¿Están la LOPD 15/1999 y el RD 1720/2007 derogados?
LOPD 15/1999
En cuanto a la LOPD 15/1999 está derogada salvo los artículos 22, 23 y 24. En base a lo dispuesto en la LOPDGDD:
Disposición derogatoria única. Derogación normativa.
1. Sin perjuicio de lo previsto en la disposición adicional decimocuarta y en la disposición transitoria cuarta, queda derogada la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
2. Queda derogado el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos.
3. Asimismo, quedan derogadas cuantas disposiciones de igual o inferior rango contradigan, se opongan, o resulten incompatibles con lo dispuesto en el Reglamento (UE) 2016/679 y en la presente ley orgánica.
Disposición transitoria cuarta. Tratamientos sometidos a la Directiva (UE) 2016/680.
Los tratamientos sometidos a la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo, continuarán rigiéndose por la Ley Orgánica 15/1999, de 13 de diciembre, y en particular el artículo 22, y sus disposiciones de desarrollo, en tanto no entre en vigor la norma que trasponga al Derecho español lo dispuesto en la citada directiva.
Disposición adicional decimocuarta. Normas dictadas en desarrollo del artículo 13 de la Directiva 95/46/CE.
Las normas dictadas en aplicación del artículo 13 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que hubiesen entrado en vigor con anterioridad a 25 de mayo de 2018, y en particular los artículos 23 y 24 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, siguen vigentes en tanto no sean expresamente modificadas, sustituidas o derogadas.
Real Decreto 1720/2007
Conforme al apartado 3 de la Disposición derogatoria única. Derogación normativa: "quedan derogadas cuantas disposiciones de igual o inferior rango contradigan, se opongan, o resulten incompatibles con lo dispuesto en el Reglamento (UE) 2016/679 y en la presente ley orgánica."
Por lo tanto, entiendo el Real Decreto 1720/2007 no está derogado en su totalidad, sino únicamente aquellas disposiciones que "contradigan, se opongan, o resulten incompatibles con lo dispuesto en el Reglamento (UE) 2016/679 y en la LOPDGDD".
Entiendo que tampoco estarán derogadas aquellas disposiciones del Real Decreto 1720/2007 que desarrollen los artículos 22, 23 y 24 de la LOPD 15/1999 que siguen en vigor conforme a la mencionada disposición.
Medidas de seguridad establecidas en el Real Decreto 1720/2007
Cito lo que dice la AEPD en su guía sectorial "PROTECCIÓN DE DATOS Y ADMINISTRACIÓN LOCAL":
"2.4.2. Implementación de medidas de seguridad
El RGPD no establece medidas de seguridad estáticas, por lo que corresponderá al responsable determinar aquellas medidas de seguridad que son necesarias para garantizar la confidencialidad, la integridad y la disponibilidad de los datos personales.
El anterior Título VIII del Real Decreto 1720/2007 establecía unos controles mínimos de obligado cumplimiento para garantizar la seguridad de los datos que se incorporan a los controles o medidas de seguridad que habrá que tener en cuenta en el RGPD dentro de los procesos de análisis de riesgos, por lo que las medidas de seguridad ya existentes se deben de mantener y revisar en el marco de dichos procesos. En ningún caso el RGPD se debe de entender como la eliminación automática de todas las medidas de seguridad ya existentes.
En ningún caso el RGPD se debe de entender como la eliminación automática de todas las medidas de seguridad ya existentes.
Así, según el artículo 32 del RGPD las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo se definen en función del estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas.
En definitiva, el primer paso para determinar las medidas de seguridad será la evaluación del riesgo a la que anteriormente nos hemos referido. Una vez evaluado el riesgo, será necesario determinar las medidas de seguridad encaminadas para reducir o eliminar los riesgos para el tratamiento de los datos.
Por otra parte, lo previsto en el Esquema Nacional de Seguridad es aplicable a cualquier información de las Administraciones Públicas sin distinción del soporte en el que se encuentre, por lo que en cuanto a las medidas de seguridad se refiere, este esquema es acorde al enfoque de riesgo del RGPD y se constituye en una herramienta válida para la gestión del riesgo y la adopción de las medidas de seguridad en las citadas Administraciones."
Entiendo, por tanto, que las medidas de seguridad establecidas en el Real Decreto 1720/2007 se han de tener en cuenta, y se deben mantener y revisar en el marco de los procesos de análisis de riesgos establecidos por el RGPD.
Con respecto a las medidas de seguridad, sería recomendable para todas aquellas empresas privadas que pretendan relacionarse con las AAPP la implementación de las medidas de seguridad establecidas en el ENS al ser este de aplicación obligatoria para las AAPP y para "Las entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas, que quedarán sujetas a lo dispuesto en las normas de esta Ley que específicamente se refieran a las mismas, y en todo caso, cuando ejerzan potestades administrativas."