Los datos de la protección de datos

Acudiendo a las cifras recordemos que:
Por otro lado no hace falta ser un lince para saber que:
  • Falta ya poco para que la LOPD (con O de Orgánica, el máximo rango de una ley en este país) cumpla una década desde que entró en vigor.
  • Basta pasearse un rato por una calle céntrica de cualquier ciudad española para encontrar decenas de zonas videovigiladas que ni siquiera se han tomado la molestia de descargar el cartel que la AEPD pone a su disposición en la web.
  • La inmensa mayoría de las sanciones de la AEPD proceden de la tramitación de denuncias por parte de personas ajenas a la agencia (particulares, policías municipales, organismos de consumo, etc), es decir, la AEPD no realiza ninguna actividad de inspección sancionadora de oficio. De hecho, si fuera por ellos no habría más de una docena de sanciones al año.
Y sin embargo, según Pablo F Burgeño en un artículo titulado La Ley de Protección de Datos ahoga a las empresas españolas:
La desmedida severidad de la ley de protección de datos española está acabando con el músculo empresarial español.
El sector empresarial español sobrevive como puede, en un estado continuo de ansiedad, ante el temor de ser objeto y objetivo de la legislación en materia de privacidad más exigente del mundo. No sin motivo se afirma que somos los más afectados y castigados por sanciones de protección de datos, a pesar del elevado cumplimiento de la norma (elevado en términos comparativos).
El exceso de celo de la Agencia Española de Protección de Datos en la escrupulosa aplicación de la ley y, según dicen, cierto afán recaudatorio, han situado a la empresa española en una posición de desventaja innegable frente a sus competidoras europeas y mundiales.

Para cosas como estas los anglosajones inventaron su WTF? 

Alguien podría pensar que quizás el señor Burgueño es uno de esos ancianos abogados que viven encerrados en su oficina de marfil en la séptima planta del la sede central de alguna multinacional jurídica... pero no, como se puede ver en la foto del artículo es un tío joven y hasta tiene cuenta en Twitter (y yo le sigo desde hace tiempo) en la que se define como "Abogado y Geek".

Como muestra un botón: la pregunta 20 de la última entrevista con Artemi Rallo, director de la AEPD:
Buenos dias soy el CISO de una multinacional con sede en Barna, somos 9000 emplados en total. Mi situacion para hacer frente a los diferente cumplimientos y riesgos en la compañia son: 0 colaboradores y 0 presupuesto, ¿es consciente la agencia de la poca importancia que dan las empresas al tema del cumplimiento y la seguridad en general, ¿cómo puede invertirse la tendencia?
Quizás vivamos en universos paralelos, pero no veo yo el "estado continuo de ansiedad" al que alude Pablo F Burgueño.

Foto: Darwin Bell 
Marketing Positivo, Actualizado en: sábado, mayo 23, 2009

8 comentarios:

  1. Según Wikipedia los geeks suelen mantener códigos de conducta estrictos, centrados en la libertad de expresión y el respeto por los demás (?).
    Que alguien le explique al mencionado señor la filosofía que subyace tras la LOPD. Yo, en mi estado continuo de ansiedad, no puedo dedicarme a ello.

    ResponderEliminar
  2. Hola Jesús:

    A ver, que estamos mezclando churros con merinas.

    En primer lugar, te agradezco mucho que hayas sacado ese montón de cifras obtenidas del INE, INTECO, CIS, etc. Está muy bien, de verdad.

    En segundo lugar, quiero dejar claro que no es opinable el hecho de que la mayoría de los encuestados por el CIS estén preocupados por la protección de datos y que cerca del 80% de las PYMES no tengan hecho nada de protección de datos a pesar de que la ley (Orgánica) lleve casi 10 años en vigor; y a pesar de que antes de ella estuviera vigente la 5/92... Es una lástima que no haya aún suficiente concienciación y conocimiento sobre esta materia.

    Como bien dices, no soy abogado viejo, sino nacido en pleno desarrollo del entorno digital. Mi trabajo es mi hobby (Derecho y TICs) y las empresas a las que asesoro o bien son startups cuyo modelo de negocio se basa en el uso de las tecnologías para llegar al cliente final e interactuar con él online, o bien son negocios tradicionales que se han enterado tarde de que la LOPD existe.

    El problema práctico con el que nos encontramos es que el cumplimiento exhaustivo de la ley es cuanto menos complejo. Como sabes, no basta con registrar un fichero y redactar un documento de seguridad; es más, bastante más o muchísimo más complicado, según el tipo de dato tratado, la estructura de la empresa o su modelo de negocio.

    Ante esta dificultad, que convierte la ley en ocasiones en imposible de cumplir, las empresas asumen un riesgo por su posible futuro incumplimiento (que no pueden cubrir con un seguro, por cierto). Este riesgo es hasta 5 veces mayor si la empresa es española, en comparación con las del resto de países de la Unión Europea. Y aquí es donde encaja mi artículo, Jesús. Si nos movemos en un mercado único, sin fronteras, en el que rigen los principios de libre circulación de mercancías y prestación de servicios, en un espacio en el que cualquier empresa italiana, alemana, sueca o francesa puede operar desde sus respectivos países en España, donde en la práctica no importa otra cosa que las propias leyes del mercado y la minoración del riesgo, es del todo patente que la empresa que esté realmente preocupada por el cumplimiento de la ley esté en una situación de, cuanto menos, inquietud. Por tanto, cuando digo que la LOPD ahoga a las empresas españolas, no me refiero a que les cueste mucho dinero, sino que o bien no pueden desarrollar modelos de negocio que sí podrían fuera de España, o bien su posición de riesgo frente a sus homólogas europeas es hasta 5 veces peor, (¡cuando no tendría por qué ser así!), situándolas en una clara posición de desventaja competitiva. ["Que se ciñan a la ley", me dirás... Pero, como comprenderas, en un mundo globalizado en el que Internet ha roto las reglas de juego, las normas utópicas encajan mal y los modelos de negocio innovadores y basados en la viralidad, las relaciones sociales, las estructuras complejas de servidores en varios países extracomunitarios, etc. no pueden verse detenidos por una ley sobre-proteccionista, mientras el resto del mundo avanza ¿Soluciones? Limitar el alcance del negocio haciéndote menos competitivo o irse fuera de España].

    Por otro lado, no tengo ningún problema en reconocer la excelente labor de la AEPD tanto en su faceta comunicadora como en la inspectora y sancionadora. Quizá, la labor esté siendo demasiado excelente y llevada a cabo con excesivo celo; lo cual no deja de ser positivo porque significa que cumple, ayuda a cumplir y hace cumplir la ley a raja tabla. Pero también significa que éste se convierte en otro factor que, sumado a las cuantiosas sanciones que fija la ley, genera un poquito de inquietud en la empresa española.

    En definitiva, lo que yo digo es lo siguiente: el legislador español de finales del s. XX pudiendo haber favorecido a la empresa española fijando sanciones similares a las del resto de países de la UE y manteniendo las mismas obligaciones, decidió penalizarlas aumentando hasta en 5 veces dichas cuantías. Y aquí es donde sí se debe decir WTF!

    ResponderEliminar
  3. Pablo: gracias por una respuesta tan larga ¡gran aportación!

    Ante todo aclaremos que el asunto delicado es mezclar churrAs con merinas, lo cual produce confusión entre distintos tipos de ovejas. ChurrOs con merinas no hay problema, que yo sepa nadie ha intentado nunca untar una oveja en el café con leche xD

    Ya en serio tienes razón al señalar que partimos de enfoques distintos. De hecho estoy totalmente de acuerdo con tu

    planteamiento respecto a las diferentes legislaciones europeas y la limitación que esta circunstancia puede imponer a la libre circulación económica en el espacio común europeo. Tan de acuerdo que ya defendí algo parecido (Espacio Tecnológico Común, se me ocurrió llamarlo) en otro cruce de post que se produjo a raíz del famoso cuento 2.0 del Bufet Almeida:

    http://marketingpositivo.blogspot.com/2009/01/una-modesta-proposicin-sobre-las-leyes.html

    Seguro que la LOPD y su reglamento son muy mejorables, el problema es la legitimidad moral de exigir cambios en una ley quejándose de que es muy compleja de cumplir cuando resulta que la inmensa mayoría de quienes están obligados ni siquiera han cumplido un trámite sencillo, gratuito y online (dar de alta los ficheros).

    Cumplir hasta el último requisito de la LOPD puede ser verdaderamente muy complejo, al igual que todos sabemos que si un Guardia Civil agarra el Código de Circulación y lo repasa de arriba a abajo siempre nos encontrará algo, pero no tiene sentido quejarse de esta complejidad si uno conduce un coche sin carnet y sin seguro (vale que es un ejemplo un poco caricatura, pero creo que se entiende lo que quiero decir).

    Además insisto que la AEPD no tiene ningún celo en el cumplimiento, sólo reaccionan ante denuncias (como es su obligación de funcionarios, por otro lado). Y examinando estas se ve en el 99% de los casos no se castiga con multas el incumplimiento de requisitos "complejos", casi todas son por la falta de algo tan básico como es el consentimiento del afectado para el tratamiento de sus datos. De hecho esto es una consecuencia lógica de la falta de inspecciones: si el que denuncia es un particular ¿cómo podría saber si tienes en regla el Documento de Seguridad, si llevas registros de incidencias, si tienes firmados todos los contratos de tratamiento con terceros, etc? Lo que el afectado sabe es que le llega un mail, un fax o un SMS de alguien a quien no ha dado ningún consentimiento ni mantiene ninguna relación comercial... y entonces lo denuncia.

    En resumen:
    1) Empecemos por cumplir la ley, aunque sea lo más básico, y luego nos quejamos e intentamos cambiarla.
    2) Y sobre todo entendamos de una vez que los que se quejan en la encuesta del CIS son nuestros CLIENTES, y que los que denuncian son en muchos casos nuestros CLIENTES. Cumplamos escrupulosamente con el derecho a la intimidad y la privacidad de nuestros clientes y empleados y las denuncias y las sanciones disminuirán espectacularmente.
    3) Y finalmente volvamos a leer una y otra vez "Permission Marketing" de Seth Godin y entendamos ya definitivamente que cumplir la protección de datos no debería ser ni siqueira un requisito legal, sino una cuestión de calidad y de imagen ante nuestro mercado.

    ResponderEliminar
  4. No es por seguir con los cumplidos, pero siempre es un placer leer respuestas como esta que me has escrito. Gracias :)
    Veo que coincidimos en todo. Bueno... yo sí le atribuyo cierto celo a la conducta de la AEPD pero, repito, no me parece mal. Por lo demás, me alegro de ver que nuestras posturas acerca del asunto son muy similares.
    Incluso, te doy la razón con lo de los churros y las churras. Es lo típico que cuando lo escuchas siempre haces la broma de cambiar la palabra; y cuando lo tienes que decir, ya se te ha pegado y te traiciona el subconsciente ;) Pero no deja de quedar gracioso!

    ResponderEliminar
  5. Como casi siempre la verdad está en el centro ;)
    Los dos tenéis parte de razón. Está claro que la LOPD se cumple apenas a día de hoy, como es cierto que en España es más dura que en el resto de países comunitarios y eso no tiene ningún sentido.
    Pero vamos que el intercambio de posts me gustó, siempre se aprende algo de la confrontación de opiniones.

    ResponderEliminar
  6. No exageremos las dificultades, porque depende mucho del modelo del negocio.
    Una empresa pequeña con datos de nivel bajo lo tiene bastante sencillo.
    Otra más grande con datos de nivel alto y que trabaje básicamente en internet sí que tiene un tema serio, pero es lógico porque el riesgo para la privacidad también es muy alto. Recordemos el caso de la clínica que desveló en internet por un error con el emule los nombres de miles de mujeres que habían abortado legalmente. Hay temas muy serios alrededor de la LOPD

    ResponderEliminar
  7. Aun siendo cierto que el cumplimiento al 100% de la LOPD y el reglamento es una cuestión no trivial (aunque el nuevo reglamento ha simplificado mucho las cosas para gran parte de las empresas), la mayor parte de las sanciones impuestas por la AEPD no han llegado a entrar en aspectos técnicos, sino organizativos y muy superficiales, como Documento de seguridad, Responsable de Seguridad, divulgación indebida de datos, etc.

    Dicho de otra forma, podría considerarse que la LOPD está ahogando a las empresas si éstas estuviesen intentado cumplir el 100% de la LOPD/RDLOPD, pero lo cierto es que los niveles de cumplimiento no llegan ni al 10%. Visto así, no entiendo el ahogamiento...

    ResponderEliminar
  8. Manuel Benet: un excelente resumen, veo que estamos totalmente de acuerdo.

    Y ya que estamos, buena idea el usuario Twitter @openLOPD. Ya me hice follower.

    ResponderEliminar

Respetamos los comentarios de Anónimos, pero se agradece la firma.
Se anularán los comentarios que:
1. No tengan algún tipo de relación con la temática de la nota.
2. Tenga insultos al autor de la nota o a otros comentaristas.
3. Sean de un troll o un hoygan
4. Hagan spam.