Comentario a la Ley Orgánica de Protección de Datos
1.- Consideración general sobre la normativa relativa a la protección de datos
La publicación de la Ley Orgánica 15/1999, de 13 de diciembre, sobre Protección de Datos de Carácter Personal (LOPD), como ha sido reconocido unánimemente por la doctrina, supone, a pesar de que una lectura apresurada pudiera sugerir lo contrario, una sustancial modificación del régimen sobre protección de datos de personas físicas que anteriormente se contenía en la ya extinta LORTAD.
La nueva LOPD es susceptible de críticas negativas y positivas. Dentro de estas últimas, es de destacar el esfuerzo que supone por introducir firmemente en la cultura jurídica actual unos valores sobre la defensa de la intimidad y privacidad de los ciudadanos y consumidores, principales roles impuestos por el mercado y los poderes públicos del presente.
Por otro lado, la ambigüedad y falta de precisión de muchos términos y situaciones descritas en la Ley, con independencia de otros reproches más sustantivos circunscritos a aspectos concretos, son las características que, negativamente, se destacan de forma mayoritaria.
A diferencia de las autoridades norteamericanas, la Unión Europea manifiesta una especial sensibilidad por la protección de la intimidad y datos personales de sus ciudadanos, que en España, como menciona la exposición de motivos de la derogada LORTAD, constituye un mandato a los poderes públicos instaurado por el artículo 18.4 de la Constitución, que emplaza al legislador a limitar el uso de la informática para garantizar el honor, la intimidad personal y familiar de los ciudadanos y el legítimo ejercicio de sus derechos. Si bien, la nueva normativa, al extenderse más allá del uso de la informática, tiene un entronque constitucional más amplio que el circunscrito al artículo 18.4, para comprender en líneas generales los derechos reconocidos en la Sección primera del capítulo segundo del Título I de nuestra Carta Magna.
Actualmente, en el proceso de construcción de la sociedad de la información a escala global que posibilitan Internet y las nuevas tecnologías de la información, la protección de la intimidad en los términos reseñados constituye una de las principales diferencias entre Estados Unidos y la Unión Europea que, previsiblemente, se agudizará en un futuro cercano, pero sobre la que resulta necesario alcanzar un acuerdo satisfactorio. Acuerdo que, aunque en fase embrionaria da la impresión de empezar a concretarse a tenor de lo que se ha publicado últimamente al respecto.
La irrupción de Internet, y demás tecnologías y herramientas que lleva aparejada, en el escenario sobre el que despliega su eficacia este grupo normativo, supone, sin duda, una fuente de peligros adicionales para los bienes que pretenden protegerse con la regulación de los datos de carácter personal, siendo conscientes de ello las autoridades que ya han empezado a imponer criterios en el nuevo ámbito de desarrollo que instaura Internet. De ello hace prueba la reciente aprobación del Real Decreto 1906/99, de 17 de diciembre sobre contratación electrónica con CGC, que se encuentra referido a los contratos que se puedan suscribir por técnicas telemáticas y que incluyan condiciones generales de contratación (CGC), dictado en desarrollo de la Ley 7/1998, de 13 de abril, de condiciones generales de contratación.
Es previsible que se dicten normas especiales de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal (Ley 15/1999, de 13 de diciembre), también específicamente aplicables al ámbito de las nuevas tecnologías, y que los organismos encargados de la observancia del cumplimiento de las normas correspondientes presten en todo caso una especial atención a este medio, dado que, por un lado, son relativamente fáciles de controlar y, por otro, los formularios que contienen numerosas páginas de Internet, al encontrarse ya en soporte y formato electrónico, da lugar a registros de datos esencialmente susceptibles de tratamiento, cayendo por tanto dentro del ámbito de aplicación de la nueva Ley, conforme queda definido éste en su artículo segundo.
2.- Extensión del ámbito de aplicación de la normativa sobre protección de datos
La comentada LOPD, publicada en el Boletín Oficial del Estado de 14 de diciembre de 1.999 que deroga la antigua LORTAD, cuenta con un ámbito de aplicación sustancialmente más amplio, de conformidad con lo dispuesto en la Directiva 95/46/CE, extendiéndose a supuestos antes excluidos como los ficheros no automatizados y otorgando a los datos, si cabe, un mayor nivel de protección. En concreto, el artículo 2.1 de la Ley establece que “la presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado”, entendiendo por datos de carácter personal, de conformidad con las definiciones contenidas en el artículo 3, “cualquier información concerniente a personas físicas identificadas o identificables”. Igualmente el término soporte físico habría que asimilarlo al de “fichero” que en el referido artículo 3 se define como “todo conjunto de organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.”
De esta ampliación que se produce merecen ser destacados los siguientes aspectos:
– Extensión a ficheros no automatizados:
La derogada LORTAD definía su ámbito de aplicación en referencia a los datos que figuren en registros susceptibles de tratamiento automatizado (fundamentalmente informático) y a los usos posteriores de esos datos, aunque tal uso no tenga el carácter de automatizado. La Directiva Comunitaria 95/46/CE ya ampliaba este ámbito extendiéndolo a todo fichero de datos, sea automatizado o no, de personas físicas. Esta circunstancia ya había sido puesta de manifiesto por la doctrina de cara a la necesaria adaptación que debía verificarse. La nueva Ley define su ámbito de aplicación sobre la base de datos registrados en soporte físico que los haga susceptibles de tratamiento, sin las anteriores limitaciones. De esta forma, la organización de datos personales en soportes físicos no informáticos debería estar sujeta a las previsiones de la Ley.
Podría decirse, siguiendo la clasificación de Emilio del Peso Navarro (“Principales diferencias entre la nueva Ley de Protección de Datos y la LORTAD”, Actualidad Informática Aranzadi nº 34, enero de 2.000), que la extinta LORTAD se refería sólo a los datos organizados automatizados. Dicho autor diferencia entre datos organizados (aquéllos accesibles directamente mediante un nombre clave o código, que a su vez se subdividen en automatizados o no automatizados) y no organizados (aquéllos en que para buscar un dato determinado hay que buscarlo uno a uno). La LOPD, con la desaparición entre datos automatizados o no, se encontraría referida, simplemente, a los datos organizados.
– Limitación de los supuestos de exclusión:
En la antigua LORTAD se contenían hasta cinco amplios supuestos de exclusión, entre los que se encontraban los ficheros de los partidos políticos, sindicatos e Iglesias, los de titularidad pública, los tecnológicos de reproducción de datos accesibles al público, etc. Todos estos supuestos han desaparecido en el artículo 2.2, que tan sólo prevé exclusiones para (1) los ficheros “domésticos” (la Ley habla de “ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas”; presumiblemente, será un supuesto que dé lugar, sin duda, a una viva polémica sobre su alance), (2) los de materias clasificadas y (3) los relativos a la investigación sobre terrorismo y delincuencia organizada grave.
Por tanto, desde la entrada en vigor de esta Ley Orgánica, puede afirmarse que en principio cualquier fichero, informático o no, tanto empresarial como de otra índole, que almacene datos de personas físicas identificadas o identificables se encuentra dentro del ámbito de aplicación de la normativa y, consecuentemente, sometido a los principios, requisitos y régimen que mediante ella se instaura.
Finalmente, en este apartado tan sólo resta destacar el artículo 3 que incluye las definiciones de los términos que se usan a lo largo de la Ley. Además de las de fichero y datos personales, comentadas anteriormente, merecen ser destacadas las siguientes:
Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo.
Procedimiento de disociación: todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.
Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.
Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta del interesado.
Fuente accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencias que, en su caso, el abono de una contraprestación. Tienen consideración de fuentes de acceso público, exclusivamente, (1) el censo promocional, (2) los repertorios telefónicos en los términos previstos por su normativa específica y (3) las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público (4) los diarios y boletines oficiales y los medios de comunicación.
En este último párrafo, partiendo de una definición más o menos objetiva del concepto “fuente accesible al público”, se acaba enumerando taxativamente los ficheros que tendrán tal consideración a los efectos de la Ley, tan sólo aplicable, por tanto, a los siguientes supuestos: 1.- el censo promocional, 2.- repertorios telefónicos, 3.- listas de grupos profesionales, 4.- diarios boletines oficiales y medios de comunicación. Todos los demás ficheros, aunque puedan ser consultados por cualquier persona sin limitación alguna, no tienen para la Ley la consideración de “fuente accesible al público”.
3.- Régimen: principios
La ley establece una serie de principios básicos que han de observarse en las tres fases fundamentales por las que puede atravesar el proceso de los datos: la recogida, tratamiento y posibles comunicaciones y cesiones de los mismos. A continuación se detallan los principios más relevantes.
– Calidad de los datos (art. 4)
Con este título, el artículo 4 se ocupa en líneas generales de las condiciones en que han de realizarse las operaciones con datos personales:
· La recogida de datos para su tratamiento sólo se permite cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades que han de ser determinadas, explícitas y legítimas.
· El uso de los datos deberá ser compatible con las finalidades descritas.
· En el caso de que los datos sean inexactos, deberán ser rectificados o cancelados, reconociendo en todo caso la posibilidad de acceso por parte del interesado.
· Si los datos pierden su finalidad originaria deberán ser cancelados.
-Información en la recogida de los datos (art. 5).
Este apartado es de especial importancia para las personas que han de confeccionar los cuestionarios de recogida de datos, dado que los interesados deberán ser informados de lo siguiente (consecuentemente el formulario -de ser escrito o encontrarse disponible en Internet- deberá contener también esa información):
a) La existencia del fichero o tratamiento de datos, la finalidad de la recogida y los destinatarios de la información.
b) El carácter optativo u obligatorio de las preguntas.
c) Las consecuencias sobre la obtención de los datos, así como la negativa a suministrarlos.
d) La posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición.
e) La identidad y dirección del responsable del tratamiento o su representante.
Existen algunas excepciones a estos deberes de información, entre las que cabe destacar:
1. Cuando los datos procedan de fuentes accesibles al público (según se definen éstas en el artículo 3) y se destinen a la actividad de publicidad o prospección comercial. En este caso, habrá de informarse en cada comunicación dirigida al interesado del origen de los datos, de la identidad del responsable del tratamiento (apartado e, anterior) y de los derechos (apartado d) que le asisten. Este párrafo es importante pues será al que queden sometidas las comunicaciones que se realicen con base en ficheros adquiridos legalmente de empresas con fines publicitarios.
2. La información de los apartados b), c) y d) anteriores no será necesaria si su contenido se deduce claramente de la naturaleza de los datos personales que se solicitan o las circunstancias en que se recaban.
Por otro lado, si los datos no han sido recabados directamente del interesado, éste deberá ser informado, de forma expresa, dentro de los tres meses siguientes al momento del registro de los datos, salvo que hubiera sido informado con anterioridad.
En cuanto a la elaboración de estos formularios de recogida de datos, habrá que tener presente de forma especial lo manifestado en el artículo 7 sobre datos especialmente protegidos.
– Consentimiento del afectado (art. 6)
El artículo 6 de la Ley trata el alcance de la obligación de requerir el consentimiento del afectado, que se impone con carácter general para todos los datos.
No obstante, sin perjuicio de las normas más rigurosas para los datos especialmente protegidos, existen algunas excepciones al principio general, dado que, siempre que no se vulneren los derechos y libertades fundamentales del interesado, no será preciso el consentimiento en los siguientes supuestos:
a) Cuando los datos se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias.
b) Cuando se refieran a las partes en una relación negocial (un contrato de arrendamiento, por ejemplo), laboral (un contrato de trabajo) o administrativa, siempre que sea necesario para el cumplimiento de la relación de que se trate (por ejemplo pago de salarios).
c) Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado.
d) Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido
De todas formas, en los casos en que no es necesario el consentimiento del afectado, se reconoce a éste el derecho a quedar excluido del tratamiento de los datos, siempre que una Ley no disponga lo contrario y existan motivos fundados y legítimos relativos a una concreta situación personal.
– Datos especialmente protegidos (art. 7)
El artículo 7 se ocupa del régimen de los datos que, por su especial naturaleza, han de apartarse de la regulación general, y que son los siguientes:
a) Los relativos a ideología religión o creencia (art.16 de la Constitución). En este caso el afectado ha de ser informado sobre su derecho a no prestar los datos correspondientes.
b) Los anteriores y los que revelen la afiliación sindical, para ser objeto de tratamiento, el consentimiento al efecto ha de constar de forma expresa por escrito, exceptuando únicamente, y sin perjuicio del necesario consentimiento para su cesión, los ficheros mantenidos por algunas organizaciones como los partidos políticos en lo referente a sus asociados.
c) Sobre los datos relativos al origen racial, salud y vida sexual se establece una prohibición general salvo que una ley lo disponga expresamente, por razones de interés general, o el afectado consienta expresamente tanto su recogida como tratamiento y cesión.
d) Los ficheros exclusivamente dedicados a datos relativos a la ideología, afiliación sindical, religión creencias, origen racial o vida sexual quedan totalmente prohibidos.
Para los apartados b y c) se establece una importante excepción dado que se autoriza su tratamiento cuando resulte necesario para la prevención o diagnóstico médicos, la prestación o gestión de servicios sanitarios, pero siempre que dicho tratamiento se realice por profesional sanitario sujeto al secreto profesional u otra persona sujeta a este secreto.
En relación con los datos referidos a la salud, ha de destacarse el artículo 8 que establece que las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan, o hayan de ser tratados en los mismos, de conformidad con lo dispuesto en la legislación estatal o autonómica sobre sanidad.
– Comunicación y acceso a los datos (artículos 11 y 12).
Los artículos 11 y 12, con una redacción ciertamente confusa, se encuentran dirigidos a regular las condiciones específicas de utilización de datos que han sido recabados por otras personas.
De esta forma, el artículo 11, con el título “comunicación de datos”, se ocupa de la comunicación de los datos para el cumplimiento de fines propios del cedente y cesionario. En este apartado se impone con carácter general la obligación de informar al afectado de la indicada comunicación, salvo, entre otros supuestos, “cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente concesión de dicho tratamiento con ficheros de terceros”, en cuyo caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique. Tal podría ser el supuesto, por ejemplo, de cesión de datos de trabajadores a las compañías aseguradoras, siempre que tales datos se limiten a los elementos imprescindibles para desarrollar sus fines legítimos.
A pesar de estas excepciones en cuanto al consentimiento del afectado, no obstante, hay que tener en cuenta que la Ley prescribe que “aquel a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley.”
Por su parte, el artículo 12 se ocupa específicamente del acceso a los datos por parte de un tercero cuando el mismo sea necesario para la prestación de un servicio al responsable del fichero. Tal supuesto queda excluido el ámbito de aplicación del anterior artículo, al establecer que este acceso no tendrá la consideración de comunicación. De este régimen merecen destacarse las siguientes notas:
a) La obligación legal, consistente en que la realización de tratamientos por cuenta de terceros deba estar regulada en un contrato por escrito, u otra forma que permita acreditar su celebración y contenido.
b) Dicho contrato deberá incluir, entre otras, las siguientes menciones:
· Indicación de que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del fichero.
· El fin del contrato y que los datos no serán utilizados o aplicados con un fin distinto al indicado.
· Las medidas de seguridad que el encargado del tratamiento está obligado a implementar. De ello se deduce que el encargado del tratamiento es responsable de las medidas de seguridad.
c) No podrán comunicarse los datos, ni siquiera para su conservación, a otra persona.
d) Se establece la obligación de devolver al responsable del fichero los soportes o documentos en que consten datos de carácter personal.
e) El incumplimiento de cualquier obligación o estipulación del contrato dará lugar a que el encargado del tratamiento adquiera la consideración, a los efectos de la Ley, de responsable del tratamiento del fichero, respondiendo por ello de las infracciones en que hubiera incurrido personalmente.
4.- Régimen: medidas de seguridad
La nueva Ley de protección de datos declara expresamente vigente, entre otras normas, el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad técnica de los ficheros automatizados que contengan datos de carácter personal. El establecimiento de las medidas de seguridad, para garantizar los derechos reconocidos en la Ley, se configura como una de las obligaciones por las que, de no verificarse, se incurriría en responsabilidades administrativas.
El reglamento instaura tres niveles de seguridad, en función de la información tratada y la mayor o menor necesidad de garantizar la confidencialidad e integridad de la información.
El nivel básico se configura como el aplicable por defecto a cualquier fichero que se encuentre dentro del ámbito de aplicación.
El nivel medio se encuentra formado por los relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y los de solvencia patrimonial y crédito.
El nivel alto lo forman los ficheros con datos sobre la ideología, religión, creencias, origen racial, salud o vida sexual, y los recabados para fines policiales sin consentimiento del afectado. Básicamente, aunque de momento no existe una correspondencia total, los datos de este nivel de seguridad se corresponden con los datos especialmente protegidos a los que hace referencia el artículo 7 de la nueva Ley.
El Real Decreto enumera las medidas técnicas de seguridad que deberán ser implementadas por el técnico encargado de los datos, configurándose como será el máximo responsable del cumplimiento de las medidas. En su nivel básico consistirán, fundamentalmente en:
– Elaboración e implantación de la normativa de seguridad mediante un documento que deberá contener como mínimo las indicaciones del artículo 8 del Real Decreto.
– Definición clara y documentada de las funciones que desempeñará y obligaciones que asumirá cada persona con acceso a los datos y sistemas de información, así como mantener una relación actualizada de usuarios con acceso autorizado y el establecimiento de sistemas de identificación y autentificación.
– Creación de un registro de incidencias.
– Verificación, por parte del responsable del fichero, de la definición y correcta aplicación de los procedimientos de copias de seguridad.
Las medidas de seguridad de nivel medio consisten en añadir a las de nivel básico algunos requisitos adicionales como, por ejemplo, más menciones en el documento de seguridad. Destaca especialmente de este nivel la obligación de realizar una auditoría, interna o externa, que verifique el cumplimiento de las medidas, al menos cada dos años. El informe de auditoría quedará a disposición de la Agencia de Protección de Datos.
Las medidas de seguridad de nivel alto, añade a los requisitos anteriores algunos en materia de distribución de soportes, registro de accesos, la realización de copias de seguridad y la transmisión a través de redes telemáticas.
El indicado Real Decreto 994/1999, de 11 de junio, preveía un sistema aplicación progresiva de la normativa, en virtud del cual las medidas correspondientes al nivel básico de seguridad debían encontrarse ya implementadas, pero, aduciendo los esfuerzos que se han visto obligados a soportar los responsables de los sistemas informáticos para su adaptación al temido -y casi desconocido ya, al menos en sus consecuencias-, efecto 2.000, el Real Decreto 195/2000, de 11 de febrero, amplia el plazo de implantación de las medidas básicas que finaliza el 26 de marzo de 2.000.
Por lo demás, el Real Decreto 994/1999 establece que las medidas de nivel medio deberán implantarse en el plazo de un año desde su entrada en vigor (26/6/99), mientras que para las de nivel alto el plazo se fija en dos años. Por tanto, de cumplirse estas previsiones, en junio del año 2.001 deberán encontrarse en correcto funcionamiento todas las medidas previstas.
5.- Régimen de notificación e inscripción registral
Con carácter general, se establece la obligación de comunicar previamente la creación de cualquier fichero de datos de carácter personal a la Agencia de Protección de Datos, en la forma y con los requisitos que se detallen en la normativa de desarrollo; obligación que, por lo demás, ya existía con la antigua LORTAD. En todo caso, la comunicación a la Agencia deberá incluir datos sobre: el responsable del fichero; la finalidad del mismo; su ubicación; tipo de datos; las medidas de seguridad adoptadas, con indicación del nivel correspondiente; así como las cesiones que se prevean, sin que la Ley restrinja lo más mínimo el ámbito de aplicación de esta obligación.
Por tanto, la creación de cualquier fichero de datos de carácter personal que caiga dentro del ámbito de aplicación de la Ley, conforme se define éste en el artículo 2, se encuentra sometida a la obligación de notificarlo previamente a la Agencia.
6.- Apuntes sobre el régimen sancionador
La Ley sistematiza y ordena los posibles incumplimientos de la Ley en la tipificación de las infracciones que, en una exposición somera y no exhaustiva, se encuentran relacionadas, fundamentalmente, con la inatención del afectado en el ejercicio de sus derechos (acceso, rectificación o cancelación) o insuficiencia en la información que se le suministra en la recogida de los datos, la falta de colaboración con la Agencia, la ausencia de notificaciones preceptivas (como las de creación), así como la creación, tratamiento, comunicación, cesión y mantenimiento de ficheros sin la observancia de las prescripciones de la Ley.
7.- Normas transitorias
El legislador, consciente de las dificultades que puede plantear la adaptación de las bases de datos preexistentes a la aprobación de la Ley, establece un plazo de adaptación para los ficheros automatizados, inscritos o no en el Registro, de tres años a partir de su entrada en vigor (15 de enero de 2.000), y de 12 años (a contar desde el 24 de octubre de 1.995) para los ficheros y tratamientos no automatizados.
8.- Resumen y conclusiones
Como se apunta al principio del presente documento, desde la entrada en vigor de la Ley, puede afirmarse que todo fichero que almacene datos personales de personas físicas identificadas o identificables se encuentra dentro del ámbito de aplicación de la normativa, y sometido por tanto a los principios, requisitos y régimen que mediante ella se instaura.
– La creación del fichero o base de dato>
La ley podría considerarse que incluso despliega su eficacia en las fases previas a la aparición del fichero, dado que la creación de una base de datos o fichero que contenga datos de personas físicas debe responder a una finalidad concreta y legítima. No en vano esa finalidad deberá comunicarse a la Agencia de Protección de Datos.
De esta forma la Ley obliga, a quien pretenda la creación de una base de datos o fichero de estas características, que con anterioridad a su puesta en marcha prevea una serie de elementos que, básicamente, consisten en determinar la finalidad a que obedece el fichero y el nivel de medidas de seguridad que, desde el ámbito técnico, han de implantarse en función de la naturaleza de los datos.
– La recogida de datos
Una vez que se ha notificado a la Agencia la creación del fichero, y determinadas las medidas de seguridad aplicables, el siguiente paso crítico es la recogida de datos en el que debe informarse al interesado sobre los derechos que le asisten, con las excepciones previstas en la Ley y las especialidades que igualmente marca la normativa según la finalidad del fichero, usos previstos para el mismo y naturaleza de los datos, fundamentalmente.
En virtud de estas disposiciones de la Ley resulta necesario revisar, actualizar y supervisar todos los formularios o cualesquiera otros procedimientos se utilicen para la recogida de datos susceptibles de ser tratados en la forma prevista en la Ley.
– Conservación y cancelación de los datos
El almacenamiento y tratamiento de los datos ha de hacerse de forma que preserve los intereses del afectado: por un lado, los derechos de acceso, rectificación y demás reconocidos expresamente en la Ley y, de otro, la preservación de su intimidad y privacidad mediante el establecimiento, aplicación y cumplimiento de las medidas de seguridad que han de ser previstas con anterioridad a la creación del fichero. De esta manera, las comunicaciones y cesiones de los datos deberán respetar también los requisitos y las medidas de seguridad necesarias para garantizar la salvaguarda de los derechos dimanantes de la Ley.
Igualmente, si el fichero pierde la finalidad originaria no está permitido su reutilización en otras actividades debiendo, en consecuencia, destruirse los datos correspondientes.
Por tanto, se abre ahora un proceso de adaptación a la nueva normativa sobre protección de datos, en el que será necesario que los agentes activos afectados por esta legislación realicen una revisión de todos los procedimientos de recogida de información, bien sea mediante formularios escritos o de otra índole, de los ficheros que se sitúen dentro de su ámbito de aplicación, así como los tratamientos comunicaciones y cesiones previstas o sobrevenidas.
