¿A que me refiero? ¿Qué es lo que me ha llamado la atención? Uno de tantos correos que recibimos que, siendo SPAM como la copa de un pino, nuestro anti-spam no lo detecta, porque parece venir de “buena gente” En este caso concreto el correo en cuestión, “pegado” tal cual, es el siguiente:

No soy un experto en la materia, aunque algo sé. Tal vez Fernando, nuestro Director de Consultoría, podría hacer alguna precisión al respecto, pero analizando el contenido del correo no puedo evitar sorprenderme en varias ocasiones. Se suponen que con este correo nos quieren vender asesoramiento en LOPD y, a mi juicio se permiten varias licencias importantes:

Evidentemente la conclusión es clara: NO TIENEN NI LA MENOR IDEA DE LO QUE ESTÁN HACIENDO, eso sí, lo que sea que hagan es “gratis”.

El pasado viernes recibí una propaganda exactamente igual, pero esta vez anunciaba a iBanesto. Enviada desde la misma dirección, la imagen que contenía apuntaba directamente a “http://www.netfilia.com/contenidos/redirect.html? img=1&contenido=11684&web=40426& id=hi4MOp9u5Wopw“, que es una redirección para “https://www.ibanestocambiodehipoteca.com/?idm=5uss-y8mj”. Es decir, Banesto.

Ambos correos contienen al pie una leyenda que dice lo siguiente:

Me sorprende que empresas de la talla y reputación de KIA y Banesto utilicen el envío de spam para captar clientes, pero aun me sorprende más que lo hagan a través de empresas que no conocen ni respetan —a pesar de lo que dicen— la LOPD. Supongo que alguien en KIA y en Banesto pensó que si el correo no lo mandan directamente ellos, no pasa nada. O quizá el responsable que gestionó, compró o encargó la campaña con Netfilia se dejó aconsejar, convencer, o directamente se desentendió de cómo la empresa de publicidad iba a tratar su marca. Mal hecho, en cualquier caso.

La cuestión, que no nos cansamos de repetir, es que Internet no es una fuente de acceso público, y por tanto no puede ser utilizada para recolectar correos a los que enviar publicidad. Estas son el tipo de cosas por las que en mi opinión la LOPD impone sanciones tan fuertes; no se trata de desproporcionalidad, sino de efecto disuasorio; de evitar que las empresas hagan el balance de lo que gano (clientes) y lo que pierdo (sanción de la LOPD). Ahora bien, el que decida saltarse las reglas, ignorarlas, u obviarlas, que se atenga a las consecuencias, porque como saben el desconocimiento de la ley no exime de su cumplimiento y a estas alturas de la película ya no vale hacerse el tonto.

La noticia recoge la aprobación en Finlandia de la conocida como “Ley Nokia”, debido a que fue esta empresa la que desde hace un par de años ha estado presionando al gobierno finés para que se modificara la ley de protección de las comunicaciones electrónicas, y que así una empresa u organismo público pudiese investigar el uso que del correo electrónico hacen sus empleados. El revuelo consiguiente es comprensible, tanto en un sentido como en otro, y es fácil encontrar opiniones que justifican la medida y otras que piden el boicot a la marca y que nadie se vuelva a comprar un Nokia en su vida…

En este país tenemos ya alguna sentencia del Tribunal Supremo que ha unificado doctrina al respecto, y que por un lado reconoce el derecho a la privacidad del trabajador en el uso de los recursos corporativos que una empresa pone a disposición de sus empleados, y admite un uso privado “racional” de los mismos, como no podía ser de otra forma. ¿O es que no puede uno/a llamar a su pareja con el teléfono de la oficina? Lo que ya no está tan claro es que lo hagas si tu pareja está en Buenos Aires pasando unos días de vacaciones y te tires 40 minutos hablando… de ahí lo de “racional”. Trasladen todo esto al uso del correo electrónico, el uso de Internet, el uso del PC que uno tiene asignado, etc.

Pero por otro lado, la sentencia reconoce el derecho del empleador, en consonancia con el artículo 20.3 del Estatuto de los Trabajadores, a controlar el uso que de dichos recursos hacen sus empleados, aunque con unas determinadas premisas:

• Que el ejercicio de esa potestad de vigilancia se lleve a cabo respetando la dignidad del trabajador y su intimidad, teniendo en cuenta que se debe tolerar el uso personal racional y moderado de los recursos corporativos.
• Que el empleador defina previamente las “reglas del juego”; es decir, qué se puede y qué no se puede hacer con ellos.
• Que informe de las medidas y herramientas de control y auditoría que se van a utilizar.

Y es ahí donde normalmente, por mi experiencia, las empresas fallan. Muchas veces se han definido las reglas de uso de esos medios, y se han implantado herramientas de filtrado de contenidos, pero… ¿se ha informado de ello convenientemente a los empleados? Normalmente no. Como mucho, en algunos casos, esas normativas de uso, que raramente han sido aprobadas de manera formal por la dirección, que se han elaborado con la mejor de las intenciones desde el área TIC pero no se han consensuado con RRHH, y que están perdidas en algún apartado escondido de la intranet corporativa, nunca llegan a sus destinatarios (sólo en extraños casos en los que el empleado acaba aterrizando por allí y las lee, si es que está muy aburrido).

Sólo cuando detectan que se están produciendo más accesos a Facebook que a la intranet corporativa, o cuando el acceso a determinados sitios web ha propagado por la red corporativa algún tipo de malware es cuando se pone el grito en el cielo y se pretenden tomar medidas incluso disciplinarias, pudiendo incurrir en situaciones que, por no haber hecho las cosas bien, podrían provocar que —si me permiten la expresión— el tiro les acabe saliendo por la culata.

Como tantas otras cosas, es un tema cultural. Tiene que existir un acuerdo y un compromiso entre las partes (empleador y empleados) que contemple el uso personal de los recursos corporativos, pero que a la vez imponga ciertas condiciones a su uso. ¿Por qué no se incluye en el manual de acogida de los nuevos empleados esas normativas, como sí se hace por ejemplo con la normativa relacionada con Prevención de Riesgos Laborales?

La motivación de Nokia como empresa impulsando la aprobación de esa modificación legal en Finlandia no es poder cotillear el correo de sus empleados para “marujear”, sino que responde a haber sufrido varios presuntos casos de espionaje industrial aparentemente relacionados con la fuga de información confidencial a través del correo electrónico (y además, la modificación legal no permite acceder al contenido de los correos, sino tan solo a su remitente, destinatarios, tipo y tamaño de los ficheros anexados).

Porque no nos engañemos, que todos hemos sido cocineros antes que frailes. ¿O es que nadie se ha llevado alguna vez, digamos… “documentación de trabajo” de alguna empresa en la que trabajó? Lo que entronca con el uso de los dispositivos tipo USB, el acceso a los webmail, etc., pero eso ya sería tema para otro post.

Recientemente, en el edificio donde viven unos familiares aparecía publicado junto al ascensor un listado con los propietarios de aquellos pisos que debían dinero a la comunidad, indicando el nombre, los apellidos y la cantidad de dinero a deber. La pregunta que me plantearon es si esos datos podían publicarse de esa manera o estaba prohibido por la LOPD. Mi respuesta inmediata fue, como en casi todos los casos que me plantean una consulta sobre seguridad legal, “depende”.

Normalmente, las consultas planteadas tienen un contexto, el cual resulta fundamental para analizar la consulta, y de esta forma poder plantear la respuesta más acertada. Cabe tener en cuenta que estamos interpretando una Ley, que en muchos casos, establece unas pautas subjetivas que dependen de varios factores de acuerdo a cada situación.

Volviendo al tema planteado, en cuanto al tablón de anuncios con los impagos de la comunidad (con nombres y apellidos de los “morosos”), parece claro que se trata de una cesión de datos. La comunidad de propietarios, como responsable del tratamiento, está publicitando esos datos personales, de manera que cualquiera que pase por delante de ese tablón de anuncios, desde el vecino del primero, la amiga de la hija de la vecina del sexto, hasta el personal de la compañía eléctrica que va a realizar una lectura de los contadores, pasando por la persona encargada de la limpieza de la escalera, todos ellos, pueden saber qué propietarios deben dinero a la comunidad.

Parece incuestionable que se trata de una cesión de datos —me planteé yo— por lo que sería necesario el consentimiento por parte de cada uno de los propietarios para la publicación de dichos datos. Hasta ahí bien. Pero… si se le va a pedir el consentimiento a la gente para aparecer en un listado como “moroso”, ¿quién va a dar su consentimiento para aparecer en esta lista? La cosa empieza a oler mal, pero mantengo mi posición inicial de que, desde el punto de vista de la LOPD, se trata de una cesión y la finalidad está claro que es poner al corriente al resto de propietarios sobre los impagos y los “morosos”. Por tanto, en un principio se me ocurre que habría que informar de dicha finalidad al propietario y obtener el consentimiento del mismo para poder efectuar la publicación de estos datos, pero tenemos el problema de que nadie daría su consentimiento porque a nadie le gusta aparecer en esa lista de impagos.

Tras darle unas cuantas vueltas al tema, la LOPD también nos dice que, respecto a la cesión de datos, el consentimiento exigido no será preciso cuando la cesión esté autorizada en otra ley. Y aquí encontré la solución a la consulta planteada. El artículo 16.2 de la Ley de Propiedad Horizontal establece “La convocatoria contendrá una relación de los propietarios que no estén al corriente en el pago de las deudas vencidas a la comunidad y advertirá de la privación del derecho de voto si se dan los supuestos previstos en el artículo 15.2“, lo cual hace necesario la cesión de dichos datos al resto de propietarios para su conocimiento previo a una reunión de la comunidad, pero únicamente a cada uno de los propietarios de la comunidad. Por tanto no sería correcto realizar el comunicado a través del tablón de anuncios de la comunidad, para que personas ajenas a la comunidad no pudieran acceder de una manera directa al listado de morosos de la comunidad. Bastaría, por ejemplo, enviando una circular informativa con el listado de impagos, en sobre cerrado, dirigida a cada uno de los propietarios de una vivienda de la comunidad.

Sin embargo, las empresas, por pequeñas que sean, realizan todos estos trámites obligatorios con el fin de conseguir los “papeles” que autoricen la apertura de su nuevo local. Al fin y al cabo, estaríamos hablando de cumplir con la normativa vigente.

No obstante, existe otra normativa que deben cumplir obligatoriamente la práctica totalidad de esas empresas, que como supondrán es la LOPD. Desde el punto de vista de la seguridad, no pretendo infravalorar las normativas pertenecientes a otros ámbitos distintos a la seguridad de la información, que estoy seguro contribuyen a proteger la integridad de las personas que ocupan un local, como puede ser el Reglamento Electrótécnico para Baja Tensión. Tampoco es mi intención promover que el ayuntamiento de una determinada localidad solicite el cumplimiento de la LOPD para otorgar una licencia de actividad de un local, lo que supondría un desembolso económico aún mayor para la empresa (en caso de que subcontrate el servicio).

Sin embargo, y esto sí que es algo que creo necesario, aún son muchas las empresas que desconocen la LOPD —o la conocen “de oídas”, con ideas preconcebidas, erróneas y confusas— precisamente por falta de iniciativas de los organismos públicos —entre ellos la AEPD, a pesar de la jornada de ayer—, que deberían promover mediante publicidad y propaganda el cumplimiento de una Ley obligatoria para todas las empresas (no importa su tamaño) que traten datos de carácter personal.

Por último, comentarles que la AEPD ha publicado recientemente una Guía sobre Videovigilancia, que explica y cubre la mayor parte de las dudas de un sistema que cada vez encontramos en más lugares públicos y privados, y que con toda seguridad le resultará útil a muchos de ustedes.

Espero que este documento sirva para que la tienda de ropa de debajo de mi casa sustituya el cartel que reza “¡Sonría, le estamos grabando!” por un cartel más… “normalizado”.

El primero de ellos, aunque les parezca obvio, es pensar que los datos son de la empresa. Los datos de carácter personal son, como indica su nombre, de la persona. Es decir, suyos, de ustedes. Usted, y sólo usted, es el propietario de sus datos personales; para bien o para mal, le pertenecen, y excepto en algunas cuestiones puntuales, tiene el derecho de decidir qué se hace con ellos. A pesar de lo obvio que esto parece, muchos ciudadanos todavía no son conscientes de este hecho, y muchas empresas siguen considerando los datos que gestionan como propios. No lo olviden. Sus datos son suyos.

El segundo de los errores está relacionado con los objetivos de la LOPD, aspecto que el entorno empresarial pervierte consciente o inconscientemente. Entre otros, el cumplimiento de la LOPD por parte de una empresa busca a) garantizar el adecuado tratamiento de los datos personales custodiados, y b) asegurar el cumplimiento de la legislación aplicable, con objeto de evitar las posibles sanciones de la AEPD. ¿Cuál creen ustedes que va primero? ¿Cuál creen ustedes que las empresas consideran como el primero?

Para acabar, más allá de regulaciones y leyes, hay un tema vital que es la concienciación de los ciudadanos respecto de sus datos y de los de otros. Cualquier persona que gestiona datos de otras personas debe entender que tratar datos correctamente es más que una obligación legal; es su pequeña aportación al ejercicio de un derecho constitucional, su participación en la defensa de los derechos no sólo propios sino también de los de sus conciudadanos. Es, de alguna forma, la aplicación de ese lema que dice aquello de “No hagas a los demás lo que no quieres que te hagan a ti”.

Después de un punto y aparte, le invitamos a asistir a la Jornada gratuita sobre Seguridad Informática organizada por el Instituto Tecnológico de Informática de la Universidad Politécnica de Valencia, titulada “Seguridad y Fiabilidad Informática Factor Clave para el Crecimiento de las Empresas“, que tendrá lugar en la el próximo día 5 de febrero por la mañana y en la que S2 Grupo participará a través de nuestro compañero Antonio Villalón, quien dará una ponencia sobre la gestión de las incidencias de seguridad. Esta y mucha más información la encontrarán en la página de la jornada. Le esperamos; al fin y al cabo, piense que el café es gratis.

La semana pasada estuve de vacaciones, y me perdí la entrada de Enrique Dans insistiendo, otra vez, en la conveniencia de gestionar el correo corporativo a través de Google Apps Premium Edition. Bueno, en realidad no me la perdí, pero intenté mantenerme alejado del tema, al menos hasta mi vuelta.

Poco después, el abogado Javier Mestre del Bufete Almeida publicaba un artículo en elmundo.es titulado “El cuento de la lechera 2.0“, poniendo en tela de juicio la conveniencia legal de utilizar los servicios de Google Apps Premium Edition para cuestiones corporativas, en algo que parece casi una respuesta personalizada dirigida a Enrique Dans (”un experto asesor en nuevas tecnologías, de esos que van siempre a la última rodeado de ‘gadgets’ por todos lados”, Javier Mestre dixit). Como respuesta, Carlos Gracia, Director de Google Enterprise España y Portugal, replica con un artículo titulado “Esto no es un cuento 2.0“, y Enrique Dans remata la faena con un artículo en el que critica desde la ignorancia el enfoque de Javier Mestre y respalda los prácticamente inexistentes argumentos proporcionados por el portavoz de Google, casi en calidad del comercial del gigante norteamericano.

Primero de todo decir que muchos artículos que leo en esta línea, y sobre todo sus comentarios, emanan un ligero tufillo a “autogestión” mal entendida, si me dejan expresarlo de esa manera. Da la impresión de que el entorno corporativo es ese en el que la decisión del empleado sobre qué herramientas resultan más o menos productivas (o cómodas) para sus tareas diarias tiene prioridad sobre las decisiones de los departamentos de IT, o las propias normativas y políticas de seguridad implantadas y respaldadas por la dirección. Es, en cierto modo, como si de repente los empleados de una fábrica se negasen a adoptar las medidas obligatorias implantadas por el área de prevención de riesgos laborales, argumentando que son un capricho de la empresa, que les resultan incómodas y que no sirven de nada.

Mi pasado eminentemente técnico me obliga además a poner en tela de juicio la crítica a los servicios de IT corporativos que esgrime constantemente Enrique Dans. Si uno tuviese que creer todo lo que lee, pensaría que la gestión de los sistemas corporativos (incluido el correo electrónico) en la mayoría de empresas es un caos total, y que las caídas y pérdidas de datos se producen día sí, día también. Y si bien el uptime de los servidores en muchas empresas no es del 99,9%, simplemente por una cuestión de mantenimiento rutinario (actualizaciones, mejoras, reinicios, etc.), hay que tener en cuenta que en general, pocas empresas requieren un uptime de esas características si las intervenciones se planifican fuera de horario, y sobre todo en relación con el e-mail. Aún así, mi opinión ha sido siempre que la gestión de los servicios críticos de la compañía en servidores propios debe responder tanto a aspectos de legalidad o eficiencia, como de confidencialidad y control sobre la propia información corporativa, tal y como hemos reflejado en numerosas entradas anteriores. En cualquier caso, el resto de la entrada tiene un tono más “legal” que otra cosa, sin que ello menoscabe lo ya dicho.

Pasando a los artículos, lo cierto es que coincido con algunos comentaristas en que el artículo de Javier Mestre es quizá algo apologético en algunos puntos, aunque no le falta razón. Aunque algunos lectores apuntan a un tono irónico en el artículo de Javier Mestre, no creo que quepa lugar para ello en un periódico de tirada nacional y con un público tan general. Sí es cierto, no obstante, que el contenido quizá intente poner de relieve las grandes diferencias entre las velocidades del mundo tecnológico y el legal. Pero no se preocupen, que los jueces ya están en ello…

Vayamos primero sobre lo que comenta de la CMT. Hay que destacar primero que, si no estoy equivocado, la CMT no actúa de oficio, sino por interposición de denuncias de terceros. Segundo, la CMT no intervendrá siempre que la empresa utilice Google Apps Premium Edition (o cualquier otro operador) para correo propio, pero sí podría hacerlo si utiliza éste para la prestación de servicios de correo electrónico a terceros. En ese caso, tanto Google como la empresa deberían registrarse en el Registro de operadores de redes y servicios de comunicaciones electrónicas para servicios de correo electrónico, y dudo mucho que Google acceda a ello; en este caso, Telefónica y otros operadores nacionales sí están inscritos, por lo que en ciertas condiciones, no aplica la comparación que indica Borja Prieto entre unos y otros operadores. Al respecto, éste apunta además que “ni la CMT ni la APD van a ir a por una PYME por tener cuentas de correo electrónico en Google”, pero a la luz de algunas noticias recientes, este aspecto no parece que esté tan claro. Porque aunque la CMT no actúe de oficio, no hace mucho la CMT abrió un expediente sancionador a empresas proveedoras de correo electrónico, a raíz de una denuncia de una competidora que sí pagaba las pertinentes tasas. Así que para resumir, ni sí ni no. Utilice Google Apps Premium Edition, si quiere, para su propio correo electrónico, pero sepa que si proporciona servicios de e-mail a terceros a través de Google, podría tener algún problema; valore las ventajas e inconvenientes, el riesgo, y decida.

Respecto a la LOPD, se me ocurren algunas cosas más que decir. Primero, aunque Borja Prieto pone en duda la aplicación de la LOPD en el caso de Google Apps Premium Edition, citando el artículo 2.1 de ésta, “�?mbito de aplicación”:

hay que tener en cuenta que en el caso de una empresa X con domicilio social en España y que gestiona los datos de sus empleados, el tratamiento se lleva a cabo en territorio español, independientemente de que exista un encargado del tratamiento que realice parte del tratamiento por cuenta del responsable en otro país. Por el contrario, la LOPD no es aplicable, por ejemplo, en referencia a los datos de las búsquedas que se realizan en Google; en este caso, el responsable del tratamiento es Google, y no aplica ninguna de las cláusulas anteriores.

De cualquier modo, cabe destacar que el correo electrónico no debe considerarse por sí sólo un tratamiento, sino que deberá formar parte de un tratamiento más amplio, que incluirá previsiblemente datos en soporte papel e informáticos que van más allá del correo electrónico. Por tanto, ni por unas ni por otras cabe decir que a los datos que se gestionan a través de Google Apps Premium Edition no les aplica la LOPD.

En segundo lugar, y a pesar de lo que indican algunos comentaristas de Enrique Dans, EEUU en ningún momento ha sido considerado como un país que proporcione un nivel de protección equiparable a la LOPD o la Directiva 95/46/CE, del Parlamento Europeo y del Consejo, de 24 de octubre de 1995.

Tercero, Google efectivamente está acogido al sistema de Puerto Seguro (Safe Harbour) establecido entre la Unión Europea y los EEUU, por el cual puede considerarse que las empresas estadounidenses acogidas a éste proporcionan un nivel de protección equivalente —en nuestro caso— a la LOPD. No obstante, tal y como apunta Emilio Aced [pdf] (Subdirector de Inspección de Datos y Tutela de los Derechos, Agencia de Protección de Datos de la Comunidad de Madrid):

lo que debe poner al menos parcialmente en cuarentena las declaraciones de Puerto Seguro realizadas tanto por Google como por terceros. Viendo la lista de empresas en la web del gobierno estadounidense, llama la atención la cláusula de exención de responsabilidad que figura como último punto:

Es decir: esto es lo que nos han dicho las empresas, pero no nos responsabilizamos de nada. No quieran saber qué pasaría en general si las inspecciones fiscales o de la LOPD las realizasen las propias empresas. Continuando, si acceden a la URL indicada, observarán que las empresas pueden delimitar los datos personales que entran en el ámbito del sistema de Puerto Seguro, de modo que el hecho de que una empresa esté acogida a dicho sistema no implica que toda su gestión de datos personales esté cubierta por el acuerdo.

Siguiendo con el mismo autor, aun diría más:

Por último, en una ponencia que no tiene desperdicio, este mismo autor apunta que:

Sin embargo, en los términos de servicio de Google Apps Premium Edition, se indica lo siguiente:

Esto no sólo debilita todavía más cualquier declaración de Puerto Seguro, al no especificar dónde exactamente se procesan los datos del cliente, sino que no le permite al cliente conocer dónde exactamente se gestionan sus datos, dentro de lo que podría ser una transferencia internacional de datos a un país sin las garantías adecuadas y sin ningún tipo de acuerdo similar al de Puerto Seguro.

Sin querer extenderme mucho más, el hecho de que una empresa cumpla el acuerdo de Puerto Seguro, con la validez que quieran darle a éste después de lo indicado arriba, únicamente indica que el tratamiento no debe considerarse como una transferencia internacional de datos para la que haya que obtener la autorización previa del Director de la Agencia de Protección de Datos. Sin embargo, ello no exime a la empresa del resto de obligaciones contempladas por la LOPD o el RDLOPD. Entre otras, podemos destacar el artículo 12.2, segundo párrafo:

aspectos que no se encuentran en los términos de servicio anteriormente indicados. Por último, y aunque hay más que rascar, me gustaría destacar el artículo 82.2 del RDLOPD, de cuyo cumplimiento y aplicación no es necesario hacer muchos comentarios:

En definitiva, sin entrar más al trapo y tal y como se ha expuesto, no creo que Google Apps Premier Edition esté legalmente libre de problemas para su uso en entornos corporativos, a pesar de Enrique Dans, y creo que esa es principalmente la razón de que la respuesta de Google haya sido tan comedida, vaga y poco concreta. Ahora bien, pasando por alto el hecho de que los datos de carácter personal que gestiona una empresa son propiedad de sus titulares y no de la organización, y que por tanto no está moralmente autorizada a hacer “lo que le de la gana”, cada empresa debe valorar los inconvenientes y ventajas de las distintas alternativas, e implantar las soluciones que considere adecuadas para su caso particular.

No se trata de judicializar la tecnología ni de que las leyes supongan un inhibidor de progreso o desarrollo. Se trata del derecho fundamental que tienen los ciudadanos a la protección de sus datos personales, tal y como se recoge en varias constituciones y en la Carta de los Derechos Fundamentales de la Unión Europea.

Hace ya demasiado tiempo, recordarán que planteamos el problema de Piruletas de Motilla del Palancar. Resumiendo, Piruletas es una empresa que utiliza los servicios de la empresa Bolsa de Trabajo, (BdT) cuya actividad es un portal web de selección de personal. Cuando un candidato ve una oferta de Piruletas, se apunta a ella y Piruletas es informada de ello. El problema es que BdT no permite que Piruletas informe al candidato de sus derechos respecto de dicha cesión cuando se le informa de que se ha apuntado a la oferta, por lo que el candidato sabe que sus datos son cedidos pero no cómo y frente a quién exactamente ejercer sus derechos.

A lo largo de los comentarios que hemos mantenido Javier Cao, Edgard (inspirador del caso) y un servidor, han quedado evidenciadas algunas lagunas en el procedimiento de actuación de BdT. Al parecer, aunque el candidato conoce el nombre de la empresa ofertante, BdT no permite que tras la inscripción, Piruletas le conteste con los datos de contacto para el ejercicio de derechos ARCO (asumo que Piruletas no conoce los datos de contacto “externos” del candidato, ya que esto facilitaría mucho las cosas); esto no tiene como finalidad (creo) que BdT siga actuando de intermediaria durante todo el proceso. Continuando las suposiciones, se me ocurre que pueden existir empresas que se quieren mantener anónimas hasta el final del proceso, en el cual ellas mismas se ponen en contacto con los “finalistas”, o que como sugería Javier, el negocio de BdT se centre en la gestión, filtrado y envío inicial del lote de candidatos, tras lo cual la empresa (en este caso Piruletas), puede ponerse en contacto con ellos.

Dejando ya el campo de las suposiciones, y pasando a la solución, existe por supuesto una solución inmediata que es el cese de la colaboración con la empresa, aunque quiero considerar esa opción como el último recurso a efectos del presente caso. Por supuesto, en el mundo real ™, cuando se valoran ofertas de diferentes proveedores, uno de los criterios para escoger no es otro que el cumplimiento legal. Otra solución aportada por Javier es la de que BdT anonimice los datos de los candidatos, ya que en un proceso de selección, y excepto cuando la presencia personal tiene un papel importante, los datos identificativos carecen de sentido. Esta solución, aunque es buena, obligaria a BdT a cambiar su forma de trabajar, algo a lo que no creemos que BdT sea especialmente receptiva.

En nuestra opinión el problema reside en su mayoría en la actuación de BdT, que realiza una cesión cuyo destinatario no está definido. Por parte de Piruletas, es cierto que accede a datos identificativos de personas a quienes no puede informar de sus derechos durante el tiempo que dura el proceso de selección (entiendo que no hay manera de contactar con ellos), pero no vemos mayor problema. Respecto a aquellos que rechaza, no está obligado a comunicarles sus derechos ya que no va a tratar sus datos (de forma similar a un curriculum que se destruye nada más ser recibido. Aún así, si considerasemos que existe tratamiento, éste puede verse como extremadamente marginal para ser significativo). Respecto a los que acepta para una fase posterior del proceso de selección, es obvio que tarde o temprano tendrá que conocer sus datos de contacto, que es cuando deberá informarles de sus derechos. Quizá hilando muy fino podríamos ver una no conformidad “temporal”, pero en cualquier caso, creo que no supone un gran problema.

¿Qué os parece?

Andrés Cremallera fundó Plásticos Cremallera la primavera de 1987. Gracias a varios contratos con la administración pública y a una impecable gestión, pasó de tres empleados a trescientos cincuenta diez años después, momento en el que el crecimiento de la compañía se estabilizó. A partir de 1991, y por requerimientos legales y del negocio, se decidió contratar una empresa de atención médica (Atmedsa) que prestase servicios de asistencia médica en las oficinas de la planta. Dicha atención médica se facilita actualmente por parte de un médico “residente”, en una sala anexa al despacho de Antonio Botón, Responsable del Departamento de Prevención de Riesgos Laborales. Aunque en un principio para el almacenamiento de información había sólo un único archivador, en la actualidad dispone de cinco archivadores con llave (copias de las cuales están en posesión de Antonio Botón), y un ordenador personal propiedad de Cremallera, ubicado lógicamente en el segmento de usuarios, y cuya copia de seguridad diaria (incremental) y semanal (total) están incluidas en las políticas de backup de la compañía. El médico utiliza dicho equipo para almacenar la información habitual (minusvalías, alergias, analíticas) en ficheros ofimáticos de rápido acceso, y para conectar, por medio de la salida a Internet de Plásticos Cremallera, a la aplicación de Atmedsa para la gestión de historiales clínicos.

Ayer, primer día de la primera auditoría del reglamento a la que la empresa se somete, Antonio Botón se dió cuenta de cómo la cara del auditor cambiaba a medida que le describía el funcionamiento del servicio médico, así que por miedo a haber metido “la pata hasta el fondo”, llamó a un amigo suyo que se dedica a “eso” de la LOPD. ¿Qué le dijo éste?

–

Actualización 19/12, 12h: Dani, de Eddasec, plantea una solución en esta entrada de su blog.

¿Por qué se producen tantos incidentes graves en la gestión de datos personales que hacen las entidades públicas o privadas? Hoy el Berliner Landesbank, pero no hace mucho fue la Hacienda británica ¡por segunda, tercera vez! la que perdió datos personales de los ciudadanos.

No sé si es por la forma de redactar del periodista de El País, pero no da la impresión de que a nadie le haya extrañado demasiado ni se haya rasgado las vestiduras. Estas noticias están dejando de ser noticia. Voy a hacer una predicción: cada vez vamos a enterarnos de casos más graves, en los que se pierda información más sensible o de más millones de usuarios. ¿Hasta cuándo?

¿Nos podemos imaginar que se hubiera perdido dinero, contenido de las cajas de seguridad o documentación confidencial del banco? Seguro que alguien acabaría en la calle. O secretos militares… menudo escándalo. A algún ministro le costaría el cargo.

¿Cuál es la diferencia? En mi opinión, hay tres: (1) se trata de información de los ciudadanos, que no perjudica directamente a los depositarios de la misma, sino a los propios ciudadanos; (2) el perjuicio es difuso, no es que le hayan robado nada a nadie, sino que podrían robarle a algunos de los ciudadanos, si no toman las medidas adecuadas; y (3) la información “extraviada” no la maneja un grupo reducido de personas que entienden su valor, sino mucha gente dentro de varias organizaciones: el banco, la empresa subcontratada para la gestión de los cómputos bancarios (¿?), la delegación… es tan sencillo copiarse una base de datos o una hoja de cálculo…

En resumen, información que manejan muchas personas que no valoran adecuadamente su importancia, que la manejan de manera rutinaria, sino con indeferencia.

Hace falta formación, hacen falta procedimientos y hacen falta mecanismos de seguridad adecuados. Y mucha, mucha concienciación.

El caso es que el RDLOPD, creo que sin mala intención sino más bien todo lo contrario, nos ha aclarado ciertas cosas, pero otras se han vuelto a quedar en el tintero e, incluso, han surgido nuevas dudas debido a modificaciones efectuadas respecto al RMS. Un ejemplo es la intención de considerar la aplicación de medidas de seguridad de nivel básico en ciertos ficheros con datos de salud. Me refiero al fichero habitualmente llamado “PERSONAL”, “GESTIÓN DE NÓMINAS”, “RRHH” o como queramos llamarle. Es decir, aquel que contiene datos de trabajadores para realizar la gestión de personal y cálculo de las nóminas.

Con el RDLOPD, este fichero que suele contener el grado de minusvalía pasaría a un nivel básico de protección, lo que se puede interpretar como una medida que ayude a las PYME a adaptarse a la LOPD de una manera más sencilla (ya que implica menos medidas de seguridad a implantar) y les genere un menor coste económico y funcional. Pero, teniendo en cuenta la resolución que les enlazo, ¿qué pasa con la aptitud de un trabajador a efectos de prevención de riesgos laborales o las obligaciones impuestas al empresario para indicar el motivo de una incapacidad laboral, datos incluidos en el mismo fichero? ¿Nivel alto o nivel básico? ¿Hoy básico, mañana alto y pasado ya veremos?

De momento, estos “bugs” están siendo solventados por la AEPD a base de dictámenes jurídicos, conferencias, etc., pero creo que la mejor opción hubiera sido incluirlo de manera clara y definitiva en el lugar donde debería figurar: el RDLOPD.