5 años de LOPD: ¿Dónde estamos?

Víctor Roselló Mallol, abogado
E-mail : victor@rosello-mallol.com
Web : www.rosello-mallol.com

El pasado 14 de enero se cumplieron los 5 años desde la entrada en vigor de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, parece pues un buen momento para valorar como se encuentra la implantación efectiva de esta ley en el ámbito de las empresas.

Según datos de la Agencia Española de Protección de Datos en Diciembre de 2004 se encontraban inscritos un total de 457.490 de ficheros de titularidad privada, en la misma fecha y según datos del Directorio Central de Empresas (organismo del INE) existían en España un total de 2.942.583 empresas (Sociedades Limitadas y Anónimas). Teniendo en cuenta que en ésta última cantidad no se reflejan ni autónomos, ni sociedades no mercantiles, ni otras entidades de ámbito privado cuyos ficheros deberían estar también inscritos en el Registro General de la Agencia Española de Protección de Datos, el grado de cumplimiento de esta obligación legal, es francamente desalentador. Tomando el número total de empresas contabilizadas por el Directorio Central de Empresas y considerando que la gran mayoría de empresas necesitan para su normal funcionamiento, como mínimo, un fichero de clientes y uno de proveedores y el 49% de éstas tienen al menos un asalariado, por tanto un fichero de trabajadores, podemos llegar a la conclusión que, como máximo, están inscritos en el registro el 6,2% de los ficheros de las empresas españolas. Éstas pírricas cifras, no tienen en cuenta, además, ficheros cada vez más habituales entre las empresas como el de los usuarios de su página web, clientes potenciales, currículums, etc... A todo esto debemos añadir, por si no fuera suficiente, que la inscripción de los ficheros no implica el cumplimiento efectivo por parte de la empresa de todo lo dispuesto por la LOPD, como por ejemplo que garantice el derecho de información de los titulares de los datos o que haya revisado sus contratos con prestadores de servicios que impliquen el tratamiento de datos o que haya implementado el preceptivo documento de seguridad.

Las frías cifras, por tanto, parecen demostrar que el grado de cumplimiento de lo que dispone la LOPD, está lejos de una situación, si quiera, razonable. Creemos necesario pues el lanzamiento de nuevas ideas y propuestas para que el cumplimento efectivo de ésta ley empiece a consolidarse ya que el miedo que han generado algunas actuaciones de la AEPD, parece no ser suficiente, al menos para ciertas empresas o sectores de actividad.

Bajo mi opinión sería necesaria la interactuación de cuatro sectores implicados para el definitivo relanzamiento de la cultura de protección de datos. Me estoy refiriendo a una distinta actitud del titular de los datos, un cambio de política de la AEPD y de las agencias autonómicas hasta el día de hoy creadas, así como de los responsables de los ficheros y encargados del tratamiento y, por último, del poder legislativo. Vayamos por partes.

Desde mi punto de vista resulta evidente la sensación generalizada entre los titulares de datos (es decir de todas las personas), de la falta de control que sobre sus propios datos tiene. Son constantes las llamadas, cartas, correos electrónicos nominales enviados por empresas con las que el titular de los datos no es consciente de tener relación alguna. La sorpresa o indignación en menos casos, de las personas acostumbra a morir en el momento en el que se cuelga el teléfono, se rompe la carta o se borra el correspondiente correo electrónico. A pesar de ese rechazo puntal, sus datos continúan en el sistema que ha generado esa comunicación y al cabo de días o semanas, este vuelve a producirse, generando un círculo interminable. La gente se queja interiormente, pero no reclama a quien debe hacerlo. Nuestro país tiene tradición de quejarse mucho y reclamar poco. Es necesario que los titulares de los datos reclamen formalmente, por los cauces legalmente establecidos, sus derechos, lo que obligará a los responsables del tratamiento a guardar ciertas cautelas que en la actualidad no se toman en cuenta. En ese punto debería convertirse en básica la labor de las agencias de protección de datos (la estatal y las autonómicas) que hasta la fecha se han centrado, acertadamente a mi entender, en que los responsables de los ficheros conozcan la ley, sin llevar a cabo una divulgación efectiva de lo que es el derecho en si entre sus titulares. Humildemente creo que ha llegado ese momento, el conocimiento del derecho debe generar un mayor cumplimiento de la ley. Esto exige, no puede negarse, mayores recursos de la AEPD, ya que un mayor conocimiento del derecho debe comportar más procedimientos de tutela de los mismos, lo que significa más recursos humanos y materiales para atenderlos. En ese plano creo imprescindible que el presupuesto de la AEPD vuelva a depender en exclusiva de las arcas públicas y deje de financiarse de las sanciones, circunstancia que, en la actualidad, coloca a la AEPD en una situación de juez y parte ciertamente incomprensible.

En cuanto a los responsables de los ficheros y encargados del tratamiento, creo que va siendo la hora que tomen medidas en cuanto a los cantos de sirena que últimamente están oyendo en relación a su necesidad de adecuarse a la LOPD. En su inmensa mayoría saben que deben aplicar la ley, pero pocos son los que lo hacen. Hasta día de hoy observan que las sanciones (el único argumento efectivo hasta la fecha), se aplican, casi exclusivamente, a las grandes empresas y creen que tardará en llegar su momento. A todos ellos les diría que este es el momento de adaptarse a la LOPD, básicamente, por qué entraran en un reducido número de elegidos adaptados a la ley dejando de engrosar las empresas potencialmente sancionables. Por otro lado no podemos olvidar que la ley les obliga y, que tarde o temprano, deberán adecuarse. ¿Por qué no hacerlo ahora cuando el grado de paranoia sobre el cumplimiento de esta ley es aún moderado? Deben ser conscientes que un día llegarán las prisas, y que las prisas que no son buenas compañeras de viaje para ninguna de las partes implicadas: los propios responsables de ficheros, los auditores legales y la AEPD.

Por último creo que sería un error no buscar explicaciones del bajo grado de cumplimiento de la LOPD, en la propia ley. Creo francamente desacertado que la ley mida a todas las empresas por el mismo rasero, obligando del mismo modo y en la misma medida a una gran multinacional que a la pequeña tienda de ropa de la esquina. Dicho esto, es necesario añadir que las reformas en ese sentido, no pueden vulnerar el contenido esencial del derecho de protección de datos, ya que no será constitucionalmente tolerable que éste derecho fundamental tuviera mayor o menor eficacia en función del responsable del fichero. Por tanto teniendo en cuenta que el contenido esencial del derecho de protección de datos, no puede depender de la entidad que los trate, creemos que la flexibilización de los requisitos para ciertos responsables de ficheros, debe llevarse a cabo en los aspectos no orgánicos de la regulación. Estamos pensando en concreto en el próximo reglamento de medidas de seguridad que debe desarrollarse en cumplimiento de la LOPD. Esta norma debería flexibilizar los requisitos de seguridad para las empresas que objetivamente, son menos vulnerables. Por ejemplo pequeñas empresas que sólo trabajan con ordenadores sin conexiones remotas, o en una aislada estación de trabajo o incluso únicamente con ficheros en papel.