Día de la Protección de Datos en Europa 2014

Hoy es el Día Europeo de la Protección de Datos, y con ese motivo la Asociación Profesional Española de Privacidad (APEP) ha preparado un especial en el que he colaborado con este texto:

Cifras que demuestran lo poco europeos que somos en protección de datos
Ante la celebración el 28 de Enero del Día de la Protección de Datos en Europa he ido corriendo al ordenador a buscar un mapa europeo actualizado y he podido observar para mi tranquilidad que, en contra de lo que dicen las malas lenguas, el continente no se ha roto por los Pirineos, y que por tanto este convulso país que llamamos España continúa perteneciendo al ámbito continental en todos los sentidos.
Es obvio que cada uno de los países que forman el conglomerado de la Unión Europea tiene sus particularidades históricas y culturales, y que de hecho esa diversidad enriquece en gran medida el conjunto, pero al tiempo no podemos olvidar que la ley es igual para todos, principio aplicable no sólo a las personas físicas, sino también a las jurídicas o incluso a las naciones, cuando, como es el caso, deciden libre y voluntariamente unirse en una comunidad política de Derecho.
Desde la entidad de control encargada de velar por el cumplimiento de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) en nuestro país: la Agencia Española de Protección de Datos (AEPD) y en cumplimiento de su indudable deber de vigilancia, se ha sancionado recientemente con un total de 600.000 euros a la empresa Google Inc. por vulneración de los artículos 6.1 y 4.5 de la LOPD, multa argumentada a lo largo de un espeso y complejo expediente de 139 páginas y sin duda cargada de firmes y sólidos argumentos jurídicos. Tal procedimiento no nace como respuesta a denuncia alguna, sino que es iniciado por la AEPD en ejercicio de sus potestades. Y vaya por delante que no sólo no creo que se haya podido cometer injusticia alguna por tal sanción, sino que incluso es probable que la Agencia se haya quedado corta.
Sin embargo no deja de resultar sorprendente que tan encomiable celo en la defensa de los derechos de los ciudadanos españoles se detenga súbitamente cuando estudiamos la situación dentro de nuestras fronteras. Hace ya algo más de dos años publiqué en la revista digital impulsada por la Agencia de Protección de Datos de la Comunidad de Madrid un artículo con el título El fracaso de la LOPD en España (el enlace direcciona a la republicación en mi blog del mismo artículo debido a que la desaparición de la agencia madrileña se llevó también por delante la revista) en el que demostraba con números extraídos de la propia web de la AEPD el generalizado incumplimiento de la normativa incluso en sus aspectos más básicos, como es la mera inscripción de ficheros en el Registro General de Protección de Datos.
Llegados a este punto, y ante la citada celebración del día dedicado a tan noble derecho, tocaba revisar la situación y examinar si a lo largo de los últimos 24 meses había mejorado.
Y ya puedo adelantar que no mucho.
Según las últimas estadísticas publicadas (diciembre de 2013 en el momento de redactar estas líneas) están inscritos en el RGPD un total de 3.228.777 ficheros de titularidad privada, que según mi experiencia en lo que se refiere a la media de ficheros inscritos por entidad, corresponderían aproximadamente a 1.150.000, de las cuales, a la hora de valorar cuántas corresponden a empresas, deberíamos restar las 400.000 comunidades de propietarios y algunas decenas de miles más entre clubes y asociaciones, que la misma estadística de la AEPD señala. Esto nos dejaría con aproximadamente 700.000 entidades empresariales frente a los algo más de 3.000.000 que en nuestro país engloban profesionales, comerciantes y empresas, y que salvo contadísimas excepciones difícilmente podrán llevar a cabo actividad alguna sin contar con datos personales, por que estarán obligadas al cumplimiento de la normativa.

O dicho de otra forma, que 3 de cada 4 entidades no han iniciado el cumplimento de la LOPD ni siquiera en lo que se refiere a la inscripción de sus ficheros con datos personales, un tramite meramente administrativo que se realiza a distancia con una aplicación suministrada por la propia AEPD, y para cuya cumplimentación no son necesarios conocimientos jurídicos o informáticos.
¿Se imagina el lector como andarán en lo que se refiere a medidas de seguridad, derechos ARCO, documentos de seguridad, contratos con terceros, etc?
Puesto que vamos todos a celebrar con alegría el Día de la Protección de Datos en Europa, quizás sería ya hora de ir “europeizándonos” un poco más en esta materia.

APEP ha enviado además una nota de prensa a los medios de comunicación ahondando en el mismo sentido con datos precisos:
Nota de prensa APEP
El 28 celebramos el Día de la protección de datos en Europa en un contexto en el que la mayoría de la población seguramente no sabe definir el derecho fundamental a la protección de datos pero es perfectamente capaz de identificar cuando se pone ésta en peligro. En 2013 las noticias sobre privacidad, o relacionadas con este concepto han sido constantes. La ciudadanía ha incorporado a su memoria histórica términos como “NSA” “Snowden” “ciberespionaje” o “ciberguerra”. Por ello desde APEP queremos subrayar que los derechos relacionados con la vida privada, y en especial el derecho fundamental a la protección de datos constituyen sin ningún género de dudas la barrera más importante de protección para las personas en nuestras modernas sociedades.

En los medios de comunicación han tenido cabida noticias relativas a ayuntamientos que instalaron videocámaras sin las debidas garantías, fallos de seguridad, niños cuyos padres sobreexponen al publicar fotografías en redes sociales o famosos cuya vida privada es conocida hasta en los aspectos más íntimos gracias a la grabación de un móvil. En un plano más profesional la reciente resolución de la Agencia Española de Protección de Datos en relación con el uso de cookies en una página de internet sin la adecuada información pone sobre la mesa la importancia de la materia para un adecuado desarrollo empresarial.

En efecto, los ciudadanos como consumidores necesitan confiar plenamente en el respeto de sus derechos al otro lado de la pantalla. Y un adecuado cumplimiento de normativas como las relativas a la protección de datos personales o al comercio electrónico resulta esencial para garantizar la viabilidad de las empresas. Internet, y la sociedad de la información, abre un horizonte de oportunidad extraordinario para el crecimiento y la creación de empleo, ya sea mediante nuevos modelos de negocio ya sea expandiendo e internacionalizando nuestras empresas. En este contexto cumplir con la normativa es garantía de confianza, no hacerlo un riesgo de sanción pero sobre todo de desprestigio.

A este respecto resulta interesante comparar las cifras la última Memoria de la Agencia Española de Protección de Datos con el número de empresas que ofrecía el INE a 1 de enero de 2013. Debe tenerse en cuenta que el mínimo de ficheros que suele inscribir una empresa es de dos (clientes y personal) y que a efectos de la LOPD una empresa se define como “responsable”. Por otra parte, la obligación de inscribir ficheros afecta a todo tipo de personas físicas, -cómo autónomos-, o jurídicas que traten datos personales. Por tanto, en el total de responsables identificados por la Agencia Española de Protección de Datos cabe incluir asociaciones, fundaciones o comunidades de propietarios. Por tanto, es muy probable que la diferencia que ofrece la siguiente tabla entre las empresas existentes a 01/01/2013 en España según el INE y los responsables de fichero a 31/12/2012 según la Agencia Española de Protección de Datos sea incluso mayor en la realidad.


Comunidad Autónoma
Responsables1
Empresas2
Ficheros inscritos
Empresas que no habrían inscrito ningún fichero
Andalucía
149.268
471.521
438.948
322.253
Aragón
36.827
88.067
90.192
51.240
Principado de Asturias
31.906
66.869
95.915
34.963
Canarias
30.781
129.566
103.683
98.785
Cantabria
12.053
37.190
29.628
25.137
Castilla y León
52.594
162.153
139.068
109.559
Castilla-La Mancha
37.032
124.405
108.200
87.373
Cataluña
200.925
580.804
512.221
379.879
Comunitat Valenciana
124.050

337.161
317.890
213.111
Extremadura
17.677
63.353
51.033
45.676
Galicia
74.408
192.998
214.871
118.590
Illes Balears
22.673
85.044
76.504
62.731
Comunidad Foral de Navarra
11.936
40.860
33.909
28.924
Madrid
172.341
496.003
428.021
323.662
Región de Murcia
32.476
87.146
84.280
54.670
País Vasco
42.515
153.709
112.352
111.194
La Rioja
9.718
22.316
24.502
12.598
Ceuta
530
3.610
1.238
3.080
Melilla
661
3.795
3.127
3.134
Total
1.060.371
3.146.570
2.865.582
2.086.199
1 Datos obtenidos sobre la distribución de ficheros de la Sección 4 de la Memoria 2012 de la Agencia Española de Protección de Datos. Pag.92.
2 Fuente. Nota de prensa de 1 de Agosto del INE. Estructura y dinamismo del tejido empresarial en España. Directorio Central de Empresas (DIRCE) a 1 de enero de 2013. Tabla «Empresas activas según sector económico, por comunidades y ciudades autónomas. Datos a 1 de enero de 2013» pag. 6.
En conclusión, si comparamos los datos absolutos sobre número de empresas con los responsables de ficheros privados registrados por la Agencia Española de Protección de Datos la diferencia se acerca a los dos millones.

La economía Española no puede permitirse no superar el reto de proporcionar confianza digital al consumidor, es necesario cumplir con la LOPD. Empresas y ciudadanos cuentan con herramientas de asistencia gratuitas como Evalua-LOPD y el sistema NOTA proporcionadas por la Agencia Española de Protección de Datos en el canal del responsable.

Por otra parte, los profesionales de la privacidad constituyen un nuevo sector de la economía emergente e indispensable. Sin embargo, 2013 ha sido un año de amenazas. El abuso de las subvenciones a la formación de la Fundación Tripartita, tan denunciada y perseguida cuando afecta a otros ámbitos, persiste ante la ineficacia de los responsables de su persecución y lastra el despegue empresarial de un sector capaz de generar nuevos nichos de empleo. Mientras Europa plantea un reglamento que sitúa a los profesionales de la privacidad en un lugar estratégico de la empresa en España con cargo a fondos públicos la implantación de la LOPD se regala como una oferta de saldo.

Las empresas serias y responsables que opten por buscar servicios profesionales de asesoramiento encontrarán en los asociados y asociadas de APEP profesionales que tratan de ofrecer estándares de calidad que ofrezcan confianza y seguridad.

Por otro lado desde mindyourgroup.com han presentado un estudio sobre la transparencia de las diferentes agencias europeas de protección de datos, resumido en una infografía.

Estudio sobre la transparencia de las Agencias de protección de datos europeas

Mind Your Group (MYG) realizó el estudio con varios objetivos: conocer cómo se financian las agencias de protección de datos europeas (DPAs) y si suponen un coste para la sociedad; entender cómo gastan el dinero y cómo defienden los derechos de los ciudadanos.

Entre sus conclusiones destacan que la falta de transparencia es flagrante y que el nuevo Reglamento europeo pendiente de aprobación no garantizará la misma defensa de los derechos de los ciudadanos en todos los países si no se incluyen directrices para homogeneizar el trabajo de las agencias.

Respecto a nuestro país destacan que España es el segundo país donde más quejas se presentan, el primero en el que más inspecciones se hacen y la AEPD es la agencia más rentable con un 135% de superávit (19.500.000€ ingresados en 2011).

Se señala específicamente que el mayor escollo durante la investigación ha sido la disparidad de criterios que existe a la hora de elaborar los informes anuales de las distintas agencias y que provoca una absoluta falta de transparencia de cara al ciudadano. Esto ha hecho que la comparación de datos no siempre haya sido posible porque no es sólo un problema de presentación de los mismos sino además de fiabilidad de los datos (no por falsos, sino por poco actualizados o mal desglosados).

En referencia a los diferentes casos de investigación sobre Google y sus políticas de privacidad se explica que en los últimos meses existe una mayor colaboración entre las distintas DPAs en su objetivo de multar a Google por unificar la Política de Privacidad de todos sus productos a principios de 2012. Pero un dato importante: si sumamos todas las posibles multas que podrían llegarle a Google de todas las agencias por este motivo, la cantidad a pagar no llegaría a los 3 millones de euros en total. Y todo indica que a Google le seguirían saliendo las cuentas incluso pagando esa cantidad si a cambio tiene la capacidad de integrar mejor todos sus productos. Dicho de otra forma, si los abogados de Google evalúan los riesgos de ser multados y las cantidades que tendrían que pagar, el gigante de los buscadores seguirá adelante con su estrategia.

La infografía está está estructurada en 4 bloques de información:
  1. un cronograma desde 1890 hasta la actualidad en el que se identifican los principales hitos en la evolución de la legislación sobre la protección de datos y las fechas de creación de las 23 DPAs objeto de este estudio. Quedan fuera del estudio Alemania porque no tienen un informe que unifique las distintas prácticas y datos de sus 16 landers; Austria, Croacia y Lituania (en estos dos últimos casos no hay información disponible).
  2. un análisis de las fuentes de financiación de las DPAs analizadas para conocer cuál es su coste/beneficio para la sociedad;
  3. un estudio de su actividad para entender cómo utilizan esa financiación y la respuesta que dan a las quejas y denuncias de los usuarios; 
  4. un último bloque con otros datos significativos que merecían ser reseñados:
  • número de sanciones por país (España a la cabeza con 572, seguida por Portugal con poco más de 200);
  • ingresos por multas por país (España a la cabeza de nuevo con 19.500.000 de euros, seguida por Reino Unido con 3.120.000 de euros);
  • máximas sanciones posibles por país (España y Reino Unido a la cabeza con máximas 600.000€ y República Checa con la máxima sanción mínima – 204.000€).
Sin embargo, frente a la visión crítica desde los poderes públicos hacia las prácticas de Google (y otras empresas de internet), ésta responde asegurando que son más bien los gobiernos quienes ponen en peligro en mayor medida la privacidad de los ciudadanos y su derecho a disfrutar de un internet libre de censura y espionaje.

Google Actúa

Esta campaña de Google afirma: un mundo libre y abierto depende de una Web libre y abierta, y exige libertad de participación, libertad de expresión y protección frente a intrusiones injustificadas.

Haciendo clic en la imagen accedes a la página que Google ha creado para la campaña.



El día que nos defendimos

Finalmente añado que el próximo 11 de febrero se celebra el Día contra la Vigilancia Masiva y en recuerdo de Aaron Swartz. Organizado por la Fundación Fronteras Eléctricas, se exige el fin de la vigilancia masiva de los gobiernos sobre las comunicaciones electrónicas y prepara una campaña con banners en diferentes webs, aunque en este caso más centrado en Estados Unidos. De nuevo clic en la imagen para acceder al sitio.



Marketing Positivo, Actualizado en: martes, enero 28, 2014