Según un estudio de Inteco, sólo un 14% de las pymes españolas conoce el reglamento de la Ley Orgánica de Protección de Datos. Emerge la figura del responsable de privacidad para velar por el buen uso de los ficheros personales.

Lo cierto es que, a fuerza de acostumbrarnos, ya no damos casi importancia a los datos personales que vamos soltando aquí y allá. En empresas, administraciones, establecimientos sanitarios, bancos... vamos dejando rastros personales, domicilios, teléfono..., o más íntimos, que un día pueden ser objeto de abuso. ¿Quién no recibe llamadas telefónicas a horas intempestivas o correos publicitarios no deseados? A partir de aquí vamos tomando conciencia de la importancia de la privacidad. No en vano en el 2009 han aumentado un 75% las denuncias en esta materia. La ley orgánica de Protección de Datos (LOPD) está para velar por ella, pero no siempre las empresas la tienen suficientemente presente. Así, un reciente informe del Instituto Nacional de Tecnologías de la Comunicación (Inteco) revela que sólo un 14% de las pymes españolas conoce el reglamento de la LOPD (en vigor desde abril del 2008). Muchas empresas lo siguen viendo como algo que no va con su negocio y supone un coste.

En contraste con esta falta de concienciación, los expertos están de acuerdo en que vamos hacia un entorno en el que la regulación relativa a la protección de datos personales cobrará cada vez mayor importancia. Por ello, la vista se ha puesto en Alemania y EE. UU., donde existe la figura del responsable de privacidad, cuya función es velar para que se apliquen las medidas de seguridad en las empresas en lo referente a los archivos de carácter personal, tanto automatizados como de papel. Sin embargo, las organizaciones aún no prestan suficiente atención y esta figura no está asentada a pesar de que la Comisión Europea defiende la necesidad de crearla desde hace años.

"Tampoco existe una oferta formativa adecuada para la preparación de estos especialistas, ni una organización que los agrupe para dar visibilidad a su trabajo y facilitar su desarrollo y crecimiento profesional", apunta Antoni Bosch, director del Data Privacy Institute (DPI), institución que regulará esta certificación en nuestro país. Esta figura, según Bosch, cubre todo el ciclo de vida de los datos personales en la empresa, "desde la verificación sobre si se pueden recoger y el seguimiento por todos los departamentos por los que transitan hasta la destrucción final".

¿Cuáles son los pasos que debe seguir la empresa en función del reglamento que desarrolla la normativa española? ¿Por dónde empezar? Valentí Faura lleva muchos años en ello. como director del departamento de Risk Advisory Services de la consultora BDO, y explica siete pasos para construir este camino.

El primero es obvio. Conocer dónde hay datos personales en la empresa, ficheros con relaciones de clientes, proveedores, personal, imágenes... Una vez que se sabe dónde se ubican y se clasifican los ficheros, Faura recuerda que se determinan tres tipos de niveles. "En el bajo se encuentran los datos identificativos, como nombre, domicilio, teléfono..., y en el alto estarían aspectos más íntimos, como la religión, la tendencia sexual, ideales políticos, salud..., mientras que en el medio se ubicaría el resto".

El siguiente paso es declararlos a la Agencia Española de Protección de Datos (AEPD) o autonómicas. Bien entendido que lo que se declara es el fichero y su finalidad (no su contenido).

El tercer paso consiste en informar a las personas de por qué se le pide este dato (y para qué finalidades o usos). Habitualmente se firman cláusulas de consentimiento.

En el siguiente punto, se deben implementar las medidas de seguridad específicas correspondientes a su nivel que se adapten a la normativa vigente, tanto en los ficheros automatizados como en los de papel.

Una sexta fase es la que concierne a los empleados y su cumplimiento de las normas. Según Faura, "es necesaria una política interna. Los empleados deben conocer sus funciones y obligaciones en el cumplimiento de la protección de datos".

Por último, la normativa obliga a auditar como mínimo cada dos años o cuando haya cambios de sistema importantes, si hay archivos de nivel medio o alto. Aquí es donde aparece el embrollo, ya que la ley dice que ha de hacer la auditoría "personal externo o interno", pero no cita para nada su competencia. Faura y Bosch dicen que lo podría hacer cualquiera - al igual que el proceso de adecuación, los pasos del 1 al 6-aunque no esté cualificado, si bien en este caso se corre el riesgo de que si está mal y hay una inspección de la AEPD - que no actúa de oficio, sólo en caso de denuncia-pueda caer una multa de 600 hasta 600.000 euros.

"Hasta ahora lo habitual es que las auditorías las realicen o el abogado o el informático, pero no tienen todos los conocimientos necesarios y en muchos casos quedan cojas,sin olvidar la importancia del propio procedimiento de la auditoría", comenta Faura, quien dice que, por ello, "en BDO trabajamos con un equipo mixto: abogado, informático y controller (personal especializado en procedimientos organizativos), para cubrir todos los flancos". De todo ello Faura y Bosch coligen la urgencia de la figura del responsable de privacidad (con conocimientos en todas estas facetas), que en algunas grandes empresas ya está funcionando.


Un paso adelante

Antoni Bosch explica que "conscientes de la importancia de la protección de datos y de su estrecho vínculo con el gobierno de la seguridad de la información, la Asociación Española para el Fomento de la Seguridad de la Información (ISMS Forum Spain) arrancó en julio del 2009 un nuevo proyecto, el Data Privacy Institute (DPI), cuya vocación es aglutinar a todas las personas y organizaciones que tienen interésy responsabilidades en la privacidad y protección de datos personales, promoviendo la formación de sus asociados y facilitando cauces de interlocución con las administraciones y autoridades de control".

El DPI presentó el pasado mes de octubre la puesta en marcha de una certificación específicamente dirigida al área de la privacidad que será pionera en España, denominada Certified Data Privacy Professional (CDPP). La certificación está pensada para directores de seguridad; responsables de privacidad; gestores de protección de datos; consultores; abogados, y técnicosde seguridad y de sistemas con responsabilidades en esta área de creciente importancia en todo tipo de organizaciones.

La certificación CDPP se obtendrá tras superar una prueba teórica y acreditar además experiencia profesional. Está previsto celebrar la primera edición de esta prueba el próximo 19 de junio.

Acceso a Estudio e Informes de Inteco: http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/

Articles relacionats / Artículos relacionados

Suscríbete gratuitamente a nuestros boletines

Recibe noticias e ideas en Recursos Humanos.
Suscripción

Utilizamos cookies para ofrecer a nuestras visitas una mejor experiencia de navegación por nuestra web.
Si continúas navegando, consideramos que aceptas su utilización.