¿Proporcionalidad o desproporcionalidad?

Imagino que conocen ustedes la LOPD y las sanciones que conlleva su incumplimiento: de 600 a 600.000 euros o más, dependiendo de la severidad y el número de incumplimientos, ya que las sanciones son acumulativas; no es lo mismo tener una página web con los nombres y apellidos de tus empleados, que otra que incluya además información de discapacidad o afiliación sindical con todo lujo de detalles (el ejemplo es inventado). No se preocupen, no vengo a meterle miedo a nadie ni pretendo ser agorero. Vengo a hablar de la proporcionalidad o desproporcionalidad de tales sanciones, algo sobre lo que probablemente ya tengan ustedes formada una opinión.

Uno de los colaboradores habituales de S2 Grupo comenta en ocasiones, en relación con este tema, que mientras la muerte de un trabajador en accidente laboral puede “arreglarse” económicamente con cerca de 120.000 euros, por muy duro y frívolo que eso suene, un incumplimiento severo de la LOPD —o de su acompañante, el RMS— puede conllevar una sanción de varias veces esa cantidad, algo que en apariencia al menos carece de sentido. Personalmente, considero la comparación bastante apropiada, ya que por muy flagrante y grave que sea la exposición de tales datos (sin tener en cuenta que incluso en empresas relativamente concienciadas, no es muy difícil tener alguna no conformidad grave), la muerte de una persona la supera con creces.

No obstante, pienso que esta aparente desproporcionalidad en las sanciones contempladas por la LOPD viene motivada no tanto por las consecuencias que se generan de los incumplimientos detectados, sino de la necesidad de concienciar —casi por la fuerza— a las empresas de llevar a cabo una adecuada gestión de los datos de carácter personal. En otras palabras, una multa de 20.000 euros sería asumible por muchas empresas, mientras que una de 300.000 no lo es; se trata de que el riesgo, tomado como la probabilidad de que suceda un determinado evento en relación con el impacto que éste tiene sobre la organización, sea de una magnitud suficiente como para que deba ser tenido en cuenta. Y la manera más sencilla —y única de momento— de hacer esto es incrementar el impacto, puesto que la probabilidad de la que les hablaba viene de momento limitada por la carga de trabajo de la AEPD. No es un secreto, y si lo es, es un secreto a voces, que la Agencia se encuentra totalmente saturada de trabajo y sus intervenciones están motivadas principal, aunque no únicamente, por denuncias de particulares, más que por actuaciones de oficio.

Dejando al margen consideraciones presupuestarias en las que no voy a entrar y que conllevan a su vez otras relativas a la escasez de personal, pienso que es necesario tener en cuenta que a pesar de la importancia de las sanciones, es de suponer que la AEPD conoce el estado actual de la adaptación a la LOPD en las empresas de este país, y las consecuencias que inspecciones masivas podrían tener en el tejido empresarial. Miguel me apunta además que debe tomarse en cuenta como un factor adicional y de importancia que mientras con la muerte de un trabajador una empresa no obtiene ningún beneficio —o eso es de esperar—, con el trasiego de datos de carácter personal muchas empresas hacen el agosto, y no me refiero únicamente a un beneficio directo (léase venta de bases de datos) sino también indirecto (léase realización de campañas comerciales dirigidas). Esto es, sin duda, un punto a favor de la diferencia en el volumen de las multas que aplica la LOPD en relación con otras leyes.

Visto en perspectiva, y a la vista de lo que iba comentando, es cierto que el riesgo de recibir una multa desproporcionada es relativamente bajo para cualquier empresa que tenga un mínimo cuidado y atención a la Ley y a lo que hace (las cláusulas ARCO donde toca y gestionadas como toca, ficheros declarados, Documento de Seguridad, copias de seguridad, etc). Adoptando un planteamiento futurista, me pregunto qué sucedería dentro de unos años si la Agencia, provista de un cuerpo suficiente de inspectores, fuese capaz de abordar inspecciones sectoriales en masa; ¿no creen que esa combinación de impacto y probabilidad generaría, entonces sí, un riesgo totalmente desproporcionado en relación con la violación de otras leyes tanto o más importantes?