La LOPD está (aún) muy «verde»

Ya lo dice el título: la LOPD está aún muy verde. Con esto no quiero decir que la LOPD o el RDLOPD necesiten cambios significativos, aunque sí, a pesar de la publicación del nuevo reglamento, siguen existiendo ciertas lagunas, indeterminaciones y ligeras contradicciones; no obstante, a eso ya nos tiene acostumbrados desde hace tiempo la Agencia. Por decirlo de alguna forma, es parte de su idiosincrasia; tiene sus cosas buenas y sus cosas malas, pero la aceptamos con cariño y resignación.

Lo que quiero decir es que casi 9 años después de la publicación de la Ley Orgánica de Protección de Datos (vamos a dejarlo en que la LORTAD, cuyo reglamento salió siete años más tarde de su publicación y fue utilizado como el reglamento de facto de una ley que no tenía reglamento, no cuenta) la adaptación de las empresas a ella es cuando menos relativa. Por supuesto, es significativo el incremento de regularizaciones y adaptaciones en los últimos años, que se reflejan al menos en el aumento del número de ficheros declarados ante el registro general de la AEPD (por algo se empieza). Tampoco hay que dejar de lado el aspecto «motivador» que supone la creciente actividad inspeccionadora y sancionadora de la Agencia; como una vez lo expresó un cliente, la decisión de adaptar o no una empresa a la LOPD puede valorarse en términos de riesgo, y es evidente que la probabilidad de sufrir una inspección ha aumentado en los últimos tiempos, bien sea por inspecciones de oficio, o mayor concienciamiento de la gente, recelosa de sus datos.

No obstante, aunque desconozco cuál es el período de «asimilación social» en el caso de otras leyes, mi experiencia me indica que en general, siguen existiendo bastantes aspectos que exige la ley que se pasan por alto, tanto a nivel de la ley como del reglamento: uso de cifrado, autorizaciones del Responsable del Fichero, registro de accesos en aplicaciones, derecho de información a empleados, firma de contratos con proveedores, envío de publicidad, etc. Muchos de estos puntos se perciben hoy en día como excesivos, y la empresa ni siquiera se llega a plantear su implantación; siguen habiendo empresas (e incluso proveedores con no poca gestión de datos de carácter personal) para las que, sin ningún tipo de mala intención, un contrato de acceso a datos o una cláusula de confidencialidad les parece un innecesario y sobre todo excesivo artificio legal (en la vertiente peyorativa del término).

Pero uno de los puntos en los que aún se percibe con evidente facilidad la falta de autoridad que tiene aún la «invocación» de la LOPD es a la hora de aplicarla a filiales españolas de grupos multinacionales, donde muchas de las políticas, aplicaciones y proveedores emanan y son escogidos por la empresa matriz, sin que las delegaciones nacionales tengan mucho que decir al respecto. A lo largo de mi experiencia profesional he podido comprobar que medidas propuestas como la firma de contratos de confidencialidad o contratos de acceso a datos con determinados proveedores suele ser considerado (si es que llega a considerarse factible) como algo «difícil», incluso teniendo en cuenta que el ámbito principal de la mayoría de dichas organizaciones es la Unión Europea. Tampoco hay que perder de vista que la LOPD no entiende de grupos de empresas, por lo que si la empresa matriz presta servicios horizontales a la delegación española, deberá firmar un contrato de prestación de servicios y acceso a datos; imaginen por un momento las dificultades de llevar a cabo esa idea o siquiera plantearla en muchos casos. Por último, aunque podría sacar más ejemplos, en muchas ocasiones las aplicaciones escogidas por la matriz para su utilización a nivel global no cumplen las exigencias de la LOPD, una de las leyes más estrictas de la Unión Europea en este ámbito; como es lógico las cosas son como son, y hay habitualmente mucho que rascar al respecto.

Por comparación, mientras que ninguna filial nacional de una gran corporación multinacional se permitiría cometer irregularidades en el ámbito fiscal, en el caso de la LOPD algunos aspectos no insignificantes quedan a menudo abandonados, por falta de autoridad y competencias en unos casos (contratos firmados al más alto nivel, servicios horizontales prestados por la matriz, o aplicaciones globales), y por falta de «interés» o conocimiento en otros: es lógico que la matriz no se preocupe de todos los aspectos legislativos de cada una de sus delegaciones nacionales. Así que en definitiva, uno por el otro la casa sin barrer.

Estoy seguro de que muchas de estas cuestiones se resolverán a medida que la LOPD y sus respectivas leyes europeas vayan cogiendo madurez y los usuarios (clientes, proveedores, personal propio, etc.) vayan adquiriendo conocimiento y conciencia de sus derechos y obligaciones, pero a día de hoy, la complejidad y restricciones impuestas por la LOPD plantea un reto a superar en muchas organizaciones multinacionales con presencia nacional. Afortunadamente, en los casos que he visto, un reto que aceptan gustosas.

Comments

  1. Muy acertado tu comentario. La LOPD está todavía en fase de semilla, ni siquiera asoma el tallo. Y si bien es cierto que la reglamentación ha sido ambigua y cambiante, la parte jurídica es estática desde el año 1999 y suele ser el motivo de la mayor parte de las sanciones. Nuestra empresa viene publicando estadísticas respecto a qué artículos causan el mayor volúmen de infracciones segmentando entre administraciones públicas y privadas y los datos aportan mucha información. Por resumin, en Administraciones Públicas es la falta del deber de secreto y la seguridad de los datos (Art. 9 y 10) lo que se lleva la palma. En empresas privadas suele ser la calidad de los datos o el no atender los derechos los principales motivos de incumplimiento.
    La reflexión final es que quizás, la regulación en el tratamiento de datos no deba tratarse como un requisito jurídico, sino como la adecuación de los procesos productivos de transformación de información a una normativa que establece nuevos procesos: registro de entrada de datos, verificación de la calidad, atención de derechos ARCO.
    Son pocas las empresas que están basando la solución en un enfoque de procesos, estableciendo diferentes actividades para las fases de entrada de información, tratamiento y salida a terceros o cesión a externos. En fin, esperemos que el tiempo y la cultura de los afectados haga mejorar las cosas: o bien por miedo a sanción o bien por «responsablidad corporativa».

  2. Estoy totalmente de acuerdo con tu artículo, y en mi opinión, los problemas de implentar esta ley en las empresas vienen de la falta de cultura legal que tenemos la mayoría de ciudadanos, lo cual en otros casos solo nos afecta cuando por circunstancias de la vida, nos enfrentamos a un juicio o sus actos preliminares, (un accidente de tráfico, un problema de comunidad de vecinos, un problema laboral, etc) y en cambio, la LOPD nos afecta todos los días en cientos de circunstancias, a las que no prestamos atención y de ello es de lo que se aprovechan muchos responsables de ficheros.
    En cuanto a las multinacionales, lo que dices es cierto, pero tambien es verdad que está cambiando poco a poco. El problema en muchos casos es el coste de modificar algo (un paquete ERP por ejemplo), para todo el mundo, cuando el requerimiento es local en uno o dos paises (léase logs de acceso a datos sensibles, por ejemplo). Otras veces es una cuestion de presupuestos y prioridades y en fin, dinero y recursos que es lo que menos sobra en general.