Novedades RGPD: ¿Por qué le llaman fichero cuando quieren decir tratamiento?

Novedades RGPD: ¿Por qué le llamaban FICHERO cuando querían decir TRATAMIENTO?

– Información al lector – Tiempo aproximado de lectura: 10 minutos

Una de las grandes novedades del nuevo marco regulatorio ha sido el cierre del Registro General de Protección de Datos, donde se inscribían los ficheros. ¿Por qué?

Siempre insisto, sobre todo cuando imparto formación, en el grave problema de coordinación entre el Derecho y la informática, y cómo la técnica siempre va por delante (muy muy muy por delante) de la regulación normativa de las nuevas realidades que configuran la sociedad de la información, y lo más preocupante, casi siempre cuando por fin la norma alcanza a la realidad tecnológica no realiza correctamente su labor, precisamente por la falta de conocimientos puramente técnicos. La tragedia, es que el propio legislador, al ignorar conceptos técnicos (muchas veces básicos y elementales) yerra en su labor normativa.

Se  comenta que la nueva regulación en protección de datos ha cambiado su eje o centro desde el fichero al tratamiento, pero la realidad es que ahora, al aplicar directamente la normativa europea al entorno estatal español, es cuando se hace como se tenía que hacer y de forma correcta: siempre la normativa (desde la Directiva 95/46) ha estado centrada en el tratamiento, y el responsable del fichero, el Registro de General de Protección de Datos donde se inscribían los ficheros, y la propia concepción de lo que era un fichero, han sido “inventos” españoles.

La caótica regulación española de la LOPD es la que ha confundido en todo momento conceptos tan claros y distintos como “fichero” y “tratamiento” realizando una incorrecta transposición de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respeta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante Directiva 95/46/CE) en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD) que fue tan apresurada (es la única Ley, y lo más llamativo la única Ley Orgánica, que no tiene exposición de motivos) que resultó equívoca y en diversos aspectos contradictoria y errónea.

Además, también se partía de otro concepto inexacto de la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal (en adelante LORTAD).

El giro conceptual que ahora se propugna centrando la normativa en el tratamiento y no en el fichero, simplemente ha sido uno de los más gruesos errores conceptuales de la normativa española manteniendo la enigmática y superflua figura del responsable del fichero, que ahora desaparece y se sustituye por el responsable del tratamiento. La figura del responsable del fichero existían en la LORTAD y no debió haberse mantenido en la LOPD: en la propia LOPD se mostraban ambas figuras como idénticas o equivalentes, y el hecho de que se hablara de la “titularidad de los ficheros” de “su inscripción” simplemente denota la desconcertante confusión mental legislativa, propia del que ignora los conceptos técnicos más elementales …

Pero vayamos por partes …

¿Qué es un fichero?

Aparentemente es un concepto claro y sencillo. Veamos las definiciones legales en cada una de las normas sobre protección de datos, y además su definición conceptual y académica.

En la LORTAD:

“Todo conjunto organizado de datos de carácter personal que sean objeto de un tratamiento automatizado, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.” (artículo 3.b)

En la Directiva 95/46/CE:

“Todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.” (artículo 2.c)

En la LOPD:

“Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.” (artículo 3.b)

En el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD (en adelante RLOPD)

“Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.” (artículo 5.1.k)

En el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante RGPD)

“Todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.” (artículo 4.6)

Como vemos el concepto siempre ha sido similar: un conjunto estructurado de datos, muy similar a su definición por la ciencia informática:

“Grupo de datos estructurados que son almacenados en algún medio y pueden ser usados por las aplicaciones.”

o de la definición de la Real Academia Española de la Lengua:

“2. m. Inform. Archivo. Conjunto de datos.”

¿Y … qué es tratamiento?

Para continuar veamos el concepto legal de tratamiento, también en cada una de las normas antes relacionadas, y su definición conceptual y académica.

En la LORTAD:

“Operaciones y procedimientos técnicos, de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. (artículo 3.c)

En la Directiva 95/46/CE:

“Cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción (Art. 2.b)

En la LOPD:

“Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. (Art. 3.c)

En el RLOPD:

“Cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias (Art. 5.1.t)

En el RGPD:

“Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción (Art. 4. Nº 2)

Como vemos el tratamiento son las operaciones sobre los datos, y una definición informática es

“Tratamiento de la información consiste en una serie de operaciones que se realizan sobre unos determinados datos de forma planificada y ordenada.”

O según la Real Academia Española de la Lengua.

“1. m. Inform. Proceso de composición y manipulación de textos en una computadora.”

Aquí la RAE tampoco afina demasiado correctamente su definición ya que el tratamiento, desde el punto de vista técnico, no es solamente la manipulación de textos sino de cualquier tipo de datos o información.

Responsable del fichero y responsable del tratamiento ¿quién es quién?

Veamos las definiciones legales en cada uno de los textos normativos que estamos analizando:

 En la LORTAD:

Responsable del fichero: “Persona física, jurídica de naturaleza pública o privada y órgano administrativo que decida sobre la finalidad, contenido y uso del tratamiento.” (artículo 3.d)

Responsable del tratamiento: no se define (no existe).

En la Directiva 95/46/CE:

Responsable del fichero: no se define (no existe)

Responsable del tratamiento: “La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales; en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o comunitario” (artículo 2.d)

En la LOPD:

Responsable del fichero o tratamiento: “Persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.” (Art. 3.d)

Se unen ambas figuras: el responsable del fichero es también el responsable del tratamiento.

En el RLOPD:

Responsable del fichero o del tratamiento: “Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente.” (Art. 5.1 q)

También se identifican ambas figuras (y añade otro elemento de distorsión “aunque no lo realizase materialmente” quizás refiriéndose con esta expresión al encargado del tratamiento) y se refiere a las dos figuras: responsable del fichero y responsable del tratamiento, que parecen ser las mismas.

En el RGPD:

Responsable del tratamiento: “La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento;“ (Art. 4. Nº7)

Responsable del fichero: no se define (no existe)

De la letra de la ley se deduce una clara consecuencia: el responsable del fichero “es un invento español”.

“De aquellos polvos vienen estos lodos …”

Los que no entiendan porqué desaparece el Registro General de Protección de Datos donde se inscribían los ficheros titularidad de los responsables de los ficheros, es que no entiende ni comprende correctamente la normativa europea sobre protección de datos: ni la anterior ni la actual, que ya es directamente aplicable al Estado español mediante el RGPD.

Las explicaciones por algunos de que en la nueva regulación y en la nueva concepción de la normativa de protección de datos “se enfoca” ahora en el tratamiento, y no en el fichero, que el tratamiento es algo dinámico y el fichero algo estático, etc … Se acercan un poco a la exposición que he mantenido, pero deberían añadir que siempre ha sido así en el ámbito europeo y que lo que se hace es rectificar, por fin, algunos de los errores graves de concepto del periodo normativo español que yo denomino “eleopedero“.

El motivo y el origen de toda la confusión, radica en el número 2 de la exposición de motivos de la LORTAD:

“A tal efecto, la Ley introduce el concepto de tratamiento de datos, concibiendo los ficheros desde una perspectiva dinámica; dicho en otros términos, no los entiende sólo como un mero depósito de datos, sino también, y sobre todo, como una globalidad de procesos o aplicaciones informáticas que se llevan a cabo con los datos almacenados y que son susceptibles, si llegasen a conectarse entre sí, de configurar el perfil personal al que antes se hizo referencia.”

También en su definición de Fichero añadía “Todo conjunto organizado de datos de carácter personal que sean objeto de un tratamiento automatizado …” (expresión que no aparece en el resto de la normativa posterior) y no se rectificó con la LOPD con una adecuada transposición de la Directiva 95/46/CE.

En la LORTAD los ficheros se creaban y notificaban para su inscripción al Registro de la Agencia Española de protección de datos (Título IV. Disposiciones sectoriales y Artículo 38. El Registro General de Protección de Datos) y la LOPD (Titulo IV. Disposiciones sectoriales y Artículo 39. El Registro General de Protección de Datos) continuó haciéndolo.

Toda esta exposición no es meramente doctrinal, sino que influye en si se comprende o no la regulación en protección de datos, pues por ejemplo, por algunos se dice que tampoco comprenden porqué ahora han desaparecido los niveles de protección predeterminados (nivel básico, medio o alto) en relación a los datos que se incorporaban en el fichero, y tampoco comprenden que el propio nivel de seguridad así como las medidas aplicables dependen de análisis de riegos en relación al tratamiento que se realice de los datos (artículo 32 del RGPD)

Incluso, el propio nombre de la ley que se refiere a la “protección de los datos” en lugar del tratamiento sobre los mismos, es heredera de este craso error de concepto … Veamos con la mayoría de la normativa europea se refiere al tratamiento y no a los datos considerados en si mismos, por ejemplo en Dinamarca: The Act on Processing of Personal Data (Act No. 429 of 31 May 2000) Ley sobre procesamiento de datos personales, que entró en vigor el 1 de julio del 2000, o Grecia: Law 2472/1997, Protection of Individuals with regard to the Processing of Personal Data. Ley 2472/1997 Norma de la protección de la persona en relación al procesamiento de sus datos personales, o Nouega: Act of 14 April 2000 No. 31 relating to the processing of personal data. Ley relativa al procedimiento/tratamiento de datos personales. Entre otros, todas ellas haciendo referencia a lo que tanto la Directiva 95/46/CE como el RGPD hace referencia: la protección de las personas físicas (de sus derechos) en lo que respeta al tratamiento de sus datos personales.

Pero eso es material para otra entrada de blog …

1 comentario en “Novedades RGPD: ¿Por qué le llaman fichero cuando quieren decir tratamiento?

  1. Impresionante comparativa que aclara la situación tan embarrada provocada por la LOPD. ¿Seremos capaces de permanecer en la luz? ¿O volveremos a ser tentados por el lado oscuro?

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *