lunes, 10 de noviembre de 2008

Los problemáticos tratamientos no automatizados

De vuelta a la cruda realidad, compruebo que la Sentencia del Supremo relativa a los Libros Bautismales ha suscitado en algunos la duda sobre la diferencia entre fichero y tratamiento. A pesar de que ambos términos se definen de manera distinta en el art. 3 de la LOPD, se utilizan casi como sinónimos en el resto del articulado.

Podemos afirmar que, salvo la obligación de inscripción, el tratamiento automatizado de datos de carácter personal que no se organiza en ficheros queda sometido a las mismas obligaciones que el que sí adopta la forma de fichero.

En el caso de los tratamientos no automatizados, la duda se plantea por el hecho de que la Directiva 95/46/CE los excluye claramente de su ámbito de aplicación, claramente, en su considerando (27):

"(27) Considerando que la protección de las personas debe aplicarse tanto al tratamiento automático de datos como a su tratamiento manual; que el alcance de esta protección no debe depender, en efecto, de las técnicas utilizadas, pues la contrario daría lugar a riesgos graves de elusión; que, no obstante, por lo que respecta al tratamiento manual, la presente Directiva sólo abarca los ficheros, y no se aplica a las carpetas que no están estructuradas (....)"

Sin embargo, no parece que tal haya sido la intención del legislador español. Fíjense si no, en Título VIII del nuevo reglamento, que expresamente se refiere a ficheros y tratamientos no automatizados. Ahora bien, ¿qué obligaciones deben cumplir los responsables de tratamientos no automatizados, además de la adopción de medidas de seguridad del título VIII del RLOPD? Incluso la aplicación de medidas de seguridad acaba siendo confusa. Para muestra un botón. Díganme cómo debe aplicarse el art. 106 del RLOPD a un tratamiento de datos que no es fichero y por consiguiente no está organizado atendiendo a criterios específico relativos a personas físicas:

"Artículo 106.
Criterios de archivo.
El archivo de los soportes o documentos se realizará de acuerdo con los criterios previstos en su respectiva legislación. Estos criterios deberán garantizar la correcta conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.
En aquellos casos en los que no exista norma aplicable, el responsable del fichero deberá establecer los criterios y procedimientos de actuación que deban seguirse para el archivo."

¿No se dan cuenta que si organizo el tratamiento para localizar expedientes o documentos referidos a una persona concreta convierto ese tratamiento en fichero, dado que fichero no automatizado se define como "todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica"?

Me duele la cabeza. Me voy a dormir.

No hay comentarios: