jueves, 9 de febrero de 2012

"LOPD a coste cero, que no te tomen el pelo"

Aunque no es la temática principal de este blog la protección de datos, son temas intrinsecamente relacionados dado que los datos de carácter personal no son más que un subconjunto particular de información.
El texto de hoy parecerán trivialidades a mis lectores más asiduos que en muchos casos, son auténticos expertos en la materia pero mi intención es por un lado destacar la intensa y constante labor de la asociación APEP por la defensa de la protección de datos y sobre todo, por el mantenimiento de la dignidad de los servicios de consultoría/auditoría relacionados con la adecuación a la Ley 15/1999 y por otro, aclarar o aportar un poco de información respecto lo que supone el "problema de la LOPD" para una empresa de forma que se pueda entender que las ofertas a coste cero no solucionan nada.
Este post está dirigido a aquellos lectores que no conozcan de que va esto de la LOPD y que pueden recibir la visita/llamada de una consultora que se ofrece a "adaptar/adecuar/legalizar" sus datos de carácter personal a un coste mínimo o incluso cero aprovechándose de la bonificación que existe en materia de formación a empresas a través de la Fundación Tripartita.
A todos estos "clientes-victimas" de una regulación de mercado de la consultoría en materia de la LOPD cruel y temeraria que no lleva a ningún sitio, se hace saber:


La Fundación Tripartita ha aclarado en esta nota en su Web que son actividades constitutivas de fraude"La Fundación Tripartita para la Formación en el Empleo advierte a empresas y consultores, a todos los gestores de formación para el empleo del sistema de bonificaciones de ámbito estatal, sobre la existencia de entidades que de manera gratuita ofrecen servicios de implantación, auditoría y asesoría jurídica en materia de protección de datos de carácter personal, que en la práctica financian estos servicios con cargo al crédito asignado para la formación, un hecho que puede llegar a ser constitutivo de fraude.


El cumplimiento de la LOPD es una actividad más de la empresa u organización. El uso de información es parte de cualquiera de las actividades de todo proceso de negocio. La Ley 15/1999 de Protección de Datos de Carácter Personal (conocida por los amigos como LOPD y temida por la gente en general por sus famosas multas) sólo establece ciertos mínimos cuando lo que se tiene entre manos son datos de carácter personal. Ello implica que toda organización debe esforzarse por entender esas restricciones y debe dar cumplimiento, CADA VEZ QUE MANEJA ESTE TIPO DE INFORMACIÓN, de aquellas cosas que la regulación ha establecido. Por resumir de forma escueta y clara, a pesar de obviar detalles, matices y excepciones particulares que las hay y muchas (Y que son precisamente las cuestiones que una empresa especializada en materia LOPD debe resolver), las tareas más básicas son:
  • Registrar ante la Agencia de Protección de Datos los diferentes tratamientos (Ficheros jurídicos) que la Organización desea realizar e informar de determinados aspectos vinculados a ellos según los requisitos establecidos por la Agencia Española de Protección de Datos. Esta tarea se realiza en el momento inicial y debe actualizarse con los cambios que se produzcan a lo largo del tiempo sobre los ficheros declarados.
  • Informar a cada propietario de los datos (Afectado o cliente que nos entrega información) de qué vamos a hacer con ellos (Finalidad) y quienes somos(Responsable del fichero). Si además los datos que recogemos serán entregados a otras empresas relacionadas con nosotros para la misma finalidad habrá que indicarlo también en este momento. Esta tarea se debe realizar en cada recogida de datos a cada uno de tus clientes.
  • Indicarle en el momento de la recogida de datos que tiene unos derechos reconocidos por la Ley y determinar cómo pueden ser ejercicios (Derechos de acceso, rectificación, cancelación u oposición conocidos por derechos ARCO. Esta tarea se debe realizar en cada recogida de datos a cada uno de tus clientes. 
  • Establecer las relaciones contractuales necesarias con aquellas otras empresas que acceden a nuestra información para proporcionarnos a nosotros (Organización) un servicio necesario en el tratamiento de datos declarado (Finalidad del fichero) determinando así la figura de Encargado de tratamiento. Esta tarea se debe realizar en el momento en que se van a contratar servicios a terceros que accedan a nuestros datos en calidad de encargados de tratamiento. Atender a cada afectado cada vez que se diriga a nuestra organización solicitándonos un ejercicio de derechos ARCO y en los plazos de respuesta que establece la Ley. Esta tarea se debe realizar cada vez que un afectado solicita un derecho.
  • Proteger los sistemas de información con unas mínimas medidas de seguridad que afectan a los datos tanto en soporte papel como almacenados en sistemas informáticos. Las medidas a las que te comprometes deben estar escritas en un "Documento de seguridad" que debe indicar qué procedimientos aplicas a diario para garantizar el cumplimiento de estas medidas. Por tanto, tener el documento en sí mismo no supone nada más que documentar lo que dices que vas a hacer. Para la seguridad lo importante es ejecutar y cumplir lo que escribas en el. Esta tarea por tanto se realiza a diario cuando se ejecutan los procedimientos establecidos y debe proteger por parte de las personas de la organización que tratan con esta información la seguridad de los datos (disponibilidad, integridad, confidencialidad y autenticidad).

El cumplimiento de la LOPD visto lo anterior NUNCA será resultado de una actuación PUNTUAL realizada por parte de una consultora. Si has entendido el resumen de tareas podrás comprender que una consultora JAMAS podrá garantizar que tu Organización cumpla con la legislación porque no está todos los días en tu empresa atendiendo a tus clientes o ejecutando los procedimientos de seguridad. Está en tu mano porque como se dice en el punto anterior, el tratamiento de los datos es una actividad más de tu negocio. Lo que una consultora externa "DEBE" hacer es informarte y asesorarte adecuadamente respecto de qué cosas tienes que hacer para cumplir con la legislación en materia de protección de datos. Y ojo, no sólo es importante la LOPD, dependiendo del sector en el que estés, pueden ser relevantes otras legislaciones que también regulan este tipo especial de datos.

Si lo que te preocupan son las multas, la contratación de actuaciones puntuales no van a evitar en nada las posibles sanciones que te imponga la AEPD. ¿Por que? Si la AEPD aparece por tu puerta ten claro que existen indicios más que suficientes de que YA HAS HECHO ALGO MAL. O bien no has informado adecuadamente, o bien no has atendido un derecho a un afectado en plazo, o bien no has garantizado las medidas de seguridad. En cualquier caso, la potencial infracción YA ESTA COMETIDA y por tanto, que saques un "Documento de Seguridad" o "la inscripción ante la AEPD" no te exime en nada de culpa. Simplemente justifica que aquellos deberes que eran acciones puntuales se realizaron pero las tareas de protección habitual han fallado. Por tanto, si una consultora viene asustandote con las cuantiosas sanciones y el "chantaje del miedo" ten claro que no te librarás de él si no haces las cosas de forma correcta y eso no suele ser lo que te dicen esas consultoras que te resuelven todos tus problemas.


Conclusión: Todas adecuaciones a la LOPD a Coste Cero tirando de fondos de formación de la Fundación Tripartita no te libran nada, no te protegen de nada y encima se llevan tu dinero. Por tanto, LOPD a coste cero, que no te tomen el pelo.

Y si llegados a este punto estás desconcertado, confuso y quieres saber con certeza en qué consiste un servicio completo de adaptación integral a la LOPD, la Asociación de todos los "PROFESIONALES CON MAYÚSCULA", la APEP que se dedican a esto han elaborado un documento a modo de código de conducta donde determinan los "minimos de calidad" que debe tener todo servicio de consultoría de la LOPD y que puedes descargar en este enlace. Por tanto, exige  calidad mediante "la denominación de origen LOPD" a tu consultora LOPD y al menos, comprueba que en su oferta se cubren los contenidos de este documento. En los tiempos que corren, lo mejor que podemos hacer es invertir bien el dinero y no entregarlo a aquellos que aprovechándose de tu ignorancia quieren ganar dinero fácil a partir del "copiaypega".



    5 comentarios:

    Gontzal Gallo dijo...

    Javier, sólo puedo felicitarte por tu exposición muy clarita del problema de los "piratas de la privacidad".

    El que no quiera entender lo que has expuesto, tiene un gran problema....

    gihsoft dijo...

    IMPRESIONANTE!!! más claro no se puede decir, gracias!

    @JoanFiguerasT dijo...

    Muchas gracias, Javier, un post de obligada lectura!

    Felicidades, y un saludo!

    Joan F.

    Javier Cao Avellaneda dijo...

    Muchas gracias a ti por el comentario. Esperemos que los clientes vayan entendiendo que no hay nada bueno, bonito y barato y que al final el coste cero es "cero" porque no soluciona nada y te cobran por ello.

    Anónimo dijo...

    El enlace para la descarga del (documento a modo de código de conducta) no existe, ¿Podría volver a redireccionarlo por favor?

    ¡Excelente resumen, muchísimas gracias!

     
    ;