abril 30

COMENTARIO A LA ORDEN DEL MINISTERIO DE FOMENTO, DE 21 DE MARZO DE 2.000, por la que se regula el sistema de asignación de nombres de dominio en Internet bajo el código de país correspondiente a España (.es)

1. Introducción
Mientras que la AI (Asociación de Internautas) es crítica con la aprobación de las nuevas normas[1], como era de esperar, al otro lado de la dialéctica -y dudosa representatividad- “internetera”, la AUI (Asociación de Usuarios de Internet) se congratula por el sentido que la incipiente reforma ha adoptado, al calificar las normas como muy positivas.

Con independencia de posiciones ideológicas e intereses particulares, lo cierto es que, como ha sido destacado, la reforma introduce escasas novedades y, en opinión de muchos, no todas para bien. En cualquier caso, el servicio de registro de nombres de dominio bajo “.es” daba la impresión de haber tocado fondo, encontrándose en una situación en que difícilmente podría imaginarse un paso atrás, pero, por momentos, parece haberse conseguido en algunos aspectos. Todo el mundo coincidía en que era necesario iniciar una reforma en el menor tiempo posible, pero antes de abordar toda la problemática de los nombres de dominio desde una perspectiva completa, se hacía imprescindible apagar los fuegos que impedían una gestión ágil y eficaz.

El cambio operado en la organización responsable de la gestión era, probablemente, una de las primeras decisiones que habían de ser adoptadas en el proceso de reforma (cuestión abordada en la Resolución de la Secretaría General de Comunicaciones, de 10 de febrero de 2.000, publicada en el BOE de 6 de marzo). Se ha escogido una personalidad ya creada, con escasos o nulos contenidos actuales (la antigua RETEVISION), evitándose así la necesidad de esperar la creación de una nueva entidad, con personalidad jurídica propia y verdaderamente independiente, como todos deseamos.

Consideremos que las normas publicadas han de ser objeto de un desarrollo en el que, verdaderamente, habrá de verificarse la reforma real, aún pendiente, del sistema de asignación de nombres de dominio, tal y como destacaba recientemente en “ciberpais” el jurista Amadeu Abril. Las propias normas, si se es consecuente con los cambios que han de efectuarse, han nacido para ser en breve modificadas, pero, por ventura o desgracia, nuestro sistema jurídico es todo un ejemplo de perdurabilidad de normas supuestamente provisionales y transitorias.

La publicación oficial de las normas que seguidamente se comentan constituyen el pistoletazo de salida en el episodio español de la batalla por la determinación del sistema de nombres de dominio. El gobierno ha emitido su particular “Libro Blanco”; ahora la voz corresponde a la comunidad de Internet, gran ausente de momento en el proceso -según se destaca en algunos ámbitos-, y resto de agentes con intereses en la materia.

Seguidamente se analizan las normas referidas a nombres de dominio en el ordenamiento español, así como una valoración preliminar de la reforma operada, comentando brevemente las novedades que se introducen. Para ello me centro en mayor medida en el texto articulado de la Orden, dado que el anexo, que contiene las normas de registro, se corresponde básicamente con las anteriores a la Orden.

2. Normas que afectan al sistema de nombres de dominio en España y competencia para su regulación
El Boletín Oficial del Estado del jueves 30 de marzo de 2.000 publica la esperada, por ser anunciada con anterioridad, Orden del Ministerio de Fomento, de 21 de marzo de 2.000, por la que se regula el sistema de asignación de nombres de dominio en Internet bajo el código de país correspondiente a España (.es). Pero antes de analizar en extenso esta Orden, conviene mencionar las normas que, previamente publicadas, confieren en teoría la competencia para regular esta materia al Ministerio de Fomento.

El amparo competencial que esgrime el Ministerio es el Real Decreto 1651/1998, de 24 de julio, por el que se aprueba el Reglamento que desarrolla el título II de la Ley General de Telecomunicaciones en lo relativo a la interconexión y al acceso a las redes públicas y a la numeración.

La Ley General de telecomunicaciones
El título II de la Ley General de Telecomunicaciones (Ley 11/1998, de 24 de abril) se encuentra dedicado a “La prestación de servicios y el establecimiento y explotación de redes de telecomunicaciones en régimen de libre competencia”.

A los efectos actuales, de este título merece destacarse el capítulo V que se ocupa de las cuestiones relativas a números de teléfono y que se titula “numeración”.

Se omite la trascripción de este capítulo por razones de brevedad en el texto, pero, si se observa detenidamente su redacción, sorprende, en primer lugar, que en ningún momento se menciona la palabra “nombre”, ni nada parecido, y, en segundo, que la Comisión del Mercado de las Telecomunicaciones da la impresión de tener mayores competencias de las que actualmente tiene en la materia propia de este trabajo, si es que fuera de estimar que ese título puede incluir a los nombres de dominio en su espíritu, dado que no se encuentra en la letra.

Es difícil, por no decir imposible, pensar que en este capítulo el legislador haya realizado una reflexión que llegue a alcanzar a los nombres de dominio, pero de hecho es el título utilizado para incluir a nivel reglamentario una referencia a nombres que, de esta manera y aunque suene extraño, han de incluirse, acaso atípicamente, como partes del sistema de numeración telefónica.

El Real Decreto 1651/1998
En el desarrollo del indicado título, el Real Decreto 1651/1998, de 24 de julio (aprobado tres meses después que la Ley) es la primera norma que habla de “nombres”. No obstante, en su exposición de motivos es imposible encontrar algo que haga pensar lo más mínimo en nombres de dominio. En concreto el apartado 13 del artículo 27 es la primera vez que el legislador, reglamentario en este caso, hace referencia a algo que pudiera evocar los nombres de dominio.

Este extenso artículo es el primer precepto del título III. Título que se dedica, al igual que el capítulo V del título II de la Ley, a la “numeración”.

Pues bien, al final de este prolongado artículo, que cuenta con un total de 14 apartados, se encuentran los dos últimos, números 13 y 14, que, de acuerdo con la exposición de motivos de la Orden de 21 de marzo de 2.000, constituyen el título habilitante para dictar dicha norma, al establecer, el apartado 13 que “El Ministerio de Fomento designará, en cada caso, el órgano o autoridad competente para el registro de nombres y direcciones, y regulará los sistemas para que se lleve a cabo éste y propondrá al Gobierno la aprobación de los planes de nombres y direcciones de los servicios de telecomunicaciones.”

Y el 14, por su parte, es del siguiente tenor: “La Secretaría General de Comunicaciones podrá dictar las resoluciones necesarias para el desarrollo de los Planes Nacionales de Numeración y para tomar las decisiones que, en materia de numeración, nombres y direcciones, correspondan al Ministerio de Fomento.”

Dos apartados, incluidos probablemente en el último estadio del proceso de redacción, al final de un artículo que se ocupa de los números de teléfono, ha sido la lustrosa entrada que han tenido los nombres de dominio en nuestro universo normativo particular. La Orden que supuestamente desarrolla estos apartados se encuentra, ciertamente, a su altura.

Resolución de la SGC de 10 de febrero de 2.000
Previamente a la Orden del Ministerio de Fomento, de 21 de marzo de 2.000, y en cumplimiento del apartado 13 del artículo 27 del Real Decreto 1651/1998, la Resolución de la Secretaría General de Comunicaciones, de 10 de febrero de 2.000 (publicada en el BOE de 6 de marzo), designó al Ente Público de la Red Técnica Española de Televisión (antigua RETEVISION) como autoridad encargada de la asignación de nombres de dominio de segundo nivel bajo el principal “.es” correspondiente a España.

En última instancia, por tanto, el Ministerio de Fomento basa su competencia para regular esta materia en una Ley cuyo texto no despierta reminiscencia alguna a los nombres de dominio, elementos de identificación propios de Internet que, de esta suerte, son considerados por el Ministerio de Fomento como partes de un genérico sistema de “numeración” susceptible de ser identificado, y regulado, mediante una norma de rango reglamentario, dado que se encuentran, en su opinión, en el espíritu de una Ley.

Sin entrar a valorar este sistema de atribución competencial, que requeriría un estudio más detallado, y la regularidad del procedimiento de elaboración de la disposición general comentada, con esta normativa, el Ministerio de Fomento acepta las tesis que preconizan una naturaleza pública del sistema de nombres de dominio. Tal consideración podría dar lugar origen al un problema con que han tenido que enfrentarse las autoridades norteamericanas, dado que el Congreso estadounidense, a consecuencia de una resolución judicial que consideraba las tarifas de registro como una tasa a los efectos del principio de reserva de ley en materia tributaria, tuvo que aprobar con carácter retroactivo una Ley que diera cobertura al cobro de la indicada exacción.

3. Valoración formal
A la hora de empezar a valorar la reforma operada en virtud de la indicada Orden, de entrada, ésta ha merecido por parte de la comunidad Internet, formalmente, un rechazo de plano, dado que, con independencia de la bondad o no de su contenido material, no puede decirse que el procedimiento seguido, totalmente al margen de las inquietudes, opiniones e iniciativas de la comunidad de Internet, sea el adecuado para regular este medio.

Fronteras Electrónicas, organización con una dilatada trayectoria en la defensa de los derechos y libertades públicas en la Red, en el informe sobre la reforma del dominio que fue presentado al Senado, en la comisión de estudio sobre las redes informáticas, comentaba que la reforma debe hacerse, teniendo en cuenta los intereses e instituciones del mundo real que puedan verse afectados por los nombres de dominio, con respeto, en todo caso, a las características del medio en que ha de desplegar su eficacia la normativa que se apruebe[2].

En contra de lo que son las prácticas habituales en el entorno de Internet (véase el caso de los dominios internacionales genéricos), estas normas se han elaborado y aprobado totalmente al margen de la comunidad de Internet. Ni siquiera se ha dado traslado a los principales agentes del sector para conocer su opinión con carácter previo.

Unas normas elaboradas de esta forma se encuentran llamadas, obviamente, a no reflejar las características de los principales destinatarios de la misma, y supone un lastre potencial para aprovechar en todas sus dimensiones las posibilidades que ofrece Internet. No son ya escasas las voces, a un lado y otro del atlántico, que critican las últimas “cumbres.com” de las autoridades europeas, considerando ingenua la pretensión de alcanzar en la “nueva economía” a Estados Unidos mediante la aprobación de medidas institucionales teledirigidas. Sin respeto a las características peculiares de Internet, de cuyas potencialidades son mas conscientes las autoridades americanas que las europeas, no se conseguirá sino un mero reflejo, parcial y sesgado, del mundo anterior a Internet que, de esta forma, no aportará ningún valor añadido; lo cual habrá de conducir necesariamente, de seguir las tendencias actuales, a un crack virtual, como pareció que iba a acontecer tras la publicación de la Sentencia sobre las prácticas monopolísticas de Microsoft.

No obstante, y como suele ser habitual, el legislador se preocupa muy mucho de proclamar ostentosamente la participación de los “agentes involucrados en el funcionamiento de Internet en España” en la, totalmente desconocida en el ámbito de Internet, “Comisión para la Supervisión del Servicio de Acceso a la Información”, regulada en la Orden del Ministro de Fomento de 8 de septiembre de 1.997. Pero sobre la cuestión de los supuestos órganos consultivos se volverá mas adelante.

España tenía una oportunidad en el mercado de la ideas instaurado por Internet que, al igual que parece acontecer en gran parte de Europa, está perdiendo antes de empezar la partida que habrá de jugarse. Ya resulta paradójicamente curioso que la regulación de algo tan importante para Internet como son los nombres de dominio salga primero publicado en papel en el BOE, sin que ni siquiera en la página del servicio -www.nic.es-, aun cuando las normas están ya en vigor (1/4/00), reflejen la nueva situación. Ello, de por sí, es un indicio de lo poco, o más bien nada, que se conecta, de momento, con el sector verdaderamente “internauta”.

4. Estructura de la Orden aprobada
El acto administrativo publicado y objeto de comentario es susceptible de dividirse en tres apartados:

1. Una breve exposición de motivos en la que se enumeran las normas anteriores y se justifica la intervención del Ministerio de Fomento.

2. Un texto articulado (formado por siete artículos, 4 disposiciones transitorias, una derogatoria y otra final), mediante el que se introducen las principales novedades como la distinción entre dominios regulares y los especiales, la esperanzada Comisión para Supervisión, los agentes de nombres de dominio, y medidas que aseguren que el sector empresarial elija sus identificativos virtuales antes que cualquiera.

3. Finalmente, un anexo en que se detallan las normas para la asignación de nombres de dominio regulares bajo .es. Estas normas son básicamente las anteriores si bien adaptadas a la nueva situación.

Esta extraña y atípica estructura puede explicarse por la supuesta urgencia de la necesidad de aparición de la Orden. En general, hay muchas cosas que quedan en el tintero para remitirse a normas posteriores. Da la impresión de que había que sacar algo a toda prisa y así ha salido. En fin, peor es quedarse quieto en la catarsis que sufría hasta ahora el registro. Esperamos, por lo menos, que en agilidad sí se haya ganado con el cambio, si bien esto último tiene poco que ver con las normas.

5. Contenido material, principales novedades
a) Tipos de nombres de dominio (art. 2)
La norma, con base en el criterio de un supuesto derecho previo al nombre, diferencia entre nombres regulares y especiales, estimándose básicamente que los nombres regulares estarán abiertos a quienes tengan derecho al mismo.

En concreto, el artículo 2 establece que los nombres regulares serán aquellos utilizables por “todos los interesados que tengan derecho a ellos.” No tiene mucho sentido reconocer la existencia, en el ámbito de Internet, de un derecho apriorístico al nombre con la alegría que lo hace la Orden.

Internet define un nuevo ámbito de desarrollo de la actividad humana en el que no se pueden aplicar matemáticamente las estructuras del mundo real. Habría sido preferible aplicar otra categoría jurídica como interés legítimo, pero se ha preferido ahora optar por una redacción que, siendo críticos con ella, deja la puerta abierta a que se reconozcan derechos sobre el sistema de nombres de dominio a titulares de signos distintivos del mundo real de forma preferente sobre otros, prevaleciendo de esta forma sobre otras iniciativas legítimas que surgen en Internet; y a todas se les ha de reconocer el derecho a ocupar su espacio y poder transmitir, en condiciones igualdad, su mensaje a la comunidad de Internet. Se corre el riesgo de que los beneficiarios de esta especie de derecho previo no sean en primera instancia los pequeños y medianos empresarios (tan peculiares y propios del mercado español), ni las asociaciones sin ánimo de lucro, ni las iniciativas de índole más o menos libertarias que mejor se adaptan a la Red …

En el mismo artículo aparecen los dominios especiales -facultad graciable de la Secretaría General- para casos muy concretos, cuya concesión, de momento, se encuentra carente por completo de criterios mínimamente objetivos. Estos dominios, potencial e inagotable fuente de futuras prebendas, los dará la Secretaría General de Comunicaciones -dice la norma en síntesis- “en caso de notable interés social, comercial o de índole nacional, o con el propósito de agilizar la presencia en Internet de los interesados” (incluidos topónimos y genéricos), en la condiciones que al efecto determine la Secretaria General, que pueden ser, incluso, diferentes de las especificadas en la Orden Ministerial. Tan sólo se prevén, por tanto, tres grupos de intereses que se beneficiarán de los dominios especiales: 1.- notable interés social, 2.- notable interés comercial y 3.- notable interés nacional y 4.- los interesados en agilizar su presencia en Internet, pero, ¿qué interesados?.

b) Órganos consultivos (arts. 2, 4 y 7)
La norma habla de varias entidades susceptibles de ser consultadas de una forma algo confusa. La exposición de motivos tan sólo reconoce, escuetamente, “un papel importante a los agentes involucrados en el funcionamiento de “Internet” en España, mediante su participación en la Comisión para la Supervisión del Servicio de Acceso a la Información, regulada en la Orden del Ministro de Fomento de 8 de septiembre de 1997.”

La indicada Orden de 8 de septiembre de 1997 establece en su artículo 2: “A la «Comisión para la Supervisión del Servicio de Acceso a Información», le corresponde el seguimiento del desarrollo de los servicios de acceso a información, formulando, en su caso, las correspondientes propuestas de actuación a la Administración. Esta Comisión prestará especial atención a las condiciones de las ofertas a los usuarios finales de servicios de acceso a información, de forma que éstos se provean a precios asequibles, facilitando la extensión en su utilización por los ciudadanos.

La Comisión a que hace referencia el párrafo anterior estará compuesta por 11 miembros designados por el Ministro de Fomento. El Presidente representará a la Administración de las Telecomunicaciones, y los 10 Vocales restantes representarán, tres, a los operadores habilitados para la prestación del servicio de telefonía básica, y siete, a las asociaciones con mayor presencia de las vinculadas al sector de las telecomunicaciones.”

No puede decirse que en algún momento se mencione a los nombres de dominio…

Ya en el texto articulado, el artículo 2 (titulado tipo de nombres de dominio y normas aplicables) de la Orden de 21 de marzo de 2.000, habla en su apartado 4 de un “Comité Consultivo sobre Nombres de Dominio”, para el que se remite al artículo siguiente. En concreto se establece que “los términos y condiciones aplicables en la designación, gestión y posible delegación de los dominios especiales se determinarán por la Secretaría General de Comunicaciones previa consulta con el Comité Consultivo sobre Nombres de Dominio a que se refiere el artículo siguiente. En cualquier caso, los nombres de dominio especiales que se designen cumplirán las normas de sintaxis descritas en el apartado 3.2 del Anexo.”

Da la impresión de crearse un órgano nuevo y diferente a la Comisión de Supervisión, pero el citado precepto es muy claro: el Comité Consultivo será el referido en el artículo siguiente. Y el artículo siguiente establece que “la Comisión para la Supervisión del Servicio de Acceso a la Información (…/…) asumirá las funciones de estudio, deliberación y elaboración de propuestas en materias de regulación del sistema de designación de nombres de dominio de Internet, bajo el código de país correspondiente a España (“.es”).”

Por tanto, no da la impresión de que, en efecto, exista un verdadero Comité en materia de Nombres de dominio, al menos de momento, sino que es la Indicada Comisión de Supervisión la que, formalmente, tendrá la consideración del indicado Comité. Se anuncia que todo el mundo participará, pero, de momento, ello no es así, y el poder público prefiere regular, cualquiera que sea el signo ideológico o partidista, desde la cómoda mayoría absoluta del mundo ajeno a la Red, antes que sumergirse de lleno en un espacio que, como Internet, le es totalmente ajeno o le afecta de manera muy tangencial.

Aparte de referencias genéricas y vacías de contenido a la participación de la comunidad Internet, se prevé expresamente, más como declaración de intenciones claras que otra cosa, la intervención de la Oficina Española de Patentes y Marcas y el Registro Mercantil Central.

Se anuncia informes de estas dos entidades, como si fuesen las únicas que se ocupan de signos distintivos, pero, ¿qué pasa con las asociaciones sin ánimo de lucro, y con las fundaciones, y con la denominaciones de origen, …? ¿y con otras iniciativas que ni siquiera se encuadran en las estructuras anteriores?

Esta limitada previsión, en cuanto a los grupos normativos que han de tenerse en cuenta y consultarse (signos distintivos del mercado y denominaciones de sociedades mercantiles), habrá de convenirse, se encuentra llamada necesariamente a ampliarse en breve, dado que, desde la perspectiva actual, no sólo no se respeta la pluralidad y novedades identificativas de Internet, sino que, respondiendo a inquietudes parciales, no se hace un adecuado reflejo de los sistemas identificativos actuales del mundo real.

El artículo 7, en esa misma línea, comenta la coordinación que tendrá lugar con la Oficina Española de Patentes y Marcas, el Registro Mercantil y demás registros públicos nacionales e internacionales, al decir que en “la asignación de los nombres de dominio de segundo nivel bajo el código de país correspondiente a España (“.es”) se procurará la necesaria coordinación con el Registro Mercantil Central, la Oficina Española de Patentes y Marcas y los demás registros públicos nacionales e internacionales.” Sin más especificaciones

Quizás el legislador haya pensado ya en alguno registros públicos, del estilo de los comentados, pero, de momento, lo cierto es que sólo da entrada a los representantes del mercado, cada vez más omnipresente en todas las actividades sociales y humanas, pero no el único sistema que alimenta la sociedad.

c) Funciones de la autoridad de asignación (art. 4) y recursos contra sus actos (art. 6)
El artículo 4 se ocupa de las funciones que asume la autoridad de asignación, relacionadas fundamentalmente con la base de datos a su cargo. De este precepto destaca el apartado que enumera las funciones, “incluyendo la aceptación y denegación motivada de peticiones de asignación”. Y es el apartado más destacable porque reconoce y se hace eco del principio vigente en el orden administrativo sobre la necesaria motivación de la que han de estar revestidos todas sus resoluciones, con el fin de evitar la siempre perniciosa arbitrariedad.

Esta imposición sobre la motivación que ha de contenerse en las decisiones que se adopten sobre la asignación de dominios ha de ponerse en relación con el artículo 6, dado que, sin dejar lugar para la duda, establece que “las decisiones de la autoridad de asignación podrán ser recurridas ante la Secretaría General de Comunicaciones, sin perjuicio de la posibilidad de someter los conflictos entre usuarios a procedimientos de arbitraje.”

Por tanto, se prevén dos sistemas posibles de recurso contra eventuales concesiones o denegaciones que lesionen los derechos e intereses de alguna persona: un sistema de arbitraje sin que, afortunadamente, se haya determinado de forma rígida, y, por otro lado, el sistema ordinario de recursos del Derecho administrativo español.

En cuanto al sistema de arbitraje, hay partidarios de adherirse incondicionalmente al creado por la OMPI y la ICANN. Desde el principio de este debate, y por razones que habrán de ser detalladas en otra ocasión, he destacar los riesgos que conllevaría una decisión de ese tipo. Uno de los valores fundamentales con que cuenta el conjunto de la sociedad humana que se manifiesta en Internet, entre otros muchos ámbitos, es el de la pluralidad. La heterogeneidad del ser humano constituye uno de sus patrimonios esenciales que descansa, en última instancia, en el respeto y la confrontación entre individuos distintos. Los grandes poderes comerciales, y algunos públicos, se sienten más tentados por la facilidad de la homogeneización que posibilita la globalización, por otro lado, es una buena manera de quitarse un problema de encima.

Si el Estado español, como afirma con la publicación de la Orden comentada, es soberano para regular la asignación y funcionamiento del dominio .es, sin perjuicio del necesario respeto a las características propias de Internet, ha de ser igualmente soberano y, lo que es más importante, capaz de dar una adecuada respuesta, de forma imaginativa y conforme a la altura de los tiempos, a los conflictos que surjan en la aplicación de los principios a qué quedan sometidos la actividad normada.

d) La creación de los agentes (art.5)
Finalmente, en cuanto al texto articulado, destaca la creación de una figura nueva, el agente, que actuará de intermediario entre la autoridad de asignación y los usuarios del sistema, ayudando y asesorando a éstos en la elección del nombre, tramitación de la solicitud y relaciones con la indicada autoridad. Una figura que se encuentra pendiente de concreción a un nivel reglamentario, pero que dará mucho juego en breve.

e) Disposiciones transitorias
De las disposiciones transitorias merecen ser mencionadas, por un lado, la segunda, que establece que una misma organización hasta dentro de cuatro meses no podrá ser titular de más de un dominio, y, por otro, la tercera, que de forma injusta y discriminatoria prohíbe a las personas físicas registrar un dominio hasta que no pasen diez meses desde la aprobación de la normativa.

Estas dos disposiciones, de forma indirecta, dan cuenta de dos de las principales y esperadas novedades de la reforma: la posibilidad de que una persona u organización tenga más de un dominio y, por otro lado, la apertura del espacio de nombres de dominio bajo “.es” a personas físicas que, con las normas anteriores, tenían prohibido registrar un dominio.

Las normas contenidas en el anexo se hacen eco de estas novedades. Básicamente, estas normas son las mismas que existían antes, si bien adaptadas a las modificaciones que en mayor medida se contienen en el texto articulado, pero, en referencia a la posibilidad de contar con varios dominios, hay que decir que la Orden aprobada no se muestra clara en este aspecto

Ha desaparecido la limitación antigua consistente en que cada organización o persona no puede ser titular de más de un dominio, pero no se explica en qué condiciones puede una persona, jurídica o física, contar con varios dominios. Es de destacar, igualmente, que las normas no parecen limitar esta posibilidad a las personas jurídicas, en cuyo caso, las personas físicas también pueden ser titulares de varios dominios.

En concreto, el artículo 3.4.1, al determinar los signos que pueden registrarse como nombres de dominio deja la puerta abierta para que una persona pueda registrar varios dominios, pero, por ventura o desgracia, se limita tan sólo a nombres que coincidan con marcas o denominaciones registradas en la Oficina Española de Patentes y Marcas, excluyendo, dado su carácter local, los rótulos de establecimiento.

En cuanto a las personas físicas, tan sólo se permite el registro de nombres de dominio cuando se encuentre en el supuesto del apartado c) del artículo 3.4.1, es decir, cuando se cuente con una o varias denominaciones comerciales o marcas legalmente registradas en la Oficina Española de Patentes y Marcas. Por tanto los particulares sólo pueden registrar válidamente marcas de las que sean titulares.

Por lo demás, la norma 4.6 del anexo incluye un apartado de exoneración de responsabilidad que, se mire como se mire, ha de tener escasa por no decir nula virtualidad.

Notas:

[1] El comentario crítico de esta asociación se encuentra disponible en: http://www.internautas.org/NOTICIAS/ABR00/04.htm

[2] El documento de referencia se puede obtener en: http://www.dominiuris.com/boletines/doctrinal/reforma.htm

marzo 30

Comentario a la Ley Orgánica de Protección de Datos

1.- Consideración general sobre la normativa relativa a la protección de datos

La publicación de la Ley Orgánica 15/1999, de 13 de diciembre, sobre Protección de Datos de Carácter Personal (LOPD), como ha sido reconocido unánimemente por la doctrina, supone, a pesar de que una lectura apresurada pudiera sugerir lo contrario, una sustancial modificación del régimen sobre protección de datos de personas físicas que anteriormente se contenía en la ya extinta LORTAD.

La nueva LOPD es susceptible de críticas negativas y positivas. Dentro de estas últimas, es de destacar el esfuerzo que supone por introducir firmemente en la cultura jurídica actual unos valores sobre la defensa de la intimidad y privacidad de los ciudadanos y consumidores, principales roles impuestos por el mercado y los poderes públicos del presente.

Por otro lado, la ambigüedad y falta de precisión de muchos términos y situaciones descritas en la Ley, con independencia de otros reproches más sustantivos circunscritos a aspectos concretos, son las características que, negativamente, se destacan de forma mayoritaria.

A diferencia de las autoridades norteamericanas, la Unión Europea manifiesta una especial sensibilidad por la protección de la intimidad y datos personales de sus ciudadanos, que en España, como menciona la exposición de motivos de la derogada LORTAD, constituye un mandato a los poderes públicos instaurado por el artículo 18.4 de la Constitución, que emplaza al legislador a limitar el uso de la informática para garantizar el honor, la intimidad personal y familiar de los ciudadanos y el legítimo ejercicio de sus derechos. Si bien, la nueva normativa, al extenderse más allá del uso de la informática, tiene un entronque constitucional más amplio que el circunscrito al artículo 18.4, para comprender en líneas generales los derechos reconocidos en la Sección primera del capítulo segundo del Título I de nuestra Carta Magna.

Actualmente, en el proceso de construcción de la sociedad de la información a escala global que posibilitan Internet y las nuevas tecnologías de la información, la protección de la intimidad en los términos reseñados constituye una de las principales diferencias entre Estados Unidos y la Unión Europea que, previsiblemente, se agudizará en un futuro cercano, pero sobre la que resulta necesario alcanzar un acuerdo satisfactorio. Acuerdo que, aunque en fase embrionaria da la impresión de empezar a concretarse a tenor de lo que se ha publicado últimamente al respecto.

La irrupción de Internet, y demás tecnologías y herramientas que lleva aparejada, en el escenario sobre el que despliega su eficacia este grupo normativo, supone, sin duda, una fuente de peligros adicionales para los bienes que pretenden protegerse con la regulación de los datos de carácter personal, siendo conscientes de ello las autoridades que ya han empezado a imponer criterios en el nuevo ámbito de desarrollo que instaura Internet. De ello hace prueba la reciente aprobación del Real Decreto 1906/99, de 17 de diciembre sobre contratación electrónica con CGC, que se encuentra referido a los contratos que se puedan suscribir por técnicas telemáticas y que incluyan condiciones generales de contratación (CGC), dictado en desarrollo de la Ley 7/1998, de 13 de abril, de condiciones generales de contratación.

Es previsible que se dicten normas especiales de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal (Ley 15/1999, de 13 de diciembre), también específicamente aplicables al ámbito de las nuevas tecnologías, y que los organismos encargados de la observancia del cumplimiento de las normas correspondientes presten en todo caso una especial atención a este medio, dado que, por un lado, son relativamente fáciles de controlar y, por otro, los formularios que contienen numerosas páginas de Internet, al encontrarse ya en soporte y formato electrónico, da lugar a registros de datos esencialmente susceptibles de tratamiento, cayendo por tanto dentro del ámbito de aplicación de la nueva Ley, conforme queda definido éste en su artículo segundo.

2.- Extensión del ámbito de aplicación de la normativa sobre protección de datos

La comentada LOPD, publicada en el Boletín Oficial del Estado de 14 de diciembre de 1.999 que deroga la antigua LORTAD, cuenta con un ámbito de aplicación sustancialmente más amplio, de conformidad con lo dispuesto en la Directiva 95/46/CE, extendiéndose a supuestos antes excluidos como los ficheros no automatizados y otorgando a los datos, si cabe, un mayor nivel de protección. En concreto, el artículo 2.1 de la Ley establece que “la presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado”, entendiendo por datos de carácter personal, de conformidad con las definiciones contenidas en el artículo 3, “cualquier información concerniente a personas físicas identificadas o identificables”. Igualmente el término soporte físico habría que asimilarlo al de “fichero” que en el referido artículo 3 se define como “todo conjunto de organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.”

De esta ampliación que se produce merecen ser destacados los siguientes aspectos:

– Extensión a ficheros no automatizados:
La derogada LORTAD definía su ámbito de aplicación en referencia a los datos que figuren en registros susceptibles de tratamiento automatizado (fundamentalmente informático) y a los usos posteriores de esos datos, aunque tal uso no tenga el carácter de automatizado. La Directiva Comunitaria 95/46/CE ya ampliaba este ámbito extendiéndolo a todo fichero de datos, sea automatizado o no, de personas físicas. Esta circunstancia ya había sido puesta de manifiesto por la doctrina de cara a la necesaria adaptación que debía verificarse. La nueva Ley define su ámbito de aplicación sobre la base de datos registrados en soporte físico que los haga susceptibles de tratamiento, sin las anteriores limitaciones. De esta forma, la organización de datos personales en soportes físicos no informáticos debería estar sujeta a las previsiones de la Ley.

Podría decirse, siguiendo la clasificación de Emilio del Peso Navarro (“Principales diferencias entre la nueva Ley de Protección de Datos y la LORTAD”, Actualidad Informática Aranzadi nº 34, enero de 2.000), que la extinta LORTAD se refería sólo a los datos organizados automatizados. Dicho autor diferencia entre datos organizados (aquéllos accesibles directamente mediante un nombre clave o código, que a su vez se subdividen en automatizados o no automatizados) y no organizados (aquéllos en que para buscar un dato determinado hay que buscarlo uno a uno). La LOPD, con la desaparición entre datos automatizados o no, se encontraría referida, simplemente, a los datos organizados.

– Limitación de los supuestos de exclusión:
En la antigua LORTAD se contenían hasta cinco amplios supuestos de exclusión, entre los que se encontraban los ficheros de los partidos políticos, sindicatos e Iglesias, los de titularidad pública, los tecnológicos de reproducción de datos accesibles al público, etc. Todos estos supuestos han desaparecido en el artículo 2.2, que tan sólo prevé exclusiones para (1) los ficheros “domésticos” (la Ley habla de “ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas”; presumiblemente, será un supuesto que dé lugar, sin duda, a una viva polémica sobre su alance), (2) los de materias clasificadas y (3) los relativos a la investigación sobre terrorismo y delincuencia organizada grave.

Por tanto, desde la entrada en vigor de esta Ley Orgánica, puede afirmarse que en principio cualquier fichero, informático o no, tanto empresarial como de otra índole, que almacene datos de personas físicas identificadas o identificables se encuentra dentro del ámbito de aplicación de la normativa y, consecuentemente, sometido a los principios, requisitos y régimen que mediante ella se instaura.

Finalmente, en este apartado tan sólo resta destacar el artículo 3 que incluye las definiciones de los términos que se usan a lo largo de la Ley. Además de las de fichero y datos personales, comentadas anteriormente, merecen ser destacadas las siguientes:

Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo.

Procedimiento de disociación: todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.

Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.

Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta del interesado.

Fuente accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencias que, en su caso, el abono de una contraprestación. Tienen consideración de fuentes de acceso público, exclusivamente, (1) el censo promocional, (2) los repertorios telefónicos en los términos previstos por su normativa específica y (3) las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público (4) los diarios y boletines oficiales y los medios de comunicación.

En este último párrafo, partiendo de una definición más o menos objetiva del concepto “fuente accesible al público”, se acaba enumerando taxativamente los ficheros que tendrán tal consideración a los efectos de la Ley, tan sólo aplicable, por tanto, a los siguientes supuestos: 1.- el censo promocional, 2.- repertorios telefónicos, 3.- listas de grupos profesionales, 4.- diarios boletines oficiales y medios de comunicación. Todos los demás ficheros, aunque puedan ser consultados por cualquier persona sin limitación alguna, no tienen para la Ley la consideración de “fuente accesible al público”.

3.- Régimen: principios

La ley establece una serie de principios básicos que han de observarse en las tres fases fundamentales por las que puede atravesar el proceso de los datos: la recogida, tratamiento y posibles comunicaciones y cesiones de los mismos. A continuación se detallan los principios más relevantes.

– Calidad de los datos (art. 4)
Con este título, el artículo 4 se ocupa en líneas generales de las condiciones en que han de realizarse las operaciones con datos personales:

· La recogida de datos para su tratamiento sólo se permite cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades que han de ser determinadas, explícitas y legítimas.

· El uso de los datos deberá ser compatible con las finalidades descritas.

· En el caso de que los datos sean inexactos, deberán ser rectificados o cancelados, reconociendo en todo caso la posibilidad de acceso por parte del interesado.

· Si los datos pierden su finalidad originaria deberán ser cancelados.

-Información en la recogida de los datos (art. 5).
Este apartado es de especial importancia para las personas que han de confeccionar los cuestionarios de recogida de datos, dado que los interesados deberán ser informados de lo siguiente (consecuentemente el formulario -de ser escrito o encontrarse disponible en Internet- deberá contener también esa información):

a) La existencia del fichero o tratamiento de datos, la finalidad de la recogida y los destinatarios de la información.

b) El carácter optativo u obligatorio de las preguntas.

c) Las consecuencias sobre la obtención de los datos, así como la negativa a suministrarlos.

d) La posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición.

e) La identidad y dirección del responsable del tratamiento o su representante.

Existen algunas excepciones a estos deberes de información, entre las que cabe destacar:

1. Cuando los datos procedan de fuentes accesibles al público (según se definen éstas en el artículo 3) y se destinen a la actividad de publicidad o prospección comercial. En este caso, habrá de informarse en cada comunicación dirigida al interesado del origen de los datos, de la identidad del responsable del tratamiento (apartado e, anterior) y de los derechos (apartado d) que le asisten. Este párrafo es importante pues será al que queden sometidas las comunicaciones que se realicen con base en ficheros adquiridos legalmente de empresas con fines publicitarios.

2. La información de los apartados b), c) y d) anteriores no será necesaria si su contenido se deduce claramente de la naturaleza de los datos personales que se solicitan o las circunstancias en que se recaban.

Por otro lado, si los datos no han sido recabados directamente del interesado, éste deberá ser informado, de forma expresa, dentro de los tres meses siguientes al momento del registro de los datos, salvo que hubiera sido informado con anterioridad.

En cuanto a la elaboración de estos formularios de recogida de datos, habrá que tener presente de forma especial lo manifestado en el artículo 7 sobre datos especialmente protegidos.

– Consentimiento del afectado (art. 6)
El artículo 6 de la Ley trata el alcance de la obligación de requerir el consentimiento del afectado, que se impone con carácter general para todos los datos.

No obstante, sin perjuicio de las normas más rigurosas para los datos especialmente protegidos, existen algunas excepciones al principio general, dado que, siempre que no se vulneren los derechos y libertades fundamentales del interesado, no será preciso el consentimiento en los siguientes supuestos:

a) Cuando los datos se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias.

b) Cuando se refieran a las partes en una relación negocial (un contrato de arrendamiento, por ejemplo), laboral (un contrato de trabajo) o administrativa, siempre que sea necesario para el cumplimiento de la relación de que se trate (por ejemplo pago de salarios).

c) Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado.

d) Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido

De todas formas, en los casos en que no es necesario el consentimiento del afectado, se reconoce a éste el derecho a quedar excluido del tratamiento de los datos, siempre que una Ley no disponga lo contrario y existan motivos fundados y legítimos relativos a una concreta situación personal.

– Datos especialmente protegidos (art. 7)
El artículo 7 se ocupa del régimen de los datos que, por su especial naturaleza, han de apartarse de la regulación general, y que son los siguientes:

a) Los relativos a ideología religión o creencia (art.16 de la Constitución). En este caso el afectado ha de ser informado sobre su derecho a no prestar los datos correspondientes.

b) Los anteriores y los que revelen la afiliación sindical, para ser objeto de tratamiento, el consentimiento al efecto ha de constar de forma expresa por escrito, exceptuando únicamente, y sin perjuicio del necesario consentimiento para su cesión, los ficheros mantenidos por algunas organizaciones como los partidos políticos en lo referente a sus asociados.

c) Sobre los datos relativos al origen racial, salud y vida sexual se establece una prohibición general salvo que una ley lo disponga expresamente, por razones de interés general, o el afectado consienta expresamente tanto su recogida como tratamiento y cesión.

d) Los ficheros exclusivamente dedicados a datos relativos a la ideología, afiliación sindical, religión creencias, origen racial o vida sexual quedan totalmente prohibidos.

Para los apartados b y c) se establece una importante excepción dado que se autoriza su tratamiento cuando resulte necesario para la prevención o diagnóstico médicos, la prestación o gestión de servicios sanitarios, pero siempre que dicho tratamiento se realice por profesional sanitario sujeto al secreto profesional u otra persona sujeta a este secreto.

En relación con los datos referidos a la salud, ha de destacarse el artículo 8 que establece que las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan, o hayan de ser tratados en los mismos, de conformidad con lo dispuesto en la legislación estatal o autonómica sobre sanidad.

– Comunicación y acceso a los datos (artículos 11 y 12).
Los artículos 11 y 12, con una redacción ciertamente confusa, se encuentran dirigidos a regular las condiciones específicas de utilización de datos que han sido recabados por otras personas.

De esta forma, el artículo 11, con el título “comunicación de datos”, se ocupa de la comunicación de los datos para el cumplimiento de fines propios del cedente y cesionario. En este apartado se impone con carácter general la obligación de informar al afectado de la indicada comunicación, salvo, entre otros supuestos, “cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente concesión de dicho tratamiento con ficheros de terceros”, en cuyo caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique. Tal podría ser el supuesto, por ejemplo, de cesión de datos de trabajadores a las compañías aseguradoras, siempre que tales datos se limiten a los elementos imprescindibles para desarrollar sus fines legítimos.

A pesar de estas excepciones en cuanto al consentimiento del afectado, no obstante, hay que tener en cuenta que la Ley prescribe que “aquel a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley.”

Por su parte, el artículo 12 se ocupa específicamente del acceso a los datos por parte de un tercero cuando el mismo sea necesario para la prestación de un servicio al responsable del fichero. Tal supuesto queda excluido el ámbito de aplicación del anterior artículo, al establecer que este acceso no tendrá la consideración de comunicación. De este régimen merecen destacarse las siguientes notas:

a) La obligación legal, consistente en que la realización de tratamientos por cuenta de terceros deba estar regulada en un contrato por escrito, u otra forma que permita acreditar su celebración y contenido.

b) Dicho contrato deberá incluir, entre otras, las siguientes menciones:

· Indicación de que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del fichero.

· El fin del contrato y que los datos no serán utilizados o aplicados con un fin distinto al indicado.

· Las medidas de seguridad que el encargado del tratamiento está obligado a implementar. De ello se deduce que el encargado del tratamiento es responsable de las medidas de seguridad.

c) No podrán comunicarse los datos, ni siquiera para su conservación, a otra persona.

d) Se establece la obligación de devolver al responsable del fichero los soportes o documentos en que consten datos de carácter personal.

e) El incumplimiento de cualquier obligación o estipulación del contrato dará lugar a que el encargado del tratamiento adquiera la consideración, a los efectos de la Ley, de responsable del tratamiento del fichero, respondiendo por ello de las infracciones en que hubiera incurrido personalmente.

4.- Régimen: medidas de seguridad

La nueva Ley de protección de datos declara expresamente vigente, entre otras normas, el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad técnica de los ficheros automatizados que contengan datos de carácter personal. El establecimiento de las medidas de seguridad, para garantizar los derechos reconocidos en la Ley, se configura como una de las obligaciones por las que, de no verificarse, se incurriría en responsabilidades administrativas.

El reglamento instaura tres niveles de seguridad, en función de la información tratada y la mayor o menor necesidad de garantizar la confidencialidad e integridad de la información.

El nivel básico se configura como el aplicable por defecto a cualquier fichero que se encuentre dentro del ámbito de aplicación.

El nivel medio se encuentra formado por los relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y los de solvencia patrimonial y crédito.

El nivel alto lo forman los ficheros con datos sobre la ideología, religión, creencias, origen racial, salud o vida sexual, y los recabados para fines policiales sin consentimiento del afectado. Básicamente, aunque de momento no existe una correspondencia total, los datos de este nivel de seguridad se corresponden con los datos especialmente protegidos a los que hace referencia el artículo 7 de la nueva Ley.

El Real Decreto enumera las medidas técnicas de seguridad que deberán ser implementadas por el técnico encargado de los datos, configurándose como será el máximo responsable del cumplimiento de las medidas. En su nivel básico consistirán, fundamentalmente en:

– Elaboración e implantación de la normativa de seguridad mediante un documento que deberá contener como mínimo las indicaciones del artículo 8 del Real Decreto.

– Definición clara y documentada de las funciones que desempeñará y obligaciones que asumirá cada persona con acceso a los datos y sistemas de información, así como mantener una relación actualizada de usuarios con acceso autorizado y el establecimiento de sistemas de identificación y autentificación.

– Creación de un registro de incidencias.

– Verificación, por parte del responsable del fichero, de la definición y correcta aplicación de los procedimientos de copias de seguridad.

Las medidas de seguridad de nivel medio consisten en añadir a las de nivel básico algunos requisitos adicionales como, por ejemplo, más menciones en el documento de seguridad. Destaca especialmente de este nivel la obligación de realizar una auditoría, interna o externa, que verifique el cumplimiento de las medidas, al menos cada dos años. El informe de auditoría quedará a disposición de la Agencia de Protección de Datos.

Las medidas de seguridad de nivel alto, añade a los requisitos anteriores algunos en materia de distribución de soportes, registro de accesos, la realización de copias de seguridad y la transmisión a través de redes telemáticas.

El indicado Real Decreto 994/1999, de 11 de junio, preveía un sistema aplicación progresiva de la normativa, en virtud del cual las medidas correspondientes al nivel básico de seguridad debían encontrarse ya implementadas, pero, aduciendo los esfuerzos que se han visto obligados a soportar los responsables de los sistemas informáticos para su adaptación al temido -y casi desconocido ya, al menos en sus consecuencias-, efecto 2.000, el Real Decreto 195/2000, de 11 de febrero, amplia el plazo de implantación de las medidas básicas que finaliza el 26 de marzo de 2.000.

Por lo demás, el Real Decreto 994/1999 establece que las medidas de nivel medio deberán implantarse en el plazo de un año desde su entrada en vigor (26/6/99), mientras que para las de nivel alto el plazo se fija en dos años. Por tanto, de cumplirse estas previsiones, en junio del año 2.001 deberán encontrarse en correcto funcionamiento todas las medidas previstas.

5.- Régimen de notificación e inscripción registral

Con carácter general, se establece la obligación de comunicar previamente la creación de cualquier fichero de datos de carácter personal a la Agencia de Protección de Datos, en la forma y con los requisitos que se detallen en la normativa de desarrollo; obligación que, por lo demás, ya existía con la antigua LORTAD. En todo caso, la comunicación a la Agencia deberá incluir datos sobre: el responsable del fichero; la finalidad del mismo; su ubicación; tipo de datos; las medidas de seguridad adoptadas, con indicación del nivel correspondiente; así como las cesiones que se prevean, sin que la Ley restrinja lo más mínimo el ámbito de aplicación de esta obligación.

Por tanto, la creación de cualquier fichero de datos de carácter personal que caiga dentro del ámbito de aplicación de la Ley, conforme se define éste en el artículo 2, se encuentra sometida a la obligación de notificarlo previamente a la Agencia.

6.- Apuntes sobre el régimen sancionador

La Ley sistematiza y ordena los posibles incumplimientos de la Ley en la tipificación de las infracciones que, en una exposición somera y no exhaustiva, se encuentran relacionadas, fundamentalmente, con la inatención del afectado en el ejercicio de sus derechos (acceso, rectificación o cancelación) o insuficiencia en la información que se le suministra en la recogida de los datos, la falta de colaboración con la Agencia, la ausencia de notificaciones preceptivas (como las de creación), así como la creación, tratamiento, comunicación, cesión y mantenimiento de ficheros sin la observancia de las prescripciones de la Ley.

7.- Normas transitorias

El legislador, consciente de las dificultades que puede plantear la adaptación de las bases de datos preexistentes a la aprobación de la Ley, establece un plazo de adaptación para los ficheros automatizados, inscritos o no en el Registro, de tres años a partir de su entrada en vigor (15 de enero de 2.000), y de 12 años (a contar desde el 24 de octubre de 1.995) para los ficheros y tratamientos no automatizados.

8.- Resumen y conclusiones

Como se apunta al principio del presente documento, desde la entrada en vigor de la Ley, puede afirmarse que todo fichero que almacene datos personales de personas físicas identificadas o identificables se encuentra dentro del ámbito de aplicación de la normativa, y sometido por tanto a los principios, requisitos y régimen que mediante ella se instaura.

– La creación del fichero o base de dato>
La ley podría considerarse que incluso despliega su eficacia en las fases previas a la aparición del fichero, dado que la creación de una base de datos o fichero que contenga datos de personas físicas debe responder a una finalidad concreta y legítima. No en vano esa finalidad deberá comunicarse a la Agencia de Protección de Datos.

De esta forma la Ley obliga, a quien pretenda la creación de una base de datos o fichero de estas características, que con anterioridad a su puesta en marcha prevea una serie de elementos que, básicamente, consisten en determinar la finalidad a que obedece el fichero y el nivel de medidas de seguridad que, desde el ámbito técnico, han de implantarse en función de la naturaleza de los datos.

– La recogida de datos
Una vez que se ha notificado a la Agencia la creación del fichero, y determinadas las medidas de seguridad aplicables, el siguiente paso crítico es la recogida de datos en el que debe informarse al interesado sobre los derechos que le asisten, con las excepciones previstas en la Ley y las especialidades que igualmente marca la normativa según la finalidad del fichero, usos previstos para el mismo y naturaleza de los datos, fundamentalmente.

En virtud de estas disposiciones de la Ley resulta necesario revisar, actualizar y supervisar todos los formularios o cualesquiera otros procedimientos se utilicen para la recogida de datos susceptibles de ser tratados en la forma prevista en la Ley.

– Conservación y cancelación de los datos
El almacenamiento y tratamiento de los datos ha de hacerse de forma que preserve los intereses del afectado: por un lado, los derechos de acceso, rectificación y demás reconocidos expresamente en la Ley y, de otro, la preservación de su intimidad y privacidad mediante el establecimiento, aplicación y cumplimiento de las medidas de seguridad que han de ser previstas con anterioridad a la creación del fichero. De esta manera, las comunicaciones y cesiones de los datos deberán respetar también los requisitos y las medidas de seguridad necesarias para garantizar la salvaguarda de los derechos dimanantes de la Ley.

Igualmente, si el fichero pierde la finalidad originaria no está permitido su reutilización en otras actividades debiendo, en consecuencia, destruirse los datos correspondientes.

Por tanto, se abre ahora un proceso de adaptación a la nueva normativa sobre protección de datos, en el que será necesario que los agentes activos afectados por esta legislación realicen una revisión de todos los procedimientos de recogida de información, bien sea mediante formularios escritos o de otra índole, de los ficheros que se sitúen dentro de su ámbito de aplicación, así como los tratamientos comunicaciones y cesiones previstas o sobrevenidas.

NEWER NEWER 1 2 16 17