jueves, 29 de septiembre de 2011

La APEP poniendo los puntos sobre las ies en materia LOPD para luchar contra el "coste cero".

Si bien no soy socio (todavía) de la APEP (Asociación Profesional Española de Privacidad), si que he seguido con interés y proximidad el nacimiento y crecimiento de esta asociación desde sus comienzos. Entre sus más ilustres miembros hay mucho murciano y compañero de charlas de SICARM de estos últimos años.

Este post tiene un solo objetivo: dar difusión al documento que han elaborado para establecer y definir qué es o qué debe ser un servicio de consultoría en materia de la LOPD. Tenía entre los borradores de "post congelados" comentar la problemática de la "LOPD-Coste cero" y la estafa que supone abusar del desconocimiento de las empresas para vender motos relacionadas con el cumplimiento de la normativa en protección de datos pero ya es más pertinente comentar el texto de la APEP.

La idea es sencilla, el cumplimiento de la LOPD es un proceso continuo que requiere de actividades puntuales como puede ser la declaración de los ficheros o la elaboración del documento de seguridad y de una serie de procesos internos que se deben ejecutar cuando sea pertinente y que velan por diferentes aspectos, entre otros los más esenciales como :

  • Atender los derechos ARCO de los afectados.
  • Garantizar las medidas de seguridad que protegen los sistemas de tratamiento de estos datos.
  • Establecer las adecuadas relaciones contractuales con los terceros que puedan tratar datos de nuestros ficheros.
  • Adecuar el dibujo legal declarado ante la AEPD frente a los cambios en el uso de los datos que se pudieran realizar una vez que se modifiquen finalidades, tipos de datos recogidos, etc.
  • Otras.
En este sentido, no se acaba nunca al igual que ocurre con otras áreas de la seguridad y prevención. Se deben mantener unos mínimos y eso es un esfuerzo constante. Por tanto, todos estos "Servicios de consultoría" que venden una "actuación puntual" o una "adecuación/adaptación" y hacen entender el problema como la simple inscripción de los ficheros ante la AEPD o la elaboración del famoso Documento de seguridad simplemente no sirven para nada.
 ¿Por qué? Sencillo. Si la AEPD viene a visitarte será por alguna denuncia sobre unos hechos ocurridos que han lesionado los derechos de los afectados o comprometido la seguridad de los datos. En estos casos, la inspección de la AEPD tratará de investigar qué ha ocurrido y esclarecer las causas y los responsables. Las actuaciones puntuales de "declaración de ficheros" y "elaboración del documento de seguridad" son sólo el primer paso del camino pero para demostrar la "protección de los datos de carácter personal" hay que enseñar el trabajo continuo por garantizar el correcto funcionamiento de las actividades relacionadas con la protección misma. Por tanto, se necesitan "evidencias" o "registros" de lo que diaria, semanal o mensualmente se va haciendo para evitar que ocurran incidentes.

La APEP, con muy buen criterio está tratando de pelear contra esta "prostitución del mundo de la consultoría en materia LOPD" de la mejor manera posible: tratando de informar de lo que se considera un servicio adecuado y completo para dejar claro quien está vendiendo "un traje nuevo al emperador en materia LOPD". Es una manera de combatir en positivo esta lacra que carece de la profesionalidad necesaria para tratar siempre de hacer un trabajo completo y correcto. Claro que la lacra también vive de unos "clientes" que ven en la LOPD otra pega administrativa más, que los datos de carácter personal les importan tres pepinos y que la protección de la información de sus clientes no les preocupa lo suficiente como para hacer el esfuerzo que la ley impone. Prefieren asumir el riesgo y hacer frente a las multas que la AEPD pueda ponerles (porque creen realmente que nunca les tocará a ellos). 

El contenido del manifiesto de la APEP se puede leer y consultar en esta dirección. Solo queda dar felicitaciones a la APEP por establecer estas "buenas prácticas respecto a lo que deben ser servicios de consultoría para la adaptación a la LOPD.










 
;