sábado, 7 de mayo de 2011

Los puntos sobre las "íes"

Hoy, he leído una frase que decía algo así como que los datos de minusvalía continúan siendo datos de nivel alto aunque en determinadas circunstancias se les aplique el nivel básico. Señores: Lo que es de nivel alto es el fichero o el tratamiento. El dato, no.

Un dato de minusvalía es un dato de salud, y como consecuencia de ello, un dato especialmente protegido, según lo dispuesto en el art. 7 de la LOPD (que no se refiere a medidas de seguridad, sino a la necesidad de obtención de un consentimiento reforzado para su tratamiento).

Ya que estamos hablando de medidas de seguridad, ¿no están Ustedes cansados de que algunos limiten el cumplimiento de la LOPD a la implantación de medidas de seguridad? Lo que más me molesta es que asusten al responsable del fichero diciéndole eso de “pues si viene la Agencia y ve que no tienes tal cosa, te sanciona”.

Les invito a hacer conmigo la siguiente reflexión: ¿A cuento de qué va a ir la Agencia a una PYME que se dedica al enlatado de pimientos en Don Benito a comprobar si cambian las contraseñas de acceso al ordenador de la administrativa? Para que la Agencia llegue a ese extremo se tendría que dar alguna de estas circunstancias:

- Que decida hacer una inspección de oficio al sector del enlatado de pimientos. Generalmente las inspecciones de oficio dan lugar a un documento de recomendaciones y no se abren procedimientos sancionadores a las empresas inspeccionadas.

- Que alguien haya denunciado a la empresa por un motivo concreto. En este supuesto, la Agencia suele enviar un escrito solicitando información relativa a los hechos objeto de denuncia (por ej: el documento de seguridad, etc…) o indicando que va a personarse para una inspección en las oficinas tal día. Vamos, que si oyen el timbre de su casa a las seis de la mañana es el lechero, no Monsieur le Directeur.

Me irrita oír en las reuniones de trabajo el “si viene la Agencia”: Los inspectores de la Agencia no son ángeles de la muerte que recorren España, con gabardinas negras, buscando empresas a las que sancionar. Normalmente, quienes dicen esto no conocen la existencia de la Ley 30/92 y cualquier cosa que hace la AEPD dentro de un procedimiento administrativo les parece un acto místico e inexplicable.

Estoy preparando un estudio sobre las sanciones impuestas por la AEPD por incumplimiento del art. 9 de la Ley de Protección de Datos, a ver si toman conciencia algunos de que no se ponen multas porque una empresa no tenga registro de incidencias, sino porque aparecen contratos en un contenedor público. Al próximo que le diga a Usted que si no tiene implantada tal medida la Agencia le puede sancionar, pídale una resolución donde sancione a una empresa por eso mismo. ¡Tolerancia 0 con el vende crecepelos!

Otra cosa que me molesta son los consejos de los abogados con número de colegiado de 10 cifras, que me dicen que ponga aviso legal.

Yo no presto servicios de la sociedad de la información ni realizo un tratamiento de datos susceptible de quedar incluido en el ámbito de la LOPD. En primer lugar, este blog no da lugar a ninguna actividad económica para su propietaria, que no se sirve de esta plataforma para ofrecer servicios profesionales de ningún tipo (de esos que está pensando, tampoco). No se incluye ni hace publicidad, y ni siquiera revierte un beneficio indirecto a efectos curriculares: es anónimo. Escribo una bitácora personal, no profesional. Casualmente, hablo de temas por los que otros cobran, pero imagínense que me dedicara a postear sobre maquetas de avión...

Por otro lado, y por los mismos motivos, cualquier tratamiento de datos que se realice, entra dentro de una actividad doméstica. En conclusión, lo único que figura en Ad Edictum es una advertencia de que aquí no se dan consejos profesionales ni se atiende a clientes, recomendado consultar con un abogado para esos menesteres.

Si nos ponemos puntillosos, les diré que los prestadores de servicios de la sociedad de la información no están obligados a incluir un "aviso legal", sino a facilitar determinada información en su web (sobre su identidad, domicilio, etc…, o sobre los productos que comercializan, ya sea en cumplimiento de la LSSICE, de la ley de consumidores y usuarios o de la compraventa a distancia). Esa información no tiene por qué llamarse “aviso legal” ni tampoco hacer referencia a cuestiones como links, propiedad intelectual, uso de marcas o exención de responsabilidad por virus, etc…
 
Y ahora si me disculpan, voy a tomarme mi pastilla.

14 comentarios:

Osete dijo...

Sí que nos hemos levantado guerreros...

Sobre lo que dice, creo recordar que la agencia, dentro de un proceso de inspección, y sancionador a continuación, si que puede imponer sanciones por no cumplir con medidas de seguridad, pero como bien dice, por una denuncia concreta y por un hecho que materializa esa falta de medida de seguridad, por ejemplo en una TI (transferencia internacional) si por un casual el prestador de servicios extranjero no acomete las medidas de seguridad que le marcas y aparecen datos de clientes suyos pululando por la red, la Agencia (de oficio o por denuncia) le cascará una sanción de las muuuy graves por no cumplir con las medidas de seguridad (aunque luego reviertas el daño económico, el reputacional te lo llevas). Sobre lo segundo, no creo que a un panadero le digan como tiene que hacer pan, te pueden decir cómo puedes dejar el pan más sabroso, pero poco más.

Que le siente bien la pastilla.

Anónimo dijo...

Por Dios, pero que bien se explica mi Ulpi. Un abrazo. The President

Ad Edictum dijo...

Don José Ignacio: Gracas por su comentario y su precisión. Efectivamente, las sanciones por incumplimiento de medidas de seguridad se imponen cuando existe un resultado como la difusión de datos en la red o de papeles en un contenedor. A propósito de esto, Paco, Jose Fernando y yo discutimos si se abriría procedimiento a SONY...Tenemos que hablarlo en la siguiente reunión LOPD.
Saludos

Ad Edictum dijo...

Estimado Anónimo (o casi): Me alegra mucho comprobar que sigue Usted por el ciberespacio leyendo este blog. Un abrazo.

David González Calleja dijo...

Bien dicho, buen post. Esta reflexión la hago a menudo cuando me dicen cosas como que lo importante son las medidas de seguridad, o que es igual de necesario un técnico que un jurista para cumplir con la Ley, etc. Siempre les remito al apartado de resoluciones sancionadoras de la web de la Agencia, que responde por sí mismo.

Ad Edictum dijo...

Pues sí, Don David. Este sector es así: una tertulia de la radio. Aquí hay mucho enterao que considera que su opinión es fuente del derecho.

No le voy a contar las veces que me he encontrado en una reunión de trabajo, que tras explicar lo que dice la AEPD o la Audiencia Nacional sobre un artículo, salta uno con un: "pues yo no lo veo así. este artículo está clarísimo y dice tal cosa". Es imposible hacerles comprender que su opinión no cuenta, y que si no quieren sanciones ni que les abran procedimientos lo que tienen que hacer es tal cosa...

Anónimo dijo...

"Señores: Lo que es de nivel alto es el fichero o el tratamiento. El dato, no."

Pues no, ni una cosa, ni otra.

Lo que es de nivel alto son las medidas de seguridad.

Numerus stultorum infinitus est.

Ad Edictum dijo...

Estimado Anónimo:

Gracias por su aclaración y por su adagio latino.

Un cordial saludo

La Dirección del Blog

Anónimo dijo...

Sigo tu bitácora desde hace tiempo pq destila algo que hay veces echo en falta, el sentido común. Haciendo caso a los que te intentan vender “protección de datos”, los inspectores de la Agencia si son ángeles de la muerte que recorren España, si además te lees la normativa detenidamente asusta más, y asusta aún más que un trabajador (o competencia) con mala fe te la puede liar (a veces no se hasta que punto puede ser bueno o no detallar a los trabajadores/compañeros que prácticas están prohibidas respecto a la protección de datos.
Consultas, lees y parece que si son ángeles de la muerte ….. pero hace unas semanas acudí a la agencia para entregar el impreso de modificación de algunos ficheros y aproveché la ocasión para corroborar si lo que me decía mi sentido común junto con todo lo leído y consultado era correcto, y un ángel de la agencia me ayudo a seguir pensando que mi sentido sigue siendo más o menos común.
Hay algo de vendedores de crecepelos y mucho (supongo que extensible a todas las actividades, en calidad, medio ambiente y prl que son mis principales funciones es muy habitual) de personas que artificialmente dan una mayor complejidad a su trabajo o a lo que te quieren vender de la que realmente tiene, y claro si no sabes del tema te la cuelan.

Saludos de Enrique

Ad Edictum dijo...

Estimado Anónimo (o casi):

Gracias por su comentario. Me alegra saber que lee el blog desde hace tiempo. Lo que quería poner de manifiesto con este post es que las sanciones de la Agencia no caen del cielo y de improviso por incumplimientos nimios.

Salvo empresas que realizan actividades de riesgo que están en el punto de mira de la AEPD, una entidad que haya dedicado recursos y esfuerzos al cumplimiento de la normativa de protección de datos no va a ser sancionada porque sí (y menos ahora, con la reforma introducida por la LES). Otra cosa es que se trabaje de cualquier manera, se tiren documentos a la papelera de la oficina o al contenedor, se envien SMS y mails a diestro y siniestro, etc... También es verdad que a muchas entidades la protección de datos les trae sin cuidado.

En cualquier caso, la sanción es el resultado de un procedimiento administrativo, que ha sido previamente instruido. Bromas aparte, en términos generales, los inspectores de la Agencia son personas competentes que además atienden con bastante amabilidad a las empresas que muestran buena fe e interés en corregir los incumplimientos que hayan podido aparecer.

Un cordial saludo,

La dirección del blog

Anónimo dijo...

Si, afortunadamente las sanciones no son pq si, pero cuando no estas muy metido en el tema y lees que la empresa x a sido sancionada por x por xxxx cantidad, te llaman consultoras asustando con posibles sanciones y ofreciendo ilegalidades a coste 0 con la fundación tripartita (hoy mismo me ha vuelto a llamar otra) te puedes asustar, aunque como dices, parece que lo habitual de las empresas sancionadas es que sean incumplimientos flagrantes de la LOPD.

A mi después de que me adjudicaran el tema de protección de datos, gracias a formarme, informarme y leer mucho se me ha pasado el susto, y ahora ya sin el susto siempre queda el puntito de que un comercial decida mandar cosas sin ton ni son, que alguien pierda un portátil pq si aparecieran papel donde no debieran sería cuestión de mala fe de alguien, y ante la mala fe es mas complicado luchar.

Saludos de Enrique

Ad Edictum dijo...

Estimado Enrique:

Las actuaciones "quasimafiosiles" que comenta son muy criticadas por los profesionales del sector. De hecho, se pide un día sí y otro también la regulación del sector, que se exija algún tipo de licencia administrativa, colegiación o similar para ejercer la lopedé. La AEPD hasta la fecha se ha mantenido al margen (algo que por otra parte me parece lo apropiado). Si que hay alguna iniciativa privada al respecto, aunque todavía no mayoritaria ni exigible.

Es cierto que hay sanciones casi inevitables (derivadas de mala fe o malas prácticas de empleados). Pero también es verdad que la modificación del régimen sancionador ha venido a suavizar la cosa, de forma que se puedan reducir las multas a las empresas que demuestren voluntad de corregir las deficiencias y una trayectoria de buenas cumplidoras de la ley. Si a Usted le abren un procedimiento y demuestra que ha hecho esfuerzos diligentes y razonables para cumplir la normativa de protección de datos, es posible que sólo le aperciban, siempre y cuando su empresa no haya sido sancionada con anterioridad.

Otra cosa es la situación de las grandes compañías, donde por la complejidad de su estructura, unas veces, o por no la falta de diligencia otras, se producen incumplimientos constantes y repetidos de la ley. Muchas de las sanciones millonarias de la Agencia intentan poner coto a situaciones abusivas de empresas de sectores muy concretos caracterizadas por un desprecio constante de los derechos de los consumidores y usuarios.

Pero como Usted parace que no se encuentra en esta situación, lo mejor es que continúe formándose y apartándose de los comerciales que bajo amenazas de denuncias intentan venderle una consultoría defectuosa.

Y si considera que el procedimiento que se le ha abierto no tiene justificación suficiente (algo que a veces pasa, proque también es verdad que la Agencia nos regala algunas resoluciones para el mármol), recurra siempre hasta el final.

Siga con saludo, y un cordial saludo.

Ad Edictum.

Álvaro Del Hoyo dijo...

Buenas,

Llego algo tarde a este debate.

Quizá sea por mi enfermedad de consultoría de seguridad, pero desde hace tiempo que en mis proyectos LOPD realizo un análisis de riesgos, bastante poco científico, pero muy efectivo para prirorizar las acciones en materia de conformidad LOPD.

Como bien se ha dicho, déjese Ud de concentrarse en quejarse sobre lo difícil y caro de la seguridad, darle vueltas a cómo resolver la papeleta de la seguridad,... cuando es mucho más importante cumplir con los deberes de consentimiento y calidad de los datos, así como centrarse en las medidas de seguridad que eviten fugas de información.

Ad Edictum dijo...

Gracias por su comentario, Don Álvaro. Coincido totalmente con Usted. Es más, dentro de las medidas de seguridad, se infravaloran las medidas organizativas y de concienciación del personal que son básicas.
Los hechos están ahí, se ponen más sanciones por cesiones sin consentimiento o por tratar datos sin consentimiento que por no implementar el registro de control de acceso del art. 103 del RLOPD...