El pasado 19 de enero se publicó en el Boletín Oficial del Estado el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter personal, casi un mes después de su aprobación por el Consejo de Ministros que se produjo el 21 de diciembre.
Este retraso en su publicación, después del tiempo que ha llevado su tramitación, ha generado una situación de incertidumbre a las empresas que ven con preocupación las nuevas obligaciones que tendrán que acatar una vez que entre en vigor este Reglamento.
Efectivamente, el Reglamento viene a desarrollar los principios, derechos y obligaciones consagrados por la Ley Orgánica de Protección de Datos, tratando de resolver las dudas interpretativas existentes en torno a la aplicación de la norma, ocasionadas por las novedades que incorporó su aprobación y por la dispersión normativa existente y, asimismo, desarrolla aquellos aspectos que la experiencia ha demostrado que precisan de un mayor desarrollo normativo.
Entre las novedades, destaca el listado de medidas de seguridad que deberán aplicarse a los ficheros no automatizados, que hasta ahora sólo debían incorporar aquéllas medidas necesarias para evitar la alteración, pérdida, tratamiento o acceso no autorizado, y aquéllas previstas en el Reglamento de Medidas de Seguridad que fueran aplicables a soportes no informatizados.
La adopción de protocolos para implementar estas medidas de seguridad en el archivo y custodia de los centros de salud, va a suponer un gran esfuerzo para los responsables de archivo no sólo a nivel económico sino también a nivel organizativo.
Por otro lado, el Reglamento recoge una serie de criterios que deberán seguir ciertos sectores como el de aquéllos que se dedican a la publicidad y prospección comercial. Sin duda, habría sido una gran ocasión para regular específicamente algunos aspectos referidos a la salud, ya que la única novedad en este sentido es una definición de “datos de carácter personal relacionados con la salud”.
No obstante, las empresas, incluyendo todos los centros hospitalarios y doctores que desarrollan su actividad de manera individual, deberán cumplir la nueva normativa que incluye cambios no sólo en lo que se refiere a la seguridad, sino también en la regulación del consentimiento, cómputo de plazos, etc.
Debe tenerse en cuenta que el Reglamento entrará en vigor el 19 de abril de 2008 y a partir de entonces todos los ficheros que se creen deberán cumplir íntegramente esta normativa. Los ficheros creados con anterioridad tendrán un plazo para implantar las medidas de seguridad en sus organizaciones. En caso de ser ficheros automatizados tendrá entre un año y 18 meses en función del nivel de seguridad de los datos que se traten y del área de actividad del responsable. Para los ficheros no automatizados se han establecido unos plazos de un año, 18 meses y dos años en función de que las medidas de seguridad que se deban adoptar sean de nivel básico, medio o alto, respectivamente.
Nuestra recomendación es que aunque se prevea un plazo de dos años para los ficheros que contienen historiales clínicos en papel, se siga el refrán y no dejen para mañana lo que puedan hacer hoy, adoptando desde un principio los protocolos precisos para llevar a cabo la implantación de las medidas de seguridad y dotar a su organización de la seguridad suficiente que se garantiza con el cumplimiento de la Ley Orgánica de Protección de Datos.
Publicado en Redacción Médica el Jueves 24 de Enero de 2008.Número 705.Año IV