Nota de prensa APEP sobre el Convenio LOPD suscrito por la FMP-CLM

La Asociación Profesional Española de Privacidad (APEP) ha publicado una nota de prensa en su web sobre el tema tratado a lo largo de la semana:

Un gran número de asociados ponen en conocimiento los hechos ante la Fundación Tripartita.

El anuncio público de la firma de un Convenio celebrado por la Federación de Municipios y Provincias de Castilla la Mancha en relación con el asesoramiento en materia de LOPD ha generado una reacción de rechazo entre los profesionales de la privacidad en España.

Esta reacción sin duda se debe a que en su denominación se habla de una implantación gratuita: “Convenio de Colaboración entre la Federación de Municipios y Provincias de Castilla-La Mancha y Professional Group Conversia, SLU, sobre la implantación gratuita de la Ley de Protección de Datos en las Entidades Locales de Castilla-La Mancha”.

Antes del conocimiento del mismo, decenas de profesionales han remitido quejas a la Fundación que ha publicado un nuevo comunicado que indica lo siguiente:

(Aquí se reproduce el comunicado que ya publicamos ayer.)

Asimismo, esta cuestión ha sido muy debatida en twitter con el hashtag #lopdcostecero, y en distintos blogs.

Con independencia de la calificación de estas prácticas, es necesario poner públicamente de manifiesto que el Convenio ofrece servicios gratuitos a aquel ayuntamiento que desarrolle una “participación activa”. Esta participación podría convertir al ayuntamiento en una suerte de “prescriptor”, ya que dispone:

«La FEMP-CLM impulsará entre sus asociados la aplicación de políticas de transparencia fomentando el cumplimiento de la normativa vigente en materia de protección de datos. A tal efecto, la FEMP-CLM instará a sus asociados para que de forma activa transmitan a sus diferentes proveedores la necesidad de estar adaptados a la normativa vigente en materia de protección de datos para poder mantener cualquier tipo de relación mercantil con LAS ENTIDADES.

Para este fin se ha redactado la carta modelo incluida en el Anexo III, en la que se informa a los proveedores sobre esta necesidad y se les anuncia la próxima realización de una pre-auditoría en materia de LOPD en caso de estar interesados en mantener o continuar manteniendo relación mercantil con la correspondiente ENTIDAD.

CONVERSIA será la encargada de la realización de dichas preauditorías y se obliga a hacerlo sin coste alguno para el proveedor, ni para LA ENTIDAD.

Como promoción, y gracias al presente CONVENIO de colaboración, en el caso de que, en virtud del resultado de la pre-auditoría, el proveedor tuviere que llevar a cabo actuaciones relativas al cumplimiento de la normativa sobre protección de datos, será informado de las condiciones en las que CONVERSIA puede obsequiarle con la completa adaptación de su organización a las exigencias de esta normativa.

A este respecto se le informará de la posibilidad de realizar acciones formativas adecuadas a su personal, aptas para la tramitación de las correspondientes bonificaciones de formación continua para empleados que ofrece la FUNDACIÓN TRIPARTITA.

En el supuesto de que un proveedor quisiere contratar los servicios de Conversia pero no pudiere beneficiarse de la posibilidad de obtener este obsequio, Conversia se compromete a prestarle sus servicios en función de la tabla de precios que figura como Anexo IV».

Esta previsión se reitera en el Anexo al Convenio

“En el supuesto de que La ENTIDAD, previa comunicación por escrito a CONVERSIA, quisiere optar por participar de manera activa en las políticas de difusión del deber de cumplimiento de la normativa vigente en materia de protección de datos, transmitendo a sus diferentes proveedores la necesidad de estar adaptados a dicha normativa para mantener cualquier relación mercantil con LA ENTIDAD, mediante la divulgación entre todos sus proveedores del comunicado recogido como Anexo III del Convenio precitado, CONVERSIA prestará a LA ENTIDAD el servicio de asesoramiento e implantación de la normativa vigente en materia de protección de datos, sin que LA ENTIDAD tenga que pagar cuantía económica alguna al respecto.”

Es necesario poner de manifiesto que la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal contemplan un deber de diligencia de cada responsable, esto es de cada ayuntamiento, en la elección del aquellos proveedores que traten datos personales, diligencia que debe analizarse caso por caso, en función de la naturaleza de los tratamientos de datos personales involucrados. En tal sentido:
  • Este deber de diligencia no se traduce necesariamente en todos los casos en la necesidad de realizar una auditoría por el responsable de todos sus proveedores..
  • Por otra parte, el texto de la cláusula supone de modo indirecto que el Ayuntamiento en la práctica recomienda a un proveedor determinado y, ello, para todo tipo de tratamientos de datos personales.
Por otra parte, desde un punto de vista técnico, sorprende una de las condiciones del Convenio, dado que los beneficiarios de los servicios serían administraciones:

“SÉPTIMA.-Durante la vigencia del Convenio y de los contratos derivados del mismo, firmados con LAS ENTIDADES, CONVERSIA mantendrá suscrita una póliza de Responsabilidad Civil para dar una cobertura de hasta 600.000 € a las posibles deficiencias en su gestión que pudieran ocasionar a LAS ENTIDADES una sanción por parte de la AEPD.”

Irrelevante disponer de un aseguramiento de la responsabilidad civil como este cuando no existe responsabilidad pecuniaria alguna en materia de sanciones. A diferencia del sector privado, es notoriamente conocido por cualquier profesional en esta materia que, conforme al artículo 46.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal «el órgano sancionador dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción». Y, en tal sentido, se pueden consultar cualquiera de las decenas de resoluciones sancionadoras publicadas por la Agencia Española de Protección de Datos que lógicamente no imponen ni una sanción pecuniaria.

Debe destacarse que, de acuerdo con el Real Decreto Legislativo 3/2011, de 14 de noviembre, por el que se aprueba el texto refundido de la Ley de Contratos del Sector Público, tanto cada Ayuntamiento como la Federación, esta en su consideración de poder adjudicador, se encuentran sometidos a estrictas normas de contratación cuyos objetivos son facilitar la libre concurrencia de ofertas con plena publicidad y en condiciones de igualdad para los licitadores. Cabe preguntarse si estos objetivos se logran adecuadamente con una recomendación recompensada con la gratuidad de un asesoramiento LOPD con un alcance indeterminado.

APEP se abstiene de calificar jurídicamente estos hechos, sin perjuicio de ponerlos en conocimiento de la sociedad y, en su caso, de las autoridades que pudieran ser competentes.
Marketing Positivo, Actualizado en: viernes, junio 15, 2012