ciberágora.
cuestión de datos
Los datos personales constituyen un activo valiosísimo para las empresas, que los recogen y analizan como punto de partida para la toma de decisiones estratégicas. Datos como el nombre, fecha de nacimiento y correo electrónico son muy valorados por los departamentos de marketing, ya que permiten dibujar perfiles sociodemográficos de clientes, conocer sus hábitos y orientar promociones.
Los ciudadanos tienen derecho, reconocido por la Constitución española, a ejercer un control efectivo sobre su información personal. Recientemente, Inteco publicó el estudio sobre la protección de datos en las empresas españolas, proyecto de investigación en el que han participado más de 1.000 empresas españolas y un grupo de expertos de los ámbitos jurídico, académico, público y privado.
Los datos que abren el estudio son contundentes: el 86,4% de las empresas españolas manifiesta conocer la Ley Orgánica de Protección de Datos (LOPD), y el 80,4% es consciente de estar sujeta a ella. Detrás del elevado porcentaje de conocimiento se encuentra el gran trabajo de las autoridades de protección de datos, que han orientado sus esfuerzos a sensibilizar al colectivo empresarial. Si mencionamos que en el 2008 el porcentaje de empresas que afirmaba conocer la LOPD era un moderado 34%, podemos apreciar la magnitud del avance.
Pero conocer la ley no implica cumplir. Y más aún en el caso de la normativa sobre protección de datos, donde el legislador ha introducido un alto nivel de exigencias de carácter técnico y organizativo.
Sólo la mitad de las pequeñas y medianas empresas españolas manifiesta cumplir con las obligaciones sobre protección de datos, aunque el grupo de expertos considera que el nivel de cumplimiento real de la LOPD es incluso inferior.
La normativa sobre protección de datos «es un beneficio poco tangible» para las empresas, que la perciben como «una molestia que deben cumplir» si no quieren ser sancionadas. Lo que hacen, por tanto, es «adaptar solamente la parte que ve la gente» (la famosa cláusula informativa). Este es el escenario en el que nos movemos en España: muchas son las empresas que conocen la normativa, menos las que creen cumplirla, y menos aún las que efectivamente están al corriente de la misma. Teniendo en cuenta que la fecha de entrada en vigor de la LOPD se remonta a 1999, la situación es, cuando menos, preocupante.
¿Qué hacer para contrarrestar esta situación? La clave se encuentra en la implicación de la propia empresa. Hasta ahora, la protección de datos se ha venido abordando por la empresa española como una obligación desproporcionada y tediosa. El reto está en interiorizar los beneficios derivados de una correcta gestión de los datos personales de sus clientes, que se traducen en un aumento de la confianza interna (de la organización, provocada por un mayor control de los procesos) y externa (de los clientes actuales y potenciales, que valoran positivamente cómo la empresa trata sus datos personales de manera segura). El desarrollo de políticas de implementación de la LOPD requiere de un compromiso activo de toda la organización.
La Comisión Europea, consciente de esta situación, está impulsando una reforma de la legislación europea de protección de datos. La reforma persigue una aplicación coherente y homogénea de las normas en toda la UE. Así, en enero del 2012 se ha publicado una propuesta de Reglamento general de protección de datos, donde se introducen una serie de novedades para las empresas que traten datos de carácter personal. Algunas de ellas son la introducción del concepto privacy by design, que adelanta los requisitos de privacidad a la fase de diseño, y la excepción expresa de algunas disposiciones para las empresas de menor tamaño, colectivo que en la práctica presenta más dificultades a la hora de abordar el proceso de implementación. La reforma podría entrar en vigor el año que viene. Mientras tanto, las empresas españolas siguen rigiéndose por la LOPD y su reglamento de desarrollo.
Si en este punto no es capaz de responder con total certeza si su empresa cumple con las disposiciones previstas en la normativa sobre protección de datos, quizás sea un buen momento para pararse a reflexionar y adoptar las medidas oportunas.
Desde el Inteco le invitamos a implicarse en la solución. Por su dimensión organizativa y funcional, es recomendable abordar el proceso de la mano de un profesional. Apóyese en un asesor externo, pero no se desentienda. Comprenda que la adecuación a la LOPD no es algo puntual, sino que exige mantener unos procedimientos y medidas a lo largo del tiempo. Cada empresa es diferente y no existen recetas mágicas adaptables a todas las realidades. Y, sobre todo, déjese guiar por la sensatez. Como manifiesta Ricard Martínez, presidente de la Asociación Profesional Española de Privacidad y miembro del grupo de expertos participantes en el Estudio: «Las medidas de cumplimiento LOPD responden al sentido común y a la más elemental traslación de la seguridad del mundo físico al virtual».