jueves, 19 de abril de 2012

PROTECCIÓN DE DATOS DE CARACTER PERSONAL


Resumen: Estudio sobre la situación actual de adecuación a la LOPD de las empresas españolas, a partir de datos contrastados. Se analizan los elementos que aportan convicción para decidirse por el cumplimiento, y se incide en el más desconocido de ellos: Las posibles sanciones tipificadas en el CP (Código Penal).


Autor del artículo
Colaboración
JOSE LUIS COLOM PLANAS
MARGARITA PARDO DE
SANTAYANA C.
Actualizado
02 de noviembre de 2013


ÍNDICE.





1. CUMPLIMIENTO DE LAS EMPRESAS ESPAÑOLAS
         1.1. Introducción
         1.2. Comparativa del DIRCE con el RGPD
         1.3. Tendencia observada
         1.4. Factores que influyen en la tendencia
                   1.4.1. Mayor conciencia social
                   1.4.2. Tratarse de una obligación legal
         1.5. Elementos que aportan convicción
                   1.5.1. Potestad sancionadora de la AEPD
                   1.5.2. Coste de la pérdida de imagen empresarial
         1.6. Ley de Economía Sostenible
2 SANCIONES PENALES
3 BIBLIOGRAFÍA CONSULTADA

4 DERECHOS DE AUTOR


1. CUMPLIMIENTO DE LAS EMPRESAS ESPAÑOLAS.

1.1. Introducción.


Actualmente, los profesionales que tenemos alguna relación con los SGSI (Sistemas de Gestión de la Seguridad de la Información) en general y con la protección de datos de carácter personal en particular, sabemos que existe en España legislación al respecto y que ésta es de obligado cumplimiento.
No queda tan claro si el conjunto de la ciudadanía está al corriente de ello, aunque quién navega por Internet y en alguna ocasión ha rellenado un formulario por ese medio, habrá observado la aparición de una cláusula de información/consentimiento de derechos amparados por la LOPD, tipo la siguiente:
”En cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD), (sustituir por el nombre del responsable del fichero), como responsable del fichero informa de las siguientes consideraciones: Los datos de carácter personal que le solicitamos, quedarán incorporados a un fichero cuya finalidad es (describir la finalidad). Los campos marcados con asterisco (o cualquier otra señal) son de cumplimentación obligatoria, siendo imposible realizar la finalidad expresada si no aporta esos datos. Queda igualmente informado de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición, de sus datos personales en (sustituir por el domicilio para ejercitar los derechos)”.
Con dicha cláusula, es difícil que aquel ciudadano que proporcione datos de carácter personal a través de una página web, ya sea a una empresa privada o a un organismo público, no esté al corriente de sus derechos. Quiere ello decir, que cada vez más, aumenta la conciencia colectiva como usuarios, de los derechos en materia de protección de datos de carácter personal.
¿Y las empresas?, ¿Son realmente conscientes de sus obligaciones legales, en relación al cumplimiento  de la LOPD?
¿Están al corriente de la normativa respecto al uso, gestión, cesión, etc. de los archivos con datos personales de los ciudadanos, las responsabilidades derivadas ante una actuación incorrecta, la obligatoriedad de su registro y mantenimiento ante la AEPD, la necesaria adopción de las medidas legales, técnicas y organizativas de protección correspondientes, así como la auditoria periódica necesaria?

A priori y teniendo en cuenta que somos un país de PYMES (Medianas, pequeñas y micro empresas), no es aventurado suponer que la mayoría no.
1.2. Comparativa del DIRCE con el RGPD.
Consultando el último dato publicado por el INE (Instituto Nacional de Estadística), concretamente en lo que se refiere al DIRCE (Directorio Central de Empresas), a fecha 1 de enero de 2011), apreciamos que hay 3.250.576 empresas inscritas en España (PYMES y Grandes empresas).



Acceso a la página del DIRCE:

Si vemos las estadísticas del RGPD (Registro general de la Protección de Datos, que publica la AEPD en su página web, el número de ficheros de Titularidad Privada inscritos por sus responsables, a 31/03/2012, ascienden a 2.597.841.
Podemos consultar las estadísticas que publica la AEPD:
Ambas cifras no son comparables directamente, dado que muchas empresas tienen registrados varios ficheros en la AEPD.  Aproximadamente, 2.597.841 ficheros se corresponden con 1.000.000 de Responsables de Ficheros. Habida cuenta que 335.000 pertenecen a comunidades de propietarios, quedan 665.000 correspondientes a empresas propiamente dichas.

De todo ello se deduce que la relación de empresas que cumplen la LOPD es a día de hoy apenas de un 20%, suponiendo que prácticamente todas tengan algún fichero que registrar (aunque sea el de RR.HH.).
Confesaré que me esperaba una relación porcentual así. Eso es una buena noticia para los “asesores profesionales” en materia de LOPD, pues significa que tienen por delante mucho campo de acción.
Aunque las empresas pueden registrar de forma telemática, directamente en el RGPD mediante el formulario NOTA, es obvio que establecer políticas y un sistema de gestión de la seguridad eficaz y eficiente, con su mantenimiento continuado, ya no está al alcance de cualquiera. Para eso están los consultores en gestión de la seguridad,  especialistas en adecuación de empresas a la legalidad vigente, etc. Da igual que sean internos o externos.  
1.3. Tendencia Observada.
Analizando sin embargo el gradiente de crecimiento en el número de ficheros de titularidad privada registrados desde marzo de 2005 hasta marzo de 2012, vemos la tendencia a un mayor índice de crecimiento en los últimos años.

Concretamente, del 2010 al 2011 ha habido un incremento del 22% en el número de ficheros inscritos en el RGPD.
1.4. Factores que influyen en la tendencia.
Es de suponer que se debe a dos factores:
  • 1.4.1. Mayor conciencia social. Ésta es debida a la masificación de Internet, la proliferación de “smartphones”, “tabletas” y demás dispositivos móviles,  la introducción del Cloud Computing, el auge de las “redes sociales y profesionales”, en una frase, lo que se ha dado en llamar “Informática en cualquier parte” (Computing anywhere). Todo ello acentúa la sensibilidad por parte de usuarios y la sociedad en general, que empujan a las empresas a adoptar medidas que garanticen la seguridad y privacidad de sus datos de naturaleza personal.
  • 1.4.2. Tratarse de una obligación legal. Al no tratarse simplemente de unas recomendaciones, ni de una certificación reconocida como puede ser la ISO 27000, ni de tan solo un modelo de buenas prácticas a seguir, sino de legislación de obligado cumplimiento. Hemos de pensar que en tiempos de incertidumbre económica, se le presta menor atención a todo aquello que representa una inversión no relacionada directamente con la actividad, y mucho menos a un gasto.

1.5. Elementos que aportan convicción.
Ante tal escenario, hay al menos dos elementos que aportan convicción a la empresa, para decidirse a cumplir con la LOPD: 
1.5.1. Potestad sancionadora de la AGPD.
La Agencia Española de protección de datos se conforma como una autoridad con plena independencia respecto del resto de las AA.PP. en el ejercicio de sus funciones y se rige por la LOPD y su propio Estatuto definido en el Real Decreto 428/1993, de 26 de marzo y sus posteriores modificaciones.
El número de denuncias, fruto de una mayor concienciación y conocimiento de sus derechos por parte de los afectados, han aumentado un 51,6% del ejercicio 2010 al 2011.

La LOPD califica las infracciones como leves, graves o muy graves. Según la infracción, las sanciones pueden oscilar:

·       De 900 a 40.000 euros para las leves
·       De 40.001 a 300.000 euros para las graves
·       De 300.001 a 600.000 euros para las muy  graves.

La Ley 37/2011 de Medidas de Agilización Procesal de 10 de octubre, Medidas de Agilización Procesal  , prohíbe que se recurran en casación ante el Tribunal Supremo sentencias dictadas en segunda instancia por las Audiencias Provinciales, siempre que la cuantía del proceso no exceda de 600.000 euros, coincidiendo con el importe máximo de las sanciones de la AEPD. La posible concurrencia de varias sanciones tampoco admite acumulación a efectos de cuantía para poder recurrir en casación, aunque el conjunto supere los 600.00 euros. Dicha ley 37/2011 surgió con la excusa de aligerar la acumulación de asuntos que colapsa el Tribunal Supremo.
Además, en época de recesión y dificultad en el acceso al crédito, una sanción de elevada cuantía puede significar para algunas empresas el cese de actividades debido a la falta de liquidez.
1.5.2. El coste de la pérdida de imagen empresarial.
Hemos visto recientemente como la circulación de opiniones y consignas de forma imparable por las redes sociales, ha sido capaz de poner en jaque incluso a gobiernos (ver la primavera árabe). Una buena reputación corporativa es esencial en un mundo con economías globalizadas y cada vez más competitivo. Como sea que la AEPD hace públicas las empresas sancionadas indicando claramente el motivo, puede representar un coste económico oculto mucho más importante, que no solo contrarreste la posible inversión en publicidad, sino que traslade a la competencia el hábito de compra de nuestros clientes, cada vez mas sensibles a las cuestiones sociales.
Además, los clientes de una empresa quieren estar seguros de que su información privada será bien gestionada, y si no lo están, pueden optar por hacer negocios con otra.
Recordar por citar a cualquiera, lo que pasó con SONY y su fuga de datos el 26 de abril de 2011. Los expertos advierten que la violación de su base datos, puedo suponerle a Sony un coste superior a 1.500 millones de dólares en indemnizaciones y compensaciones (1.010 millones de euros), es decir, una media de 20 dólares (13'5 euros) por cada uno de los 77 millones de clientes, además de la importante deserción de éstos preocupados por la privacidad de sus datos, cuyo impacto económico está todavía por determinar.

NOTA DEL EDITOR. La Agencia de Protección de los Derechos de Información de los Individuos del Reino Unido ICO (Information Commissioner´s), acaba de hacer pública (en enero 2013) la multa que tendrá que pagar Sony por el agujero de seguridad que sufrió PlayStation Network cuando fue hackeada en 2011. En total, Sony tendrá que pagar 250.000 libras (unos 300.000 euros). Según un comunicado de ICO, la cantidad de dinero a la que asciende la multa refleja la importancia del incidente y el elevado número de usuarios cuyos datos quedaron comprometidos.Tras la investigación que se ha llevado a cabo, el ICO ha encontrado pruebas que afirman que “el ataque podría haberse prevenido si el software hubiera estado actualizado, mientras que los estudios técnicos también han concluido que las contraseñas no eran seguras”, destaca el organismo en un comunicado. Y es que, en opinión del ICO, las compañías que gestionan datos privados de los usuarios en el Reino Unido deben de adoptar todas las medidas necesarias para proteger esta información, algo que en su opinión, Sony no hizo.

Toda información negativa de una empresa, como lo es una sanción publicada por la AEPD, puede incidir directamente en la valoración por parte de las empresas encargadas de informes comerciales. Ello probablemente afectará la valoración del rating de solvencia y el límite de riesgo con que sus proveedores le financiarán futuras operaciones comerciales, como precaución ante una influencia negativa en tesorería y actividad comercial. Las malas noticias vuelan por si solas, o de la mano de los competidores.
1.6. Ley de Economía Sostenible.
La Ley 2/2011 de Economía Sostenible, de 4 de marzo, publicada en el BOE,
 
incluye en su disposición final quincuagésima sexta, la reforma de los artículos 43, 44, 45, 46 y 49 referidos al régimen sancionador de la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal.
Mediante la incorporación de un nuevo apartado 6 del artículo 45 de la LOPD, se amplían las opciones para adoptar medidas preventivas en el cumplimiento de la Ley, a través de la figura del apercibimiento, como medida no sancionadora. Dicho artículo 45.6 establece:
 
“excepcionalmente el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, no acordar la apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable“.
Es un procedimiento que permite a la AEPD ser más dinámica en la persecución del incumplimiento de la LOPD. En el artículo 44.3.i de la LOPD se recoge como infracción grave el no atender un apercibimiento de la Agencia.
 
2. SANCIONES PENALES:


NOTA DEL EDITOR: Paso a transcribir literalmente dado que, según cláusula de autor, no puede servir la fuente para generar obras derivadas. Reseña del documento original en la sección “Bibliografía consultada – Elisenda BRU”.
En cuanto a las sanciones penales, éstas se recogen en el título X del Código penal (CP). El ordenamiento penal recoge, salvo algunas excepciones, un sistema abierto de posibles sujetos pasivos, por lo que permitirá, en principio, el castigo de todo aquel que realice la conducta típica.
En el tipo básico del art. 197 CP se definen, de un modo especialmente casuístico, las distintas modalidades delictivas.
Tras tipificar las diferentes conductas lesivas de la intimidad con relevancia penal, el apartado segundo se dedica íntegramente a la protección de la autodeterminación informativa, incriminando los abusos perpetrados sobre datos personales registrados en ficheros automatizados o en cualquier otro tipo de archivo o registro público o privado.
Se prevé, además, un tipo agravado para los casos de difusión, revelación o cesión a terceros de los datos (art. 197.3 CP).
La condición profesional del sujeto activo del delito (el responsable del fichero o encargado del tratamiento), se toma en consideración para la creación de un subtipo agravado en el apartado cuarto, que permite imponer una pena de entre tres y cinco años de prisión, salvo que, además, los datos se difundan, cedan o revelen, en cuya caso la pena se elevará hasta su mitad superior.
Si la conducta incurre en la afectación del núcleo duro del derecho, o la víctima es un menor o incapaz, se incurre en otro subtipo cualificado previsto en el apartado quinto. Por último, el apartado sexto prevé un tipo agravado para los casos en que la conducta delictiva se haya realizado con fines lucrativos.
El artículo 197.3 CP apartado segundo, por su parte, prevé un tipo autónomo para los casos en que el autor, con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, difunda, revele o ceda a terceros los datos.
Finalmente, el artículo 198 CP prevé un tipo agravado para el caso de autoridades y funcionarios públicos que realizaren cualquiera de las conductas previstas en el artículo anterior. En este caso se aplicarán las penas previstas en su mitad superior y la pena de inhabilitación absoluta de seis a doce años.
Las penas previstas oscilan, por tanto, entre la pena de prisión de uno a tres años, hasta la pena de prisión de cuatro a siete años, para el caso en que se realice la conducta con fines lucrativos y además afecte al núcleo duro del derecho.
Pese a la naturaleza subsidiaria y fragmentaria del Derecho penal su carácter, en definitiva, de ultima ratio, que condiciona su intervención únicamente cuando resulte necesaria, porque los instrumentos extrapenales no resulten adecuados para la correcta protección de los bienes jurídicos, y únicamente para los ataques más graves, no siempre resulta sencillo distinguir materialmente entre las infracciones contenidas en la LOPD y las previstas en el Código penal.
Sí es cierto que, conforme al ya citado artículo 43.1 LOPD, los destinatarios del régimen sancionador previsto en esta ley son únicamente los responsables de los ficheros y los encargados del tratamiento, por tanto son los únicos sujetos activos posibles de las infracciones allí recogidas. Al margen quedan, pues, los outsiders.
Pero conviene recordar que restaría aún la protección dispensada por la LO 1/82, como ha puesto de relieve la doctrina, para aquellas intromisiones en el derecho no abarcadas por la LOPD y, en especial, para las llevadas a cabo por los outsiders, a pesar de que la concreción típica en el caso de la intromisión no esté depurada y actualizada.
MORALES PRATS (1), consciente de este solapamiento, mantiene que si se intenta hallar algún criterio de selección entre las conductas incriminadas en el Código penal y las que han sido ubicadas en sede administrativa, se observará la imposibilidad de dar con un reparto de funciones entre infracción penal e infracción administrativa. Ante esta situación, los particulares pueden, en los términos establecidos en el artículo 201 del CP, dejar de lado la vía penal y optar por la civil o administrativa.
3. BIBLIOGRAFÍA CONSULTADA
- (1) Varios autores - G. QUINTERO OLIVARES (director) - F. MORALES PRATS (coordinador). “Delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio - Comentarios al Nuevo Código Penal”. (4ª edición 2005). Thomson-Aranzadi. ISBN: 84-8410-304-8
- BRU, Elisenda (2007). ”La protección de datos en España y en la Unión Europea. Especial referencia a los mecanismos jurídicos de reacción frente a la vulneración del derecho a la intimidad”. En: “III Congreso Internet, Derecho y Política (IDP). Nuevas perspectivas” [monográfico en línea]. IDP. Revista de Internet, Derecho y Política. Nº 5. UOC. ISSN 1699-8154.
- BOE nº 281. “Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal”. Publicado 24/11/1995.

4. DERECHOS DE AUTOR



Todas las imagines bajo licencia 123RF Internacional o extraídas de los documentos referenciados en el apartado BIBLIOGRAFÍA CONSULTADA.

La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.


Sobre el autor:


José Luis Colom Planas Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente del Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria.

A nivel de especialización jurídica, ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia, disponiendo de la certificación  CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y se ha especializado respecto a los delitos de blanqueo de capitales en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es experto externo en prevención de blanqueo de capitales, certificado por INBLAC.

A nivel de especialización técnica, ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).

Desempeña su labor profesional en GOVERTIS Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBCyFT, asesoramiento respecto a cumplimiento normativo, privacidad  y gestión de la seguridad de la información.  Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO, individuales o integrados, y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado.

También colabora con BSI como auditor jefe de certificación e impartiendo formación para la obtención de la certificación de lead auditor, en diferentes marcos normativos. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.

Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y   asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales),  habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.

  

Colaboración
MARGARITA PARDO DE SANTAYANA C.


2 comentarios:

  1. Wow! That is something i had been searching for long. While there is a huge but qiute informative and so much helpful article on proteccion datos. I got many important points through this post. Keep it up and thanks again.

    With Regards
    Jose Manuel

    ResponderEliminar

Nota: solo los miembros de este blog pueden publicar comentarios.