¿Quién cuida nuestros datos?
06/06/2010
En contraste con esta falta de concienciación, los expertos están de acuerdo en que vamos hacia un entorno en el que la regulación relativa a la protección de datos personales cobrará cada vez mayor importancia. Por ello, la vista se ha puesto en Alemania y EE. UU., donde existe la figura del responsable de privacidad, cuya función es velar para que se apliquen las medidas de seguridad en las empresas en lo referente a los archivos de carácter personal, tanto automatizados como de papel. Sin embargo, las organizaciones aún no prestan suficiente atención y esta figura no está asentada a pesar de que la Comisión Europea defiende la necesidad de crearla desde hace años.
"Tampoco existe una oferta formativa adecuada para la preparación de estos especialistas, ni una organización que los agrupe para dar visibilidad a su trabajo y facilitar su desarrollo y crecimiento profesional", apunta Antoni Bosch, director del Data Privacy Institute (DPI), institución que regulará esta certificación en nuestro país. Esta figura, según Bosch, cubre todo el ciclo de vida de los datos personales en la empresa, "desde la verificación sobre si se pueden recoger y el seguimiento por todos los departamentos por los que transitan hasta la destrucción final".
¿Cuáles son los pasos que debe seguir la empresa en función del reglamento que desarrolla la normativa española? ¿Por dónde empezar? Valentí Faura lleva muchos años en ello. como director del departamento de Risk Advisory Services de la consultora BDO, y explica siete pasos para construir este camino.
El primero es obvio. Conocer dónde hay datos personales en la empresa, ficheros con relaciones de clientes, proveedores, personal, imágenes... Una vez que se sabe dónde se ubican y se clasifican los ficheros, Faura recuerda que se determinan tres tipos de niveles. "En el bajo se encuentran los datos identificativos, como nombre, domicilio, teléfono..., y en el alto estarían aspectos más íntimos, como la religión, la tendencia sexual, ideales políticos, salud..., mientras que en el medio se ubicaría el resto".
El siguiente paso es declararlos a la Agencia Española de Protección de Datos (AEPD) o autonómicas. Bien entendido que lo que se declara es el fichero y su finalidad (no su contenido).
El tercer paso consiste en informar a las personas de por qué se le pide este dato (y para qué finalidades o usos). Habitualmente se firman cláusulas de consentimiento.
En el siguiente punto, se deben implementar las medidas de seguridad específicas correspondientes a su nivel que se adapten a la normativa vigente, tanto en los ficheros automatizados como en los de papel.
Una sexta fase es la que concierne a los empleados y su cumplimiento de las normas. Según Faura, "es necesaria una política interna. Los empleados deben conocer sus funciones y obligaciones en el cumplimiento de la protección de datos".
Por último, la normativa obliga a auditar como mínimo cada dos años o cuando haya cambios de sistema importantes, si hay archivos de nivel medio o alto. Aquí es donde aparece el embrollo, ya que la ley dice que ha de hacer la auditoría "personal externo o interno", pero no cita para nada su competencia. Faura y Bosch dicen que lo podría hacer cualquiera - al igual que el proceso de adecuación, los pasos del 1 al 6-aunque no esté cualificado, si bien en este caso se corre el riesgo de que si está mal y hay una inspección de la AEPD - que no actúa de oficio, sólo en caso de denuncia-pueda caer una multa de 600 hasta 600.000 euros.
"Hasta ahora lo habitual es que las auditorías las realicen o el abogado o el informático, pero no tienen todos los conocimientos necesarios y en muchos casos quedan cojas,sin olvidar la importancia del propio procedimiento de la auditoría", comenta Faura, quien dice que, por ello, "en BDO trabajamos con un equipo mixto: abogado, informático y controller (personal especializado en procedimientos organizativos), para cubrir todos los flancos". De todo ello Faura y Bosch coligen la urgencia de la figura del responsable de privacidad (con conocimientos en todas estas facetas), que en algunas grandes empresas ya está funcionando.
La Vanguardia, 06-06-2010