Acaba de cumplir 10 años en vigor y su influencia tanto en empresas como en los ciudadanos es cada vez mayor. La Ley Orgánica de Protección de Datos (LOPD), que entró en vigor en enero del año 2000, ha ido adquiriendo una importancia creciente en su década de vigencia, y de forma especialmente llamativa en los últimos años, ante los retos que plantea la irrupción de las nuevas tecnologías.
La LOPD (15/1999, de 13 de diciembre) se aprobó para adaptar a nuestro ordenamiento jurídico la Directiva europea relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, derogando la hasta entonces vigente Ley de Regulación del tratamiento automatizado de datos de carácter personal (LORTAD), en vigor desde el año 1992.
En el balance de la actual regulación hay la cara y la cruz de una ley que, por un lado, trata de proteger los derechos a la intimidad y privacidad de los ciudadanos, y, por otro, exige a las entidades, tanto públicas como privadas, un nivel de control de la información que manejan muy exhaustivo, bajo el riesgo de hacer frente a cuantiosas multas en caso de incumplimiento.
En este tiempo, la concienciación a todos los niveles ha experimentado un boom. Las cifras hablan por sí solas: ya se han inscrito más de 1.600.000 ficheros de datos en la Agencia Española de Protección de Datos, según adelantó la semana pasada el director, Artemi Rallo, apuntando que, de ellos, 400.000 corresponden sólo a 2009. En opinión de Rallo, "es un buen indicador del grado de cumplimiento de la ley", aunque matizó que esto no descarta que se vulneren derechos en otros ámbitos de protección.
Entre los aspectos más destacables de la LOPD, los expertos consultados por elEconomista destacan la eficacia de la norma a la hora de establecer un clima de concienciación a todos los niveles en cuanto a la necesidad de proteger la información personal. Tal y como señala César Iglesias, experto en la materia del despacho Díaz-Bastien & Truan, "la LOPD ha sido un instrumento poderoso para la defensa de los derechos de las personas físicas frente a los abusos de determinadas empresas y Administraciones Públicas".
Además, en su opinión, con esta ley se "ha forzado el establecimiento de una serie de buenas prácticas en la gestión de los datos (por ejemplo, realizando copias de seguridad) que son muy beneficiosas para las empresas, y se ha difundido la necesidad de preocuparse por la seguridad de los sistemas informáticos".
En cuanto al impacto de la normativa en la gestión del día a día de las empresas, Paloma Bru, de Jones Day, destaca que el desarrollo de la ley y su aplicación ha supuesto, y sigue suponiendo, un incremento del número de compañías que implantan las medidas necesarias para proteger la información que tratan: "Hace años era impensable en la práctica empresarial dedicar tantos recursos económicos y humanos a la protección de los datos de carácter personal".
Aplicación en las empresas
La defensa a ultranza de los derechos protegidos ha traído consigo también algunas complicaciones. En este sentido, César Iglesias explica que, "dado que la casuística de la protección de datos es muy variada, la LOPD ha ocasionado y aún genera mucha inseguridad en su aplicación. En determinados ámbitos faltan reglas prácticas claras".
Sobre este aspecto, las peor paradas son las pequeñas y medianas empresas: "La normativa de protección de datos ha calado de manera significativa en los cuidadanos y las empresas, aunque en el entorno pyme queda todavía trabajo por hacer", apunta Javier Carbayo, asociado senior del Departamento de Compliance IT de Écija.
Según Paloma Bru, las pymes no cuentan con recursos especializados en la materia, para poder cumplir íntegramente con la normativa de protección de datos". Un problema que se agrava si se tiene en cuenta que las obligaciones impuestas no varían en función del tipo y tamaño de la empresa titular de los datos, sino de la naturaleza de los datos tratados, advierte esta experta. "¿Deberían aplicar las mismas medidas de seguridad un comercio minorista y una empresa multinacional que procesan los mismos tipos de datos?", se pregunta.
En cuanto a las grandes empresas, Carbayo explica que en ellas todavía no existe una media de cumplimiento de mínimos, pero hay muchas organizaciones que cuentan ya con una estrategia en protección de datos enfocada en tres sentidos: cómo identificar los activos de información afectados y los riesgos de cumplimiento normativo; organización interna de cumplimiento sostenido y continuado, y, por último, medidas pensadas para que el cumplimiento esté alineado al negocio mediante un elevado grado de automatización.
La entrada en vigor del Reglamento de desarrollo de la LOPD el 19 de abril de 2008 ha contribuido en gran medida para dar un importante empujón a la aplicación de la normativa en las empresas, que van siendo más conscientes de los riesgos que corren si no implantan mecanismos de control de la información: "Con el Reglamento el estado de implantación de la normativa es bastante elevado", constata Carbayo.
No en vano, este reciente texto de desarrollo de la ley ha supuesto toda una revolución en los últimos dos años. Todas las entidades, públicas y privadas, se han visto obligadas a adaptar su organización a las nuevas exigencias de seguridad establecidas en el Real Decreto 1720/2007, de 21 de diciembre. Por ejemplo, esta norma exige automatizar los ficheros en formato papel, lo que ha implicado contratar personal especializado y adquirir sistemas informáticos que permitan su cumplimiento.
Multas muy altas
Nuestra legislación es de las más estrictas de Europa, e incluso del mundo, con unas sanciones económicas en caso de incumplimiento que oscilan entre los 600 y los 600.000 euros. Por ello, no es de extrañar que la Agencia recaude cada año en torno a 20 millones de euros en concepto de multas. No obstante, la tendencia de los últimos años pone de manifiesto que, aunque cada vez hay mayor número de sanciones (debido a la mayor concienciación de los ciudadanos que plantean las denuncias), la cuantía de las multas tiende a reducirse al ser de carácter menos grave, en general, las infracciones cometidas.
En este sentido, estima César Iglesias que "el rigor de las sanciones puede resultar desproporcionado con el daño producido al bien jurídico protegido por la LOPD". De hecho, en muchos casos la Audiencia Nacional, órgano judicial que acoge los recursos contra las resoluciones de la Agencia Española de Protección de Datos, se ve obligada a modulas las multas impuestas.
Datos delicados en manos públicas
Aunque las empresas se han convertido en protagonistas en la implantación de las nuevas medidas de seguridad exigidas para evitar riesgos y sanciones, las Administraciones tienen el deber de cumplir con las mismas exigencias. Máxime si se tiene en cuenta que precisamente en los organismos públicos se maneja un gran volumen de información especialmente protegida (datos sanitarios, judiciales, administrativos, etc). De hecho, existe un paralelismo en el déficit en el cumpli- miento de la normativa de protección de datos entre el sector privado y el público. Queda también, por tanto, mucho trabajo por hacer en lo público, si bien la presión no es tanta como para las empresas, ya que a la Administración no se le imponen multas económicas sino tan solo amonestaciones.
El pulso de las nuevas tecnologías
El nuevo entorno tecnológico ha multiplicado los riesgos en la protección de la privacidad de las personas. Prueba de ello es la inquietud creciente en la ciudadanía ante el manejo de su información privada en la Red: en 2009 crecieron en un 75 por ciento las denuncias, quejas y reclamaciones presentadas en la AEPD en relación con la vulneración de derechos en Internet. Los últimos datos facilitados por la Agencia contabilizan 159 denuncias presentadas por los ciudadanos relacionadas con servicios de Internet, 60 de ellas en relación con redes sociales.
Así, si hace un año una de las principales preocupaciones de la Agencia de cara a Internet era la difusión de ficheros con datos personales en redes de intercambio de archivos (P2P) desde los ordenadores del trabajo, según recogía la Memoria de 2008, el foco está puesto ahora en las redes sociales y toda la problemática en torno a ellas.
Aunque algunas voces alertan de la dificultad de solucionar problemas generados en el entorno tecnológico con herramientas jurídicas pensadas para un marco pretecnológico, Paloma Bru sostiene que "los principios reguladores recogidos en la LOPD, que conforman las reglas generales básicas para la defensa y protección de la privacidad de las personas físicas, no pueden, ni deben considerarse obsoletos o inaplicables a las denominadas redes sociales". A su modo de ver, los principios básicos de protección de los datos de carácter personal no varían ni pueden ser objeto de modificación en función del medio en el que los datos sean tratados. Aunque sí considera necesario "que estos principios recogidos en la LOPD sean aplicados de forma flexible y atendiendo a las particularidades de estos novedosos, pero ya generalizados, medios de comunicación".
En la misma línea, César Iglesias señala que los grandes principios de la LOPD siguen siendo válidos, si bien apunta que "el riesgo de obsolescencia de la regulación de la protección de datos está ahora mismo en la normativa de desarrollo que a veces es excesivamente minuciosa y no tiene en cuenta la velocidad del cambio tecnológico".
Sobre este tema, Javier Carbayo afirma que "la normativa, con el grado de madurez que tiene, es capaz de responder a las necesidades de las nuevas tecnlogías y la web 2.0". "En cualquier caso, todos los agentes que nos encontramos implicados debemos hacer un esfuerzo para que, en lo que puede no alcanzar la normativa, encontremos soluciones innovadoras capaces de lograr estos retos", aclara. Entiende que la AEPD está realizando una labor intensa para acercar a los ciudadanos y empresas a las nuevas realidades.
La Fundación Solventia, que organiza esta semana una Jornada sobre la privacidad del menor en las redes sociales, considera, en un extracto de las conclusiones, que la rápida obsolescencia de las normas de protección de datos en relación con el entorno tecnológico y el carácter extraterritorial y trans- fronterizo de Internet revelan la necesidad de una intervención de la autorregulación. Estima, así, que la LOPD debería ir acompañada de una autorregulación de las propias empresas, no como sustitución de la normativa, sino como complemento. Además, dispone que el derecho y la técnica, así como la regulación y la autorregulación no pueden ir por separado, sino que tienen que compensarse mutuamente. En este sentido, la regulación y la autorregulación solo pueden ser efectivas si van acompañadas de medidas complementarias que eduquen en un uso más responsable y seguro de las nuevas tecnologías por parte de los menores.
10 recomendaciones para Internet
