El fracaso de la LOPD en España

Hace algo más de un año la revista digital impulsada por la Agencia de Protección de Datos de la Comunidad de Madrid me pidió una colaboración para uno de sus números. Tras la desaparición a principios de año del organismo, ayer supe que también el sitio web de la revista había sido eliminado. Me ahorro, porque les va a dar igual, los calificativos que me merecen esta absurda eliminación de un fondo documental de alto valor y que no cuesta apenas nada mantener online. Por mi parte, reproduzco aquí el artículo, puesto que la mayor parte de su tesis no sólo no ha perdido vigencia, sino que se ha reafirmado con el tiempo.

El fracaso de la LOPD en España

Cuando una ley pretende regular un escenario nuevo resulta lógico que se pida un tiempo de maduración, un paréntesis que permita su extensión y aplicación a todos los afectados (tanto los sujetos obligados como los receptores de derechos) antes de realizar un análisis sobre su efectividad real sobre el terreno.

El 29 de diciembre de 1999 se publicaba en el Boletín Oficial del Estado la Ley Orgánica de Protección de Datos de Carácter Personal, popularmente conocida con las siglas LOPD, que por tanto a estas alturas lleva ya más de una década de recorrido, siendo tiempo suficiente para poder valorar su éxito o fracaso y su implantación social y empresarial. No fue desde luego la primera ley que trataba la cuestión del manejo de datos personales (o no) en la era de las nuevas tecnologías, pero teniendo en cuenta que la anterior Ley Orgánica de Regulación del Tratamiento Automatizado de Datos de Carácter Personal (LORTAD) pasó casi desapercibida en el ámbito empresarial y no digamos en el social, podemos computar desde la entrada en vigor de la LOPD el comienzo del recorrido en nuestro país de la protección del derecho a la intimidad de las personas físicas en lo que se refiere al manejo de sus datos personales.

Y una vez realizado ese análisis, olvidadas las filosofías jurídicas en el fondo del cajón, con los datos reales encima de la mesa, sólo se puede llegar a una conclusión: fracaso.

Puntualicemos, eso sí, que el reto no era ni es sencillo: pocas veces se ha visto el legislador en la tesitura de tener que regular un asunto tan escurridizo, tan poco sujeto a algunos de los elementos claves del Derecho, como es, por ejemplo, la territorialidad.

Veamos entonces previamente algunos de estos problemas.

Legislación y nuevas tecnologías: una mala pareja de baile

Vivimos tiempos en los que los conceptos de intimidad y privacidad se ven sometidos a nuevas y fuertes tensiones tecnológicas, y así asistimos, con reacciones que van desde el franco alborozo hasta la total incomprensión, al espectáculo de la comedia humana que se ofrece en abierto, sin codificar, en el llamado mundo 2.0

Y mientras los legisladores de la vieja Europa, orgullosos herederos del derecho romano y de siglos de predominio cultural, debaten en interminables sesiones de comités, subcomités y comités organizadores de los subcomités, y generan infinidad de documentos con nombres rimbombantes y títulos tan largos como las denominaciones gastronómicas de un chef con varias estrechas Michelín; mientras nuestras doctas instituciones tardan años en convertir cada eterno debate en una ley de ámbito nacional; mientras caemos presos del síndrome de la "parálisis por el análisis"; mientras tanto, un grupo de adolescentes imberbes alimentados a base de bebidas ricas en cafeína reinventa el mundo cada cinco años y deja de un plumazo la mitad de los sesudos documentos convertidos en papel mojado y a los doctos oradores con la boca abierta, convertido su discurso en una antigualla para el archivo.

Y por supuesto, los datos personales, su tratamiento y protección, en el centro del huracán. Todo es información, datos, y los personales unos de los más valiosos.

El ámbito ya no es el territorio

"Ámbito de aplicación", sí señor, toda ley que se precie, y las de protección de datos no iban a ser menos, tendrá entre sus primeros artículos uno con éste título, en el cual, a modo de felino que marca territorio, el legislador traza su mapa de influencia y con su poderoso dedo sentencia: "tú estás dentro, tú estás fuera".

Pero luego resulta que los adolescentes imberbes aparecen como setas por cualquier punto del planeta, ignorantes del gran problema que supone que sus creaciones no se sustenten en (casi) nada físico. No hay producto, no hay paquete, no hay transporte ni aduana supervisora, por no haber no hay siquiera una caja de plástico con un CD, ¡lo han subido a la nube!

¿Dónde dice usted? ¿Y mi ámbito de aplicación?

Obviedad: el ámbito 2.0 no encaja bien con límites geográficos, los bits no saben de España o Groenlandia, y el proteccionismo jurídico tiene efectos tan nefastos como el económico.

Lo hemos visto como tendencia imparable a través de la popularización en los últimos tiempos del término "cloud computing", brillante estrategia de marketing consistente en poner nombre a un conjunto de servicios que en muchos casos ya usábamos con anterioridad sin saber que se llamaban así.

Pero alto ahí, un momento, reclama el legislador con la seguridad de quien encuentra de pronto un argumento al que agarrarse, las aplicaciones estarán en las nubes, pero los usuarios no son ángeles, necesitan elementos que les conectan con su mundo 2.0, tales como el PC o su teléfono móvil, a través de esos medios, que sí están en nuestro territorio, podemos controlar la gestión de la información.

En 2012 resulta fácil objetar que aún podemos atraparles a través del hardware, pero ¿durante cuánto tiempo? Internet ya se liberó de la cárcel del ordenador personal y ahora vuela de móvil en móvil y los puntos wi-fi afloran sin control por todas partes. El "always on", siempre conectados, se acerca. ¿Qué pasará cuando interactuemos con un teclado y una pantalla virtuales, cuando no quede ya más hardware que un chip, quizás invisible?

La situación crea disfunciones que impide a las empresas competir en igualdad de condiciones, ya que el énfasis en situar el punto de mira del ámbito de aplicación como un concepto físico y geográfico que poco tiene que ver con la realidad de Internet, en vez de en los derechos del ciudadano, obliga a unas sí y a otras no a implementar determinadas medias de seguridad y control, además de procedimientos específicos de respuesta a ejercicios de derechos.

La fábula del bibliotecario... y un posible negociete a la vista

Imaginemos ahora a un honrado y laborioso bibliotecario, un hombre enamorado de su trabajo que disfruta con el tacto y el olor de los volúmenes que cada día clasifica y ordena en sus estanterías.

Una mañana recibe la visita de dos inspectores de la sección del comité de la subdirección del ministerio del que depende su puesto, que le preguntan por la existencia de determinado título.

El bibliotecario confirma y se ofrece a mostrar la obra a los inspectores.
No es necesario, dice el que parece ser el jefe, basta que atienda usted a estas instrucciones: si alguien le pide o pregunta por ese libro, debe usted negar su existencia. 
¿Entonces, pregunta el confuso bibliotecario, se debe retirar la obra de los anaqueles, es que ha sido prohibida su difusión? 
No, no, puntualiza la inspección, no sólo no se ha prohibido, sino que se mantiene el derecho consultar esa obra por quien sea capaz de encontrarla, es únicamente que usted no debe facilitar dicha búsqueda. 
¿Quiere decir que tengo que negar que exista un libro que sí existe y es legal su publicación? 
Exacto, eso es, confirma el inspector.
¿Kafka, estás por ahí? Aquí tienes un nuevo argumento para un relato.

Está claro que hablamos del muy citado en los últimos tiempo "derecho al olvido" (sin olvidar, aunque sea menos nombrado, a su reverso, el "derecho al recuerdo") y de la mala costumbre de matar al mensajero pretendiendo así que el mensaje ya no existe.

Nueva obviedad: es un error de primero de primaria de nuevas tecnologías confundir Google (o cualquier otro buscador) con Internet (o al bibliotecario con la biblioteca, que viene a ser lo mismo). Esta situación se da a nivel social cuando le pides a alguien: "entra en www.loquesea.com" y el sujeto abre la página inicial de Google y teclea la dirección en la casilla de búsqueda, pidiendo al buscador que le encuentre el sitio cuando podría acceder directamente escribiendo la dirección en su navegador. Este hecho es más que disculpable en personas cuyo uso de Internet es únicamente personal, pero es imperdonable en un profesional de la materia.

Como podrá comprobar el paciente lector, quien suscribe estos párrafos no es ni abogado ni informático, sospechosos habituales en las actividades alrededor de la protección de datos, sino un emprendedor que hace ya ocho años se encontró con esta opción de negocio (LOPD) y decidió llevarla a cabo. Resulta lógico, por tanto, que además de la visión técnica y jurídica del tema protección de datos, mantenga la empresarial, y resulte fácil concluir que de la suma del problema del ámbito de aplicación más las absurdas resoluciones nacionales que obligan a los buscadores a dejar de indexar determinados contenidos, pero sin retirarlos de la red, tenga la seguridad de que si se sigue por este camino se esté regalando el mejor plan de marketing a aquellos a los que las diferentes legislaciones de cada país se las trae al pairo.

El argumento comercial sería más o menos así: "Si quiere usted saber algo sobre el desarrollo de la agricultura en Kazajstán, está bien que use Google, Bing, Yahoo, etc..., pero si quiere usted saber algo sobre (póngase aquí un nombre cualquiera de persona) utilice nuestro buscador: nosotros no estamos censurados."

Y venga, a recibir visitas y facturar con publicidad o programas de afiliación.

Y cuando estos nuevos buscadores estén fiscalmente domiciliados y con todos sus servidores en terceros países lejos de nuestra "influencia" jurídica, ya podemos imaginar el caso que le van a hacer a las tutelas de derechos que les envíe la Agencia Española de Protección de Datos.

Y en esto llegó la “eleopedé” y así estamos a día de hoy (datos de diciembre 2011)

Con el fondo de los problemas citados, y algunos otros que sería excesivamente prolijo analizar aquí, y basándose en las instrucciones llegadas desde Bruselas vía Directiva, en España aparece la citada LOPD.

Como ya sabrán los doctos lectores, y no vamos a repasar ahora, la adaptación de una empresa a la LOPD es un proceso que se inicia con una serie de trámites administrativos y documentales, de los que la primera piedra es el alta de ficheros en el registro General de Protección de Datos (RGPD). Y ya que este es un dato público (estadísticas en PDF), podemos analizar su implantación.

Según las últimas estadísticas publicadas (diciembre 2011 en el momento de redactar estas líneas) están dados de alta 2.491.968 ficheros de titularidad privada, que corresponden en números redondos a 915.000 responsables de ficheros o “entidades” en la terminología de la ley. No busque el atento lector este último dato en la sección de la web AEPD enlazada, ya que la Agencia no suele incluir la suma total, supongo que por vergüenza, y hay que hacer el sumatorio total a mano. Lo que sí se indica es que 323.000 corresponden a Comunidades de propietarios, lo que nos deja con aproximadamente con 592.000 empresas con ficheros dados de alta.

No disponemos de una cifra oficial de entidades empresariales que caen dentro del ámbito de aplicación de la LOPD, pero tampoco resulta muy difícil hacer una aproximación: según el último informe del DIRCE (PDF) en España hay 3.250.576 empresas, y no creo que ninguna pueda existir sin disponer de ningún tipo de datos personales, con lo que todas están obligadas.

Por tanto nos encontramos con lo siguiente:
Tras más de una década en vigor de una ley de rango orgánico que afecta a un derecho fundamental protegido constitucionalmente, apenas el 20% de las empresas obligadas han dado el primer paso (alta de ficheros), que resulta ser gratuito, se hace online (sistema NOTA) y no exige un conocimiento profundo ni de la LOPD ni de informática.
Y si no han hecho esto, ya podemos imaginar cómo tendrán lo demás. Quien no admita que esta situación es un fracaso en toda regla… sencillamente se está poniendo una venda en los ojos.

Y éste no es además en único “fracaso”. Veamos otros.

En España le tienen más miedo a la LOPD los que la cumplen que los que no o la leyenda urbana de la sanción de 300.000 euros

Asisto a muchos congresos, convenciones, conferencias, y reuniones similares sobre marketing, especialmente aquellas ramas que entroncan con el uso empresarial de las nuevas tecnologías, y ya me acostumbrado a oír continuamente las retahílas de quejas habituales: “la LOPD es el cáncer de nuestro sector”. Y tarde o temprano aparece la cifra mágica y maldita: “¡multas de 300.000 €!, ¡cómo va a pagar eso una empresa normal!”.

Luego intento explicar que entre las miles de sanciones de la AEPD no recuerdo ninguna de tal importe que haya recaído sobre una PYME o microempresa, pero ya es tarde: la idea está fuertemente instalada entre aquellos que precisamente se han preocupado de cumplir la LOPD.

Y eso es un fracaso de la ley, y lo es además precisamente en su aspecto más noble: aquel que aspira a modular comportamientos más que a castigar su incumplimiento. El concepto "cultural" de la protección de datos personales no ha calado en la empresa y la ley se ve exclusivamente como un “sacacuartos” más del Estado.


Los recursos ante el Tribunal Supremo

A consecuencia de varios recursos de la Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) y la Asociación Española de la Economía Digital (adigital) contra parte del Real Decreto 1720/2007, Reglamento de desarrollo de la Ley Orgánica de protección de datos de carácter personal (RLOPD), el Tribunal Supremo anuló los artículos 18 y 38.1.a). Además elevó una cuestión prejudicial al Tribunal de Justicia de la Unión Europea, que a su vez respondió en la línea de los recurrentes. Esto debería llevar a un nuevo fallo del Supremo que probablemente terminaría por dejar a la LOPD y Reglamento bastante “tocados”… pero como resulta que la UE está en proceso de crear un nuevo Reglamento sobre la materia… nos quedamos de momento en una especie de confuso limbo jurídico que tampoco favorece precisamente su adopción.

El desastre del “coste cero”

La ya conocida y denunciada estrategia de ofrecer servicios de adaptación a la LOPD y bonificarlos vía créditos formativos es un desastre de proporciones muy superiores a lo que podría parecer. Entiendo que se dirá que como consultor dedicado a la materia me muevo por el interés personal a la hora de plantear el asunto… y obviamente sí en parte, pero no eso lo que quisiera recalcar en este momento, sino dos consecuencias mucho peores:

Como en España la inmensa mayoría de las empresa son de menos de 10 empleados, tampoco es que las cantidades de que disponen para bonificarse sean muy grandes, incluso son infinidad los casos en que no pueden ir más allá de los 420 euros de mínimo. El adaptar las tarifas a estos importes, en vez de cómo resultaría lógico crearlas en función de la carga de trabajo necesaria, crea una situación en que la calidad de las adaptaciones es… prefiero no comentarlo.

Además el hecho de que pueda hacer “gratis” disminuye claramente la percepción del valor por parte del empresario. Algo “gratis” no puede ser muy importante: es la banalización de la LOPD.

Y de pronto aparecieron los apercibimientos

El concepto del apercibimiento hubiera sido una gran idea en el caso de aparecer en la redacción original de la LOPD o de su Reglamento, pero su introducción en el escenario de protección de datos 10 años después de la ley a través de la reforma del régimen sancionador vía Ley de Economía Sostenible, ha terminado de hundir la credibilidad de la ley entre los incumplidores.

Ahora la LOPD es eso que te hacen gratis por ahí, pero que en cualquier caso no hay que preocuparse porque si te pillan, la primera vez no te sancionan.

En resumen: recordar cifras

Lo repito porque algunas de los conceptos desarrollados pueden ser discutibles desde otros puntos de vista, o el autor puede estar equivocado, pero los números son los que son y no admiten muchos matices:
Tras más de una década en vigor de una ley de rango orgánico que afecta a un derecho fundamental protegido constitucionalmente, apenas el 20% de las empresas obligadas han dado el primer paso (alta de ficheros), que resulta ser gratuito, se hace online (sistema NOTA) y no exige un conocimiento profundo ni de la LOPD ni de informática.
Y eso que además te lo pueden hacer gratis.

Fracaso es la única conclusión de todo esto.

Marketing Positivo, Actualizado en: viernes, junio 21, 2013