En cumplimiento de este precepto se aprobaron la Ley Orgánica 15/1999, de 13 de diciembre, sobre Protección de Datos de Carácter Personal, y el Real Decreto 994/1999, de 11 de Junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.
De acuerdo con la Ley 15/1999, los datos de carácter personal sólo se podrán recoger y someter a tratamiento cuando sean adecuados, pertinentes y no excesivos para el fin para el que fueran obtenidos, nunca mediante medios fraudulentos, desleales e ilícitos y una vez otorgado el debido consentimiento por parte del afectado. A su vez, se debe informar inequívocamente al interesado, no sólo de los fines y destinatarios de la información, sino de los derechos de acceso a la misma, rectificación, cancelación y oposición que también le acogen.
Todos los ficheros que contengan datos de carácter personal deben adoptar las medidas de seguridad del nivel básico, entre las que se encuentran la elaboración e implantación de la normativa de seguridad en un documento de obligado cumplimiento por el personal; gestión de un registro de incidencias; la identificación, autenticación y control de los usuarios; medidas de control para la gestión de los soportes informáticos; y la obligación de realizar copias de respaldo y recuperación, al menos semanalmente, salvo que en dicho periodo no se hubiera producido ninguna actualización de datos.
De acuerdo con el art. 4 del Reglamento, los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros e información sobre la solvencia patrimonial y el crédito, deberán recoger, además de las medidas del nivel básico, las medidas de seguridad de nivel medio, entre las que figuran el nombramiento de un responsable de seguridad, que sin perjuicio de las obligaciones del responsable del fichero, debe controlar y coordinar las medidas definidas en el documento de seguridad y el sometimiento a una auditoría interna o externa al menos cada dos años, que verifique el cumplimiento del reglamento y cuyo resultado debe ser analizado por el responsable del fichero y ser puesto a disposición de la APD.
Los ficheros que contengan datos sobre la ideología, religión, creencias, origen racial, salud, vida sexual y datos policiales exigen un nivel alto de seguridad, lo que implica una identificación más minuciosa de cada acceso a la información, la obligación de cifrar los datos cuando se transporte tanto en soportes físicos como a través de redes de telecomunicaciones y la necesidad de conservar las copias de respaldo en un lugar diferente a aquél donde se encuentren los equipos informáticos.
Los ficheros automatizados preexistentes a la entrada en vigor de la ley 15/1995 deben notificarse a la Agencia de Protección de Datos antes del 14 de Enero de 2003 y los no automatizados, antes del año 2012. En cuanto a la implantación de las medidas de seguridad, el nivel básico debe implantarse antes del 26 Diciembre de 2000; el nivel medio antes del 26 de Junio de 2000; y el nivel alto antes del 26 de Junio de 2001. El incumplimiento de la normativa sobre tratamiento de datos personales puede conllevar la imposición por parte de la APD de sanciones que suponen multas desde 100.000 hasta 100.000.000 pesetas, según se trate de infracciones leves, graves o muy graves, en concordancia con la citada ley. La APD está comenzando a inspeccionar a diversas entidades, entre ellas algún operador de telecomunicaciones y se prevén próximas sanciones, todas con un potencial impacto en los múltiples portales de Internet, donde se recogen datos personales a través de cuentas de correo gratuitas, altas de alertas, cookies, etc.
