia de Protección de Datos.

El programa permite generar notificaciones de inscripción, dando lugar a un fichero. Este fichero se remitirá a la Agencia, bien directamente a través de Internet, bien mediante un disquete. En ambos casos deberá cumplimentarse y firmarse la hoja de solicitud de inscripción generada por el programa, que habrá de presentarse en la Agencia de Protección de Datos, o en cualquiera de los registros y oficinas a que se refiere el artículo 38.4 de la Ley 30/1992 de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.

Cada remisión en soporte papel podrá incluir varias declaraciones, siempre y cuando las mismas se refieran a un mismo responsable.

Cada remisión en soporte magnético o telemático podrá incluir varias declaraciones, siempre que las mismas se refieran a un mismo responsable, no pudiendo exceder dichas declaraciones de 50.

Los modelos se pueden cumplimentar indistintamente en soporte papel, magnético o telemático, gozando las declaraciones de la misma validez en derecho, siempre y cuando sea debidamente cumplimentada y firmada la hoja de solicitud de inscripción a la que se refiere la Resolución. En caso de que la declaración se efectúe a través de Internet, queda garantizada la seguridad de los datos notificados a la Agencia de Protección de Datos, dado que la utilización del programa aprobado por la Resolución del Director, supone el cifrado de aquéllos, así como que los mismos se alojarán en un servidor web seguro.

Por último, a fin de facilitar la implantación y comprensión de los nuevos modelos, la Resolución estableció un periodo transitorio, que se extendió hasta el 1 de septiembre de 2000, durante el cual ha sido posible la presentación ante la Agencia de Protección de Datos de declaraciones cumplimentadas conforme a los modelos antiguos.

A los efectos previstos en el artículo 39 de la Ley Orgánica 15/1999, no se entenderá recibida la declaración efectuada mediante su envío por medios telemáticos sino desde la fecha en que tenga entrada en la Agencia de Protección de Datos la hoja de solicitud de inscripción, debidamente cumplimentada y firmada.

En todo caso, carecerán de efecto alguno las declaraciones si la hoja de solicitud de inscripción, debidamente cumplimentada y firmada, no hubiera sido presentada en la Agencia de Protección de Datos o en alguno de los registros y oficinas a los que se refiere el artículo 38.4 de la Ley 30 /1992, transcurridos 10 días desde la recepción de la declaración por la Agencia de Protección de Datos.

Todas las recepciones de soportes legibles por ordenador serán provisionales, a resultas de su proceso y comprobación. Cuando no se ajusten al diseño y demás especificaciones establecidas en la Resolución, se requerirá al declarante para que en el plazo de diez días hábiles subsane los defectos de que adolezca la declaración, transcurridos los cuales y de persistir anomalías sustanciales que impidan a la Agencia de Protección de Datos el acceso a los datos exigidos para la notificación, se le tendrá por desistido de su petición, archivándose sin más trámite.

La importancia que para la salud de las personas tiene el avance de la Ciencia depende en gran medida del tratamiento automatizado de los datos médicos del individuo.

Los ficheros y archivos médicos deben garantizar la recogida y tratamiento de los datos, la confidencialidad y la seguridad respetando el derecho a la vida privada.

Habrá que tener en consideración que estos ficheros que contienen datos relacionados con la salud de las personas, deberá tenerse especialmente en cuenta lo dispuesto en el artículo 7.3 de la Ley Orgánica 15/1999, que establece que "los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente", si bien, a tenor del párrafo segundo del artículo 7.6 de la Ley, será posible el tratamiento inconsentido "cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento", añadiendo el articulo 8 que "las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre sanidad.

Previendo asimismo el artículo 11.2 f) de la Ley que será posible la cesión de los datos relativos a la salud "Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica" así como su Transferencia Internacional a terceros países "Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios':

El apartado 45 de la Memoria Explicativa del Convenio 108 del Consejo de Europa viene a definir la noción de "datos de carácter personal relativos a la salud", considerando que su concepto abarca "las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo", pudiente tratarse de informaciones sobre un individuo de buena salud, enfermo o fallecido. Añade el citado apartado 45 que "debe entenderse que estos datos comprenden igualmente las informaciones relativas al abuso del alcohol o al consumo de drogas".

La recomendación n° (97) del Consejo de Europa hace referencia a la expresión "datos médicos" a todos los datos de carácter personal relativos a la salud de una persona. Afecta igualmente a los datos manifiesta y estrechamente relacionados con la salud, así como con la información genética.

Tenemos que ser conscientes del hecho de que el tratamiento automatizado de datos médicos, cada vez está más extendido, no solo en materia sanitaria, investigación médica, gestión hospitalaria y sanidad pública, sino también fuera del sector de los cuidados sanitarios.

La protección deberá aplicarse, como ya se citaba anteriormente, a cualquier información relativa a aun persona física identificada o identificable, una persona no será identificable cuando los datos fueran anónimos o no se pudiera determinar su identidad.

Una persona física no se considerará "identificable" si dicha identificación exige un tiempo, un coste y unas actividades no razonables.

No obstante, se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante un número de identificación, o un conjunto de elementos que pudiera ser característico de su identidad física, fisiológica, psíquica, económica, cultural o social.

La Ley utiliza conceptos como fichero y tratamiento de datos indistintamente en muchos de sus preceptos, pudiendo producir una confusión en el uso de los términos. Así mismo, los conceptos tecnológicos de fichero y archivo en los sistemas informáticos a veces también produce dudas entre los responsables a los efectos de la notificación de inscripción al Registro General de Protección de Datos.

La definición de estos términos a los efectos de la Ley, se encuentran en el artículo 3 de la misma.

Se define Fichero a todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

Se define Tratamiento de datos como las operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

No obstante, sería interesante hacer algunas consideraciones en relación con los conceptos de tratamiento y fichero utilizados por la nueva Ley.

Tanto en la Ley como en la Directiva existen definiciones de los dos conceptos en idénticos términos. A efectos prácticos se puede considerar que:

- La creación de un fichero exige, con carácter previo, la realización de diferentes tratamientos de datos personales: grabación, depuración, etc.

- Un tratamiento de datos supone la realización de cualquier operación o conjunto de operaciones sobre datos que deben encontrarse estructurados, ser accesibles y estar almacenados en ficheros.

De lo anteriormente expuesto, se desprende que el término "tratamiento de datos" contenido en la nueva Ley no difiere a los efectos de inscripción, sustancialmente, del término "fichero" de la LORTAD, siendo el segundo más comprensible y de más larga tradición en nuestro idioma.

Los distintos extremos que debe contener el modelo de notificación de ficheros serán los que determinarán la declaración de uno o más ficheros a los efectos de su inscripción en el Registro General de Protección de Datos.

Tanto las organizaciones científicas y profesionales, como las autoridades públicas deberán fomentar el desarrollo de técnicas y procedimientos que garanticen el anonimato.

En un principio, se podría considerar que la declaración de un fichero supondrá la notificación de la información que corresponda con el conjunto de datos asociados a un tratamiento o uso de los mismos, con una finalidad o finalidades compatibles y determinadas.

Toda recogida de datos de salud debería realizarse con vistas a una utilización determinada, que debería corresponder a una de las categorías siguientes:

- Para el paciente/cliente.

- Para fines de planificación.

- Para acciones de sanidad pública.

- Para fines de investigación.

Cada notificación de fichero podrá englobar varias operaciones y procedimientos técnicos que permitan la recogida, grabación, conservación, elaboración, etc. de datos personales.

Será indiferente a los efectos de inscripción en el Registro General de Protección de Datos, los ficheros (en terminología técnica) o tablas que incluyan los diseños informáticos de los sistemas de información. Se tendrá que notificar por cada declaración de ficheros la información que corresponda con el conjunto de datos asociados a un tratamiento o uso de los mismos, con una finalidad o finalidades compatibles y determinadas.

Por lo tanto, será indiferente si se declara un fichero por cada "tabla" o se declara un conjunto de tablas con tratamientos comunes. En cualquier caso, un responsable de ficheros deberá notificar en el modelo correspondiente, todos aquellos ficheros de datos personales que se tratan bajo su autoridad, los cuales no deberán corresponder necesariamente con todas las operaciones y procedimientos técnicos ya sean de almacenamiento de datos o de tratamiento de los mismos.

Por lo general, el alcance de la protección de datos no debe depender, de las técnicas utilizadas, la protección de las personas se debe aplicar, con la nueva Ley, tanto al tratamiento o ficheros automatizados como al tratamiento o ficheros manuales. No obstante, por lo que respecta al tratamiento manual, solo se aplica a los ficheros o archivos estructurados.

Los principios enunciados en la Ley a los datos médicos se tendrán que aplicar a la historia clínica en soporte papel siempre y cuando los archivos estén organizados atendiendo a la identidad del paciente.

La disposición adicional primera de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, relativa a ficheros preexistentes, en su segundo párrafo dispone:

"En el supuesto de ficheros y tratamientos no automatizados, su adecuación a la presente Ley Orgánica y la obligación de inscribirlos deberá cumplimentarse en el plazo de doce años a contar desde el 24 de octubre de 1995, sin perjuicio del ejercicio de los derechos de acceso, rectificación y cancelación por parte de los afectados".

Por lo tanto, la Ley 15/1999 está reconociendo el derecho de acceso, rectificación y cancelación por parte de los afectado a la historia clínica.

El Considerando 27 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo del 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos especifica que:

1.- La protección de las personas debe aplicarse tanto al tratamiento automático de datos como a su tratamiento manual.

2.- El alcance de esta protección no debe depender, en efecto, de las técnicas utilizadas, pues lo contrario daría lugar a riesgos graves.

3.- Que no obstante, por lo que respecta al tratamiento manual la Directiva solo abarca los ficheros, y no se aplica a las carpetas que no están estructuradas. En particular, el contenido de un fichero debe estructurarse conforme a criterios específicos o determinados relativos a las personas, que permitan determinar los elementos de un conjunto estructurado de información relativa a las mismas y que permitan acceder fácilmente a los datos personales.

4.- Que los distintos criterios que permiten determinar los elementos de un conjunto estructurado de datos de carácter personal y los distintos criterios que regulan el acceso a dicho conjunto de datos pueden ser definidos por cada Estado miembro.

5.- Que las carpetas y conjuntos de carpetas, así como sus portadas, que no estén estructuradas conforme a criterios específicos no están comprendidas en ningún caso en el ámbito de aplicación de la Directiva 95/46/CE.

La definición de fichero prevista en la Directiva es la siguiente: Todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.

Como ya se citó anteriormente, la definición de fichero prevista en la Ley 15/1999 es: Todo conjunto organizado de datos de carácter personal, cualquier que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

Por lo tanto, los archivos (carpetas o conjunto de carpetas) o ficheros manuales, así como sus portadas, que no estén estructurados conforme a criterios específicos y determinados relativos a las personas, en un principio, se puede interpretar que no están comprendidos en el ámbito de aplicación de la Ley 15/1999.

Un fichero manual estará incluido dentro del ámbito de aplicación(1) de la Ley 15/1999, cuando el fichero o archivo contenga un conjunto estructurado de datos personales que sean accesibles fácilmente a los datos personales con arreglo a criterios determinados.

La importancia que, en el marco sanitario, reviste el actual desarrollo de las técnicas para captar, transmitir, manejar, registrar, conservar o comunicar los datos relativos a las personas físicas constituidos por sonido e imagen, está produciendo dudas razonables en relación a su inclusión en el ámbito de aplicación de la Ley.

Los tratamientos que afectan a dichos datos sólo quedan amparados por la Directiva cuando están automatizados o cuando los datos a que se refieren se encuentran contenidos o se destinan a encontrarse contenidos en un archivo estructurado según criterios específicos relativos a las personas, a fin de que se pueda acceder fácilmente a los datos de carácter personal de que se trata. Por lo tanto, es consideración de la Agencia que los datos personales grabados con estas técnicas únicamente se incluirán en el ámbito de aplicación de la Ley cuando son tratados o archivados por criterios relativos a las personas.

La Ley de Protección de Datos, prevé en su artículo 9, la obligación del Responsable del fichero y del Encargado del tratamiento(2) de adoptar las medidas de índole técnica y organizativas necesarias para garantizar la seguridad que deben reunir los ficheros, los centros de tratamientos, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento automatizado de los datos de carácter personal

Por lo tanto, la obligación de aplicar o adoptar las medidas de seguridad, es del responsable del fichero y en su caso, del encargado del tratamiento, éstas medidas se tendrán que aplicar en cada uno de los procesos o fases del tratamiento de datos personales.

La antigua LORTAD, así como la nueva Ley, en el artículo 9.3 hace una referencia especial a los requisitos y condiciones que deben reunir los ficheros automatizados y las personas que intervengan en el tratamiento automatizado de los datos especialmente protegidos a que se refiere el artículo 7 de la Ley 15/1999.

El Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, contempla en el artículo 4.3 que «Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calcadas de nivel alto':

Se incluirán en este nivel las medidas que garanticen una seguridad apropiada, habida cuenta de la naturaleza sensible de estos datos y los riesgos potenciales (en datos de salud, la propia protección de los pacientes).

Si bien es cierto que en algunos supuestos, el coste de su implantación puede ser elevado, se entiende que es imprescindible exigirlas atendiendo a la especial naturaleza de los datos y al reforzamiento de la protección que los mismos requieren.

Deberán tomarse medidas técnicas y de organización adecuadas, estas medidas deberán garantizar un nivel de seguridad apropiado, habida cuenta, por una parte, de las condiciones técnicas y, por otra parte, de la naturaleza sensible de los datos médicos y de la evaluación de riesgos potenciales.

La Recomendación R(97)5 del Comité de Ministros del Consejo de Europa dentro del ámbito del Convenio 108 para la protección de las personas, exige en el tratamiento de datos de salud unas medidas de seguridad en la misma línea que las propuestas en el Nivel Alto del Reglamento.

Con el fin de garantizar la confidencialidad, integridad y exactitud de los datos objeto de tratamiento, así como la protección de los pacientes, deberán tomarse medidas apropiadas tendentes a

- Impedir a cualquier persona no autorizada el acceso a las instalaciones donde se traten datos (control de entrada de las instalaciones).

- Impedir que los soportes de datos puedan ser leídos, copiados, modificados o trasladados por persona no autorizada (control de soporte de datos).

- Impedir la introducción no autorizada de datos en el sistema de información, así como cualquier acceso a los datos, su modificación o borrado por personas no autorizadas.

La recogida y tratamiento de datos médicos solo debería ser tarea de profesionales sanitarios o personas o entidades contratadas por cuenta de los responsables de fichero, que a su vez, deberán someterse a las normas de confidencialidad propias de los profesionales sanitarios.

Para asegurar el acceso selectivo a la información, los sistemas de información deberán diseñarse de tal forma que puedan separarse:

a) Los elementos de identificación y los datos relativos a la identidad de las personas.

b) Los datos de carácter médico (objetivos, subjetivos).

c) Los datos relativos a la administración.

d) Los datos de características sociales (objetivos, subjetivos).

e) Los datos genéticos.

Garantizar que pueda comprobarse y verificar quién accedió al sistema y qué datos de carácter personal fueron introducidos en el sistema de información, en que momento y a través de qué persona.

Impedir que, durante la comunicación de datos o cesiones, así como durante el transporte de soportes de datos, estos puedan ser leidos copiados, modificados o borrados sin autorización.

El reglamento de seguridad exige a los ficheros que contengan este tipo de datos, además de las medidas de nivel básico y medio, la medidas siguientes consideradas de nivel alto:

Distribución de soportes (Artículo 23)(3). Gestión de soportes cifrados de datos.

Registro de accesos. (Articulo 24). Garantizar que pueda comprobarse y verificarse quién accedió al sistema, qué datos fueron introducidos o modificados (registro accedido), en qué momento (fecha y hora).

Se tendrán que mantener los datos por un período mínimo de 2 años para estar en consonancia con la obligación de realizar auditorías al menos cada 2 años.

Examen periódico de las medidas (Controles periódicos). El responsable de seguridad, persona independiente, designada por el responsable del fichero se encargará de revisar periódicamente la información de control registrada.

Copias de respaldo y recuperación (Artículo 25) (Control de disponibilidad). Se tendrán que almacenar en un lugar diferente de aquél en que se encuentren los equipos informáticos que los traten.

Telecomunicaciones (Articulo 26). La transmisión de datos de carácter personal especialmente protegidos a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulable por terceros.

No hay ningún plazo estipulado para declarar el nivel de seguridad en los ficheros inscritos en el Registro General de Protección de Datos con anterioridad a la entrada en vigor de la nueva Ley.

No obstante, la Disposición Adicional Primera de la Ley Orgánica 15/1999, establece, que los ficheros y tratamientos automatizados, inscritos o no en el Registro General de Protección de Datos deberán adecuarse a dicha Ley Orgánica dentro del plazo de tres años, a contar desde su entrada en vigor. En dicho plazo, los ficheros de titularidad privada deberán ser comunicados a la Agencia de Protección de Datos y las Administraciones Públicas, responsables de ficheros de titularidad pública, deberán aprobar la pertinente disposición del regulación del fichero o adaptar la existente.

A la vista de la redacción de la citada Disposición se plantean las siguientes cuestiones:

a) En primer lugar, la determinación del ámbito de aplicación de la Disposición y, concretamente, el sentido que ha de darse a la expresión "ficheros y tratamientos automatizados inscritos o no en el Registro General de Protección de Datos':

b) En segundo lugar, se plantea la duda sobre si la adecuación a la Ley Orgánica dentro del plazo de tres años, a contar desde su entrada en vigor, (14 de enero del 2000) se refiere a la totalidad de las previsiones contenidas en la Ley Orgánica o resulta sólo aplicable al cumplimiento de las obligaciones formales de notificación para su inscripción en el Registro General de Protección de Datos.

A juicio de la Agencia de Protección de Datos, la interpretación de las previsiones contenidas se refieren al aspecto formal necesario para adecuar la inscripción de los ficheros preexistentes en un plazo de tres años. Por lo tanto, todos los ficheros que figuren inscritos en el Registro General de Protección de Datos antes del 15 de enero del 2000, tendrán tres años para completar su declaración con los niveles de seguridad.

La referencia a los ficheros no inscritos en el Registro General de Protección de Datos, únicamente debe alcanzar a aquellos ficheros o tratamientos, públicos y privados que en la Ley 5/1992, LORTAD, no se encontraban sujetos a la normativa reguladora y que, en consecuencia, no estaban obligados a notificarlos para su inscripción en el Registro General de Protección de Datos, y que en la actual Ley 15/1999, han sido incluidos en el ámbito de aplicación (4)

En las inscripciones realizadas desde la entrada en vigor de la Ley 15/1999, y hasta tanto se lleven a efecto las previsiones de desarrollo reglamentario de los distintos extremos que deben contener la nueva notificación (previsto en el artículo 26 apartado 2) continua en vigor, la norma reglamentaria existente, de acuerdo a lo previsto por la disposición transitoria tercera, en este caso, el Real Decreto 1332/1994, de 20 de junio, por el que se regula el procedimiento para notificar los ficheros, toda vez que no se opone a lo previsto en el artículo 26 de notificación e inscripción registral.

En el supuesto de ficheros y tratamientos no automatizados, su adecuación a la Ley 15/1999 y la obligación prevista en el párrafo anterior deberá cumplimentarse en el plazo de doce años a contar desde el 24 de octubre de 1995.

19, 20 y 21 de octubre de 2000

1 En el Considerando 27, la Directiva permite a los estados que regulen los criterios que permitan determinar los elementos de un conjunto estructurado de datos y los distintos criterios que regulan el acceso a dicho conjunto de datos. No obstante, la Ley española no ha tenido en cuenta esta consideración y no hace ninguna referencia a los ficheros manuales excepto para decir cuando entran en vigor.

2 Encargado del tratamiento: Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento

3 La distribución de soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada durante su transporte.

4 El régimen de protección de los datos de carácter personal establecido en la antigua Ley Orgánica 5/1992 no era de aplicación:

• A los ficheros automatizados de titularidad pública cuyo objeto, legalmente establecido, sea el almacenamiento de datos para su publicidad con carácter general.

• A los ficheros de información tecnológica o comercial que reproduzcan datos ya publicados en boletines, diarios o repertorios oficiales.

• A los ficheros de informática jurídica accesibles al público en la medida en que se limiten a reproducir disposiciones o resoluciones judiciales publicadas en periódicos o repertorios oficiales.

• A los ficheros mantenidos por los partidos políticos, sindicatos e iglesias, confesiones y comunidades religiosas en cuanto los datos se refieren a sus asociados o miembros y ex-miembros ...