Expertos en Derecho informáticos comentan aspectos de la reciente ley española, referidos a la protección de datos de carácter personal.
MADRID: Dentro del desarrollo de la denominada Sociedad de la Información y, más en concreto, de una de sus vertientes como son las comunicaciones telemáticas, se encuadra la redacción de la novedosa Ley de Firma Electrónica., creada con la intención de “reforzar el marco jurídico existente incorporando a su texto algunas novedades respecto del Real Decreto-Ley 14/1999 que contribuirán a dinamizar el mercado de la prestación de servicios de certificación”, como se dice en su propio Preámbulo.
Sin duda, el análisis de la Ley puede realizarse desde múltiples perspectivas, siendo una de las posibles la que se adopta en este artículo y que intenta determinar los aspectos de la norma que se refieren, expresa o indirectamente, a la materia de Protección de Datos de Carácter Personal.
La primera referencia, indirecta, se contiene en el artículo 11, cuando al regular el contenido mínimo de los certificados reconocidos dice que “contendrán la identificación del firmante, en el supuesto de personas físicas, por su nombre y apellidos y su número de D.N.I. o a través de un seudónimo que conste como tal de manera inequívoca”, añadiéndose en el mismo artículo que “los certificados reconocidos podrán asimismo contener cualquier otra circunstancia o atributo específico del firmante en caso de que sea significativo en función del fin propio del certificado y siempre que aquél lo solicite”.
Es interesante el último punto del artículo 13 que dice que “los prestadores de servicios de certificación podrán realizar las actuaciones de comprobación previstas en este artículo por sí o por medio de otras personas físicas o jurídicas, públicas o privadas, siendo responsable, en todo caso, el prestador de servicios de certificación”. Parece introducirse aquí un posible acceso a datos personales con causa en una prestación de servicios, que habría de regularse conforme a la normativa sobre datos personales.
Nuestro siguiente punto de análisis es el artículo 17, titulado “Protección de datos personales”, artículo que conviene desgranar puesto que es el que mayor dedicación tiene a dicha materia. En su punto primero somete a la LOPD y sus normas de desarrollo “el tratamiento de los datos personales que precisen los prestadores de servicios de certificación para el desarrollo de su actividad y los órganos administrativos para el ejercicio de las funciones atribuidas por esta Ley”.
El segundo punto del artículo 17 restringe las fuentes de origen de datos personales, ya que “únicamente (se) podrán recabar datos personales directamente de los firmantes o previo consentimiento expreso de estos”. Añade que sólo se requerirán los datos “necesarios para la expedición y el mantenimiento del certificado electrónico y la prestación de otros servicios en relación con la firma electrónica, no pudiendo tratarse con fines distintos sin el consentimiento expreso del firmante”. En definitiva, parece que este párrafo quiere traer a colación los principios de calidad, información y consentimiento que se regulan en la LOPD.
El tercer punto indica que, cuando se utilicen seudónimos, el prestador de servicios de certificación deberá constatar la verdadera identidad y conservar la documentación acreditativa. Se indica que sólo cabra revelar la identidad de los firmantes en los supuestos del artículo 11.2 de la LOPD.
Finalmente, el punto cuarto indica expresamente que no cabe que los certificados electrónicos recojan los datos a que hace referencia el artículo 7 de la LOPD.
El artículo 19 introduce una regulación de significativa relevancia en el ámbito de la protección de datos personales. Al establecer y detallar el contenido de la denominada “Declaración de prácticas de certificación” se indica, en el punto 3 del artículo, que ésta “tendrá la consideración de documento de seguridad a los efectos previstos en la legislación en materia de protección de datos de carácter personal y deberá contener todos los requisitos exigidos para dicho documento en la mencionada legislación”. Se infiera de esta cita que pueden surgir ciertas dudas cuando su contenido sea llevado a la práctica. Entre otras consideraciones cabe preguntarse si va a ser necesario que la Declaración señale expresamente aquellas partes con las que se pretende cumplir con los requisitos del documento de seguridad o si el cumplimiento se podrá inferir del contenido de la propia Declaración. Cómo o por quién se va a verificar que la declaración de prácticas de certificación cumple con los requisitos exigidos para el documento de seguridad. O en qué situación queda, qué validez tiene, el documento de seguridad que los prestadores de certificación tuvieran ya instaurado en su organización y si es posible su “convivencia” con la Declaración de prácticas de certificación que se establezca.
Finalmente, al tratarse el cese de actividad de un prestador de servicios de certificación, en el artículo 21, se regula, indirectamente, la cesión de datos personales que se realice cuando otro prestador de servicios asuma los certificados electrónicos emitidos por el cesante, exigiéndose consentimiento expreso para el trasvase. Incluso, cabe considerar que el legislador tenía en mente, en la elaboración del artículo, la cesión de datos que se puede realizar en este caso, ya que, en el artículo 31, dentro de las infracciones graves señala “el incumplimiento por los prestadores de servicios de certificación de las obligaciones establecidas en el artículo 21 respecto al cese de la actividad de los mismos o la producción de circunstancias que impidan la continuación de su actividad, cuando las mismas no sean sancionables de conformidad con lo dispuesto en la Ley Orgánica 15/1999”.
Fuente: Ecija Abogados
Enlaces de interés: www.datospersonales.com