Era de imaginar. El BOE del 26 de Febrero de 2000 ha publicado el Real Decreto 195/2000, de 11 de Febrero, por el que se establece el plazo para implantar las medidas de seguridad de los ficheros automatizados previstas por el Reglamento aprobado por el Real Decreto 994/1999 de 11 de Junio. Y no es que los sistemas de información que contengan datos de carácter personal -según la descripción que de este concepto se da en el artículo 3,a) de la L.O. 15/1999, de 13 de Diciembre de Protección de Datos de Carácter Personal: “ cualquier información concerniente a personas físicas identificadas o identificables “- y que se encontraban en funcionamiento a la entrada en vigor del citado RD 994/1999 no hubieran tenido hasta la fecha obligación de implantar las medidas de seguridad que legalmente se exigen, según el tipo-categoria de los datos que se traten, porque el citado RD 994/99 ya fijó unos plazos para dicha implantación. Sino que ahora, a través de este RD 195/2000, sorprendentemente se ha procedido a la ampliación de uno de aquellos plazos que precluyó el 26.12.1999, y relativo a las medidas de seguridad de carácter básico que deberían establecerse en todos los ficheros objeto de regulación por la normativa que estamos tratando. Otorgando a la vez plenos efectos retroactivos y rehabilitando como plazo legal el lapso de tiempo comprendido entre la entrada en vigor de este RD 195/2000 y el 26.12.1999, plazo inicialmente marcado por el RD 994/99. 

          Esta legal, aunque no por ello sorprendente actuación, responde, a mi juicio, no tanto a la justificación - tan recurrente por otra parte - de que la misma se efectúa en relación a que el “ efecto 2000 “ obligó a los responsables de los sistemas informáticos a realizar un considerable esfuerzo de adaptación de dichos sistemas, lo que ha supuesto una dificultad objetiva para poder implantar en el plazo previsto las medidas de seguridad de nivel básico exigidas en su día. Sino mas bien a la cierta situación de inseguridad jurídica que la aprobación de la L.O 15/1999 vino a crear en este aspecto de las medidas de  seguridad, ya que si bien la Disposición Transitoria 3ªde esa Ley dejó como norma subsistente, entre otras, el RD 994/99, éste no deja de ser desarrollo reglamentario de los artículos 9 y 43.3h) de la Ley Orgánica 5/1992, LORTAD, que aquella vino a derogar expresamente en su Disposición Derogatoria Única. Es decir, que la normativa existente a la fecha y que regula la adopción de las medidas de seguridad a adoptar en relación a los ficheros de datos personales, así como los plazos de su implantación, es desarrollo de una Ley derogada. Y esta situación es la que se ha tratado de mejorar mediante el establecimiento de un nuevo plazo, con carácter retroactivo, para la implantación de las medidas de carácter básico, a través del RD 195/2000.  

          Así, con todo ello y pese a que la situación no parece excesivamente clara, la realidad es que nos volvemos a encontrar con un nuevo plazo legal para la  implantación de las  medidas de seguridad de carácter básico para todos aquellos ficheros objeto de regulación por la LO 15/1999. Y es este un asunto, que no por desconocido en gran parte, carece de importancia en una sociedad como la nuestra en las que las tecnologías de la información juegan un papel cada vez más predominante en todas las actividades, sociales y económicas. Hoy en día es común la existencia de bases de datos interrelacionadas en donde nuestros datos personales pueden ser cruzados para formar una imagen -cierta o no, pero imagen al fin y al cabo- de nuestra personalidad, nuestra salud, nuestra capacidad económica y solvencia. Actuaciones que pueden llegar a colisionar con derechos fundamentales como es el honor y la intimidad personal y familiar. Derechos, por otra parte, a los que nuestra Constitución hace referencia en su artículo 18,4 al señalar que la ley limitará el uso de la informática para garantizar los mismos. 

          Y toda la normativa desarrollada al amparo de lo previsto por este artículo 18 de la CE, en lo relativo a su aplicación practica, recuerda a lo ocurrido con otro tipo de normativa, que a pesar de haber venido estableciendo obligaciones legales desde su promulgación, estas no han empezado a ser adoptadas por quienes estaban obligado a ello hasta que el poder sancionador de la Administración Pública no se ha hecho efectivo; y nos referimos a las obligaciones relativas a la prevención de riesgos laborales, que desde que se promulgó la ley allá por 1985, no ha tenido una aplicación practica - por no decir masiva por lo menos en su plano teórico- hasta que la Inspección de Trabajo no ha asumido como uno de sus principales objetivos la comprobación  del grado de cumplimiento de la citada normativa en las empresas. 

          No podemos olvidar que el régimen de infracciones y sanciones previsto por la LO 15/1999, Título VII, es uno de los más duros d e toda Europa; y así, el mantenimiento de los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen ( RD 994/1999, elaboración e implantación del documento de seguridad ), se considera como una infracción grave, art. 43, 3 h) que puede ser sancionada con multa de 10.000.000 pts a 50.000.000. Bastaría por ello, que si tenemos un fichero de datos de carácter personal, sin haber elaborado ni implantado el documento de seguridad - damos por hecho que el fichero está registrado ante la Agencia - en los plazos legales, para que si somos objeto de inspección por parte de la Agencia, se nos pueda incoar expediente sancionador. Actuación inspectora que, aunque puede ser de oficio,  no sería de extrañar si algún ciudadano que se considera perjudicado por los datos que de él poseemos - o cree que poseemos-, o no se le conteste en tiempo y forma a sus requerimientos de rectificación y/o cancelación, o estime que se ha vulnerado el deber de confidencialidad por la presunta existencia de una cesión de datos terceros (con fines publicitarios por ejemplo ), formule una denuncia ante la Agencia de Protección de Datos. Y esto, al margen - hay que decirlo -,  que la actuación de la Inspección de la APD presenta todavía muchas lagunas: por ejemplo la validez, en cuanto a su presunción de veracidad, de las actas de dicha inspección; el posible roce entre la posibilidades de actuación in situ ( registro en definitiva) de los inspectores y derechos como la inviolabilidad del domicilio y/o secretos profesionales; la falta de un estatuto legal de los mismos, etc. 

          Por lo dicho, es interesante conocer cual es la situación actual al respecto, creada por el R.D. 195/2000: 

- El 26 de Junio de 1999 entró en vigor el Real Decreto 994/1999, de 11 de Junio por el que se aprobó el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal. Esta norma vino a desarrollar lo dispuesto en los artículos 9 y 43, 3h) de la LORTAD, Ley 5/1992, entonces vigente. En el mismo se determinan las medidas de índole técnica y organizativa que garanticen la confidencialidad e integridad de la información con el fin de preservar el honor y la intimidad de los ciudadanos.

- El 14 de Enero de 2000 entró en vigor la L.O. 15/1999, de 13 de Diciembre de Protección de Datos de Carácter Personal, que tiene por objeto ( art. 1 ) garantizar y proteger, en lo concerniente al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas y especialmente de su honor e intimidad personal y familiar. En su Disposición Derogatoria Única esta ley viene a derogar la anterior L.O. 5/1992 ( LORTAD ), manteniendo no obstante, mediante su Disposición Transitoria 3ª, en vigor, entre otros, el RD 994/1999; Pero en aparente contradicción con lo previsto en el citado RD 994/1999, su Disposición Adicional 1º relativa a los ficheros preexistentes, viene a establecer un plazo de tres años para que los ficheros y tratamientos automatizados inscritos o no en el Registro de la APD se adecuen a la presente Ley.

- Con esta situación, el día 27 de Febrero de 2000 ha entrado en vigor el Real Decreto 195/2000, de 11 de febrero, que ha venido a establecer que los sistemas de información que se encontraban en funcionamiento a la entrada en vigor del RD 994/99 deberán implantar las medidas de seguridad de nivel básico en un plazo que finalizará el 26 de marzo de 2000; teniendo pleno carácter retroactivo y rehabilitando como plazo legal el lapso de tiempo entre el 27 de Diciembre ( fin del plazo inicial ) y el 26 de Febrero.

          Por ello, en relación a aquellos ficheros y/o sistemas de información que se encontraban en funcionamiento el 26 de Junio de 1999 citado, el responsable del mismo o de los mismos, antes del 26 de Marzo de 2000 deberá elaborar e implementar la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información. Dicho documento, así como las medidas básicas a implantar, aparecen reguladas en los artículos 8 y ss. del RD 994/1999: 

          * El Documento de Seguridad debe contener, con carácter mínimo los siguientes aspectos: 

          1º. Ámbito de aplicación del documento y recursos protegidos. Debe identificarse qué sistema de información es al que hace referencia el documento, así como las características de legalidad y legitimación para el tratamiento de dichos datos, así como su calidad. 

          2º. La explicitación de las medidas, normas, procedimientos, reglas y estándares que determinan el nivel de seguridad, básico en este caso. 

          3º. Las funciones y obligaciones del personal con acceso a dichos sistemas de información..  Relación actualizada de usuarios, así como los sistemas de identificación y autenticación para el acceso. Determinación del responsable directo y/o delegado del fichero, del de su tratamiento, del de seguridad y del de atención al afectado, entre otros. Sistema de fijación de claves de acceso, de su otorgamiento y o cancelación, etc. 

          4º. Estructura de los ficheros y descripción de los sistemas de información. 

          5º. Procedimiento de notificación, gestión y respuesta ante las incidencias. Debe crearse un registro de incidencias. 

          6º. Procedimientos de realización de copias de respaldo y de recuperación de datos. Debe establecerse el sistema de gestión de los soportes, su inventario y almacenamiento con acceso restringido; e igualmente establecer garantías de recuperación o reconstrucción en su caso frente a la perdida o destrucción.