¡No me asuste por favor!
¡No me asuste por favor!
Un sondeo sobre el estado de implantación de la legislación de Protección de Datos.
El pasado día 19 de Abril de 2010 finalizo el último plazo para la implantación de la disposición transitoria segunda del Real Decreto por el que se ha aprobado el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal.
¿Qué encontraría la agencia española de protección de datos (AEPD), el ente público independiente cuya finalidad principal es velar por el cumplimiento de la legislación sobre protección de datos, si hiciese
inspecciones a empresas con presencia internacional, más concretamente, a un grupo de empresas procedentes de los países del norte de la Unión Europea con delegación en España, y un grupo de empresas de un sector tecnológico puntero en España?
Bueno, tampoco les queremos alarmar, así de entrada, con inspecciones y escenarios apocalípticos, así que, antes de empezar, vamos a matizar algo sobre las actuaciones de la AEPD. La AEPD puede multar, bien, pero normalmente daría a la empresa inspeccionada un margen para la implantación de las medidas exigidas. Un plazo probablemente apretado, eso sí. Porque cualquier plazo que no decide uno mismo es apretado, porque ya teníamos otras cosas que hacer, ¿no?
Vamos al grano: ¿Que va encontrar la AEPD? ¿Y dónde? Hemos hecho un pequeño estudio de campo, sin ninguna pretensión académica; solo queríamos obtener una impresión sobre el estado de implementación de la legislación, de las empresas que están en el mismo mercado donde nos movemos nosotros. De momento, nuestra muestra consiste en 117 empresas, que forman parte de dichos colectivos en Barcelona. A lo largo de esta primavera iremos ampliando la muestra.
No tenemos ningún fichero que se tenga que inscribir
En primer lugar, algo que se puede saber, fácilmente, una vez establecida la muestra es: que al 56,56% de las empresas seleccionadas, no les consta ningún fichero inscrito en la AEPD. ¿Es posible, que ninguna de esas empresas -sin ficheros inscritos- tenga un fichero titulado “Recursos humanos y nóminas”?
¿De verdad no tiene Usted que dar de alta ningún fichero?
Hemos preguntado al 60% de las empresas que no tenían ningún fichero inscrito en la AEPD si les importaría colaborar con nosotros en la elaboración de este estudio; el 40% no ha podido responder todavía a nuestra petición. De las empresas que nos han atendido, muy amablemente, el 30,76% se han tomado 3 minutos para responder al cuestionario. Desde este lugar, les damos de nuevo las gracias por colaborar. Les haremos un buen descuento en la auditoría como recompensa.
¿Pero qué es lo que dicen los entrevistados entonces?
De las empresas entrevistadas ninguna cumple con la legislación, es decir: todos deberían dar de alta por lo menos un fichero en la AEPD. El grado global de cumplimiento es de aproximadamente 42,30%, esto quiere decir que, como valor promedio, cada empresa ya cumple con la mitad de los requisitos del reglamento. Por supuesto, todas las empresas que no han colaborado cumplen al 100%, lo único que les falta es simplemente dar de alta su fichero. Aunque, no necesitan a nadie quién les audite y les confeccione un documento de seguridad. A las empresas que han colaborado les haremos un descuento del 42,30% en el módulo variable del presupuesto que les ofrecemos para la auditoría.
No tengo acceso a datos personales
El 61,53% de los entrevistados tiene acceso a datos personales, aunque paradójicamente, el 69,23% trata en el desarrollo de sus tareas diarias ficheros cuyo contenido son datos de carácter personal. El 7,69% ha tenido que solicitar alguna vez acceso a datos, debido a que no estaba previamente autorizado.
¿De las personas que tratan en el desarrollo de sus tareas diarias ficheros cuyo contenido son datos de carácter personal, el 11,56% no tiene acceso a datos personales?
Una solución parcial, podría estar en el porcentaje de personas que han tenido alguna vez acceso a datos debido a que no estaban previamente autorizados, es decir, el 7,69%. Seguimos con una diferencia del 3,7%. Otra explicación sería que muchas personas tienen acceso a datos personales sin saberlo, ya que más del 76,92% tiene un nombre de usuario que corresponde a un grupo o departamento de trabajo. Según nuestra experiencia en las PYMES este grupo de trabajo lo constituye toda la empresa.
¿A quién teníamos que solicitar acceso a datos personales?
En el 38,47% de las empresas entrevistadas hay un encargado de la seguridad de la información, si contrastamos este hecho con el porcentaje de empresas que tienen un nombre se usuario genérico, tendremos que concluir que el 40% de estos encargados de la seguridad de la información tampoco han entendido del todo lo que significa protección de datos.
¿Qué es exactamente la protección de datos?
Una parte de los entrevistados, no saben si realmente tratan o no datos personales, en el desarrollo de sus tareas diarias. Un 53,84% de los entrevistados no han recibido ninguna formación sobre protección de datos en su empresa. Este porcentaje coincide, perfectamente, con el porcentaje de los entrevistados que saben que procedimiento deben seguir cuando hay una incidencia. Por sentido común, el 92,31% de los entrevistados hace una copia de seguridad, protegiendo así, la integridad de los datos personales que pueden tener. Sospechamos que lo hacen sobre todo para proteger la integridad de los datos que tienen, en general, en su ordenador.
La formación interna es un elemento clave en una buena política de protección de datos.
Conclusiones
La primera conclusión que sacamos es que el hecho de que el 69,23% trate en el desarrollo de sus tareas diarias ficheros cuyo contenido son datos de carácter personal, probablemente significa que este mismo porcentaje de nuestra muestra -sin fichero inscrito- debería dar de alta un fichero.
Otra conclusión es que la formación interna es un elemento clave en una buena política de protección de datos.
Para la mayoría de las empresas de nuestra muestra sería una buena idea auditarse, hacerse auditar por un tercero, o hacer una combinación de estas opciones. Volviendo al principio de este artículo: “¿voy a actuar porque me pueden multar?” No, en nuestra opinión la cuestión es elegir entre agobiarse y hacerlo de prisa después de una inspección, o hacerlo de una manera ordenada y planificada ahora y dormir tranquilo.