Resumen: Estudio sobre
la situación actual de adecuación a la LOPD de las empresas españolas, a partir
de datos contrastados. Se analizan los elementos que aportan convicción para
decidirse por el cumplimiento, y se incide en el más desconocido de ellos: Las
posibles sanciones tipificadas en el CP (Código Penal).
Autor del artículo
|
Colaboración
|
|
JOSE
LUIS COLOM PLANAS
|
MARGARITA PARDO DE
SANTAYANA C.
|
|
Actualizado
|
02 de noviembre de 2013
|
|
ÍNDICE.
1. CUMPLIMIENTO DE LAS EMPRESAS ESPAÑOLAS
1.1. Introducción1.2. Comparativa del DIRCE con el RGPD
1.3. Tendencia observada
1.4. Factores que influyen en la tendencia
1.4.1. Mayor conciencia social
1.4.2. Tratarse de una obligación legal
1.5. Elementos que aportan convicción
1.5.1. Potestad sancionadora de la AEPD
1.5.2. Coste de la pérdida de imagen empresarial
1.6. Ley de Economía Sostenible
2 SANCIONES PENALES
3 BIBLIOGRAFÍA CONSULTADA
4 DERECHOS DE AUTOR
1. CUMPLIMIENTO DE LAS
EMPRESAS ESPAÑOLAS.
1.1. Introducción.
Actualmente, los profesionales que
tenemos alguna relación con los SGSI (Sistemas de Gestión de la Seguridad de la
Información) en general y con la protección de datos de carácter personal en
particular, sabemos que existe en España legislación al respecto y que ésta es
de obligado cumplimiento.
No queda tan claro si el conjunto de
la ciudadanía está al corriente de ello, aunque quién navega por Internet y en alguna
ocasión ha rellenado un formulario por ese medio, habrá observado la aparición
de una cláusula
de información/consentimiento de derechos amparados por la LOPD, tipo la
siguiente:
”En cumplimiento de la Ley Orgánica 15/1999, de 13 de
diciembre de Protección de Datos de Carácter Personal (LOPD), (sustituir por el
nombre del responsable del fichero), como responsable del fichero informa de
las siguientes consideraciones: Los datos de carácter personal que le
solicitamos, quedarán incorporados a un fichero cuya finalidad es (describir la
finalidad). Los campos marcados con asterisco (o cualquier otra señal) son de
cumplimentación obligatoria, siendo imposible realizar la finalidad expresada
si no aporta esos datos. Queda igualmente informado de la posibilidad de
ejercitar los derechos de acceso, rectificación, cancelación y oposición, de
sus datos personales en (sustituir por el domicilio para ejercitar los
derechos)”.
Con dicha cláusula, es difícil que
aquel ciudadano que proporcione datos de carácter personal a través de una
página web, ya sea a una empresa privada o a un organismo público, no esté al
corriente de sus derechos. Quiere ello decir, que cada vez más, aumenta la conciencia colectiva como
usuarios, de los derechos en materia de protección de datos de carácter
personal.
¿Y las
empresas?, ¿Son realmente conscientes de sus
obligaciones legales, en relación al cumplimiento de la LOPD?
¿Están al corriente de la normativa
respecto al uso, gestión, cesión, etc. de los archivos con datos personales de
los ciudadanos, las responsabilidades derivadas ante una actuación incorrecta,
la obligatoriedad de su registro y mantenimiento ante la AEPD, la necesaria
adopción de las medidas legales, técnicas y organizativas de protección correspondientes,
así como la auditoria periódica necesaria?
A priori y teniendo en cuenta que
somos un país de PYMES (Medianas, pequeñas y micro empresas), no es aventurado
suponer que la mayoría no.
1.2. Comparativa del DIRCE con el RGPD.
Consultando el último dato publicado
por el INE (Instituto Nacional de Estadística), concretamente en lo que se
refiere al DIRCE
(Directorio Central de Empresas), a fecha 1 de enero de 2011), apreciamos que
hay 3.250.576 empresas inscritas en España (PYMES y Grandes empresas).
Acceso a la página del DIRCE:
Si vemos las estadísticas del RGPD (Registro general de la Protección de
Datos, que publica la AEPD en su página web, el número de ficheros de
Titularidad Privada inscritos por sus responsables, a 31/03/2012, ascienden a
2.597.841.
Podemos consultar las estadísticas que
publica la AEPD:
Ambas cifras no son comparables
directamente, dado que muchas empresas tienen registrados varios ficheros en la
AEPD. Aproximadamente, 2.597.841
ficheros se corresponden con 1.000.000 de Responsables de Ficheros. Habida
cuenta que 335.000 pertenecen a comunidades de propietarios, quedan 665.000
correspondientes a empresas propiamente dichas.
De todo ello se deduce que la
relación de empresas que cumplen la LOPD
es a día de hoy apenas de un 20%, suponiendo que prácticamente todas tengan
algún fichero que registrar (aunque sea el de RR.HH.).
Confesaré que me esperaba una relación
porcentual así. Eso es una buena noticia
para los “asesores profesionales” en materia de LOPD, pues significa que
tienen por delante mucho campo de acción.
Aunque las empresas pueden registrar
de forma telemática, directamente en el RGPD mediante el formulario NOTA, es
obvio que establecer políticas y un sistema de gestión de la seguridad eficaz y
eficiente, con su mantenimiento continuado, ya no está al alcance de
cualquiera. Para eso están los consultores en gestión de la seguridad, especialistas en adecuación de empresas a la
legalidad vigente, etc. Da igual que sean internos o externos.
1.3. Tendencia Observada.
Analizando sin embargo el gradiente de
crecimiento en el número de ficheros de titularidad privada registrados desde
marzo de 2005 hasta marzo de 2012, vemos
la tendencia a un mayor índice de crecimiento en los últimos años.
1.4. Factores que influyen en la tendencia.
Es de suponer que se debe a dos
factores:
- 1.4.1. Mayor conciencia social. Ésta es debida a la masificación de Internet, la proliferación de “smartphones”, “tabletas” y demás dispositivos móviles, la introducción del Cloud Computing, el auge de las “redes sociales y profesionales”, en una frase, lo que se ha dado en llamar “Informática en cualquier parte” (Computing anywhere). Todo ello acentúa la sensibilidad por parte de usuarios y la sociedad en general, que empujan a las empresas a adoptar medidas que garanticen la seguridad y privacidad de sus datos de naturaleza personal.
- 1.4.2. Tratarse de una obligación legal. Al no tratarse simplemente de unas recomendaciones, ni de una certificación reconocida como puede ser la ISO 27000, ni de tan solo un modelo de buenas prácticas a seguir, sino de legislación de obligado cumplimiento. Hemos de pensar que en tiempos de incertidumbre económica, se le presta menor atención a todo aquello que representa una inversión no relacionada directamente con la actividad, y mucho menos a un gasto.
1.5. Elementos que aportan convicción.
Ante tal escenario, hay al menos dos elementos que aportan
convicción a la empresa, para decidirse a cumplir con la LOPD:
1.5.1. Potestad sancionadora de la AGPD.
La Agencia Española de protección de datos se
conforma como una autoridad con plena independencia respecto del resto de las AA.PP.
en el ejercicio de sus funciones y se rige por la LOPD y su propio Estatuto
definido en el Real Decreto 428/1993, de 26 de marzo y sus posteriores
modificaciones.
El número de denuncias, fruto de una mayor concienciación y conocimiento de sus derechos por parte de los afectados, han aumentado un 51,6% del ejercicio 2010 al 2011.
La LOPD califica las infracciones como leves,
graves o muy graves. Según la infracción, las sanciones pueden oscilar:
·
De 900 a 40.000 euros para las leves
·
De 40.001 a 300.000 euros para las graves
·
De 300.001 a 600.000 euros para las muy graves.
La Ley 37/2011 de
Medidas de Agilización Procesal de 10 de octubre, Medidas de Agilización Procesal , prohíbe que se
recurran en casación ante el Tribunal Supremo sentencias dictadas en segunda
instancia por las Audiencias Provinciales, siempre que la cuantía del proceso
no exceda de 600.000 euros, coincidiendo con el importe máximo de las sanciones
de la AEPD. La posible concurrencia de varias sanciones tampoco admite
acumulación a efectos de cuantía para poder recurrir en casación, aunque el
conjunto supere los 600.00 euros. Dicha ley 37/2011 surgió con la excusa de
aligerar la acumulación de asuntos que colapsa el Tribunal Supremo.
Además, en época de
recesión y dificultad en el acceso al crédito, una sanción de elevada cuantía
puede significar para algunas empresas el cese
de actividades debido a la falta de liquidez.
1.5.2. El coste de la pérdida de imagen
empresarial.
Hemos visto
recientemente como la circulación de opiniones y consignas de forma imparable
por las redes sociales, ha sido capaz de poner en jaque incluso a gobiernos
(ver la primavera árabe). Una buena reputación
corporativa es esencial en un mundo con economías globalizadas y cada vez
más competitivo. Como sea que la AEPD hace públicas las empresas sancionadas
indicando claramente el motivo, puede
representar un coste económico oculto mucho más importante, que no solo
contrarreste la posible inversión en publicidad, sino que traslade a la
competencia el hábito de compra de nuestros clientes, cada vez mas sensibles a
las cuestiones sociales.
Además, los clientes de una empresa quieren estar
seguros de que su información privada será bien gestionada, y si no lo
están, pueden optar por hacer negocios con otra.
Recordar por citar a
cualquiera, lo que pasó con SONY y su fuga de datos el 26 de abril de 2011. Los expertos advierten
que la violación de su base datos,
puedo suponerle a Sony un coste superior a 1.500 millones de dólares
en indemnizaciones y compensaciones (1.010 millones de euros), es decir, una media de 20 dólares (13'5 euros) por
cada uno de los 77 millones de clientes, además de la importante deserción de éstos
preocupados por la privacidad de sus datos, cuyo impacto económico está todavía
por determinar.
1.6. Ley de Economía Sostenible.
La Ley 2/2011 de
Economía Sostenible, de 4 de marzo, publicada en el BOE,
incluye en su disposición final quincuagésima
sexta, la reforma de los artículos 43, 44, 45, 46 y 49 referidos al régimen
sancionador de la Ley Orgánica 15/1999 de 13 de diciembre de Protección de
Datos de Carácter Personal.
Mediante la incorporación de un nuevo
apartado 6 del artículo 45 de la LOPD, se amplían las opciones para adoptar
medidas preventivas en el cumplimiento de la Ley, a través de la figura del apercibimiento, como
medida no sancionadora. Dicho artículo 45.6 establece:
“excepcionalmente el órgano sancionador
podrá, previa audiencia de los interesados y atendida la naturaleza de los
hechos y la concurrencia significativa de los criterios establecidos en el
apartado anterior, no acordar la apertura del procedimiento sancionador y, en
su lugar, apercibir al sujeto responsable“.
Es un
procedimiento que permite a la AEPD ser más dinámica en la persecución del
incumplimiento de la LOPD. En el artículo 44.3.i de la LOPD
se recoge como infracción grave el no
atender un apercibimiento de la Agencia.
2. SANCIONES
PENALES:
NOTA DEL EDITOR: Paso a transcribir literalmente dado que,
según cláusula de autor, no puede servir la fuente para generar obras
derivadas. Reseña del documento original en la sección “Bibliografía consultada
– Elisenda BRU”.
En cuanto a las
sanciones penales,
éstas se recogen en el título X del Código penal (CP). El ordenamiento penal
recoge, salvo algunas excepciones, un sistema abierto de posibles sujetos
pasivos, por lo que permitirá, en principio, el castigo de todo aquel que
realice la conducta típica.
En el tipo básico del art. 197 CP se definen, de un modo
especialmente casuístico, las distintas modalidades delictivas.
Tras tipificar las diferentes conductas lesivas de la
intimidad con relevancia penal, el apartado segundo se dedica íntegramente a la
protección de la autodeterminación informativa, incriminando los abusos perpetrados sobre datos personales registrados
en ficheros automatizados o en cualquier otro tipo de archivo o registro
público o privado.
Se prevé, además, un tipo agravado para los casos de
difusión, revelación o cesión a terceros de los datos (art. 197.3 CP).
La condición profesional del sujeto activo del delito (el responsable del fichero o encargado del
tratamiento), se toma en consideración para la creación de un subtipo
agravado en el apartado cuarto, que permite imponer una pena de entre tres y cinco años de prisión, salvo que, además, los datos se difundan, cedan o revelen, en
cuya caso la pena se elevará hasta su mitad superior.
Si la conducta incurre en la afectación del núcleo duro
del derecho, o la víctima es un menor o incapaz, se incurre en otro subtipo
cualificado previsto en el apartado quinto. Por último, el apartado sexto prevé
un tipo agravado para los casos en que
la conducta delictiva se haya realizado con fines lucrativos.
El artículo 197.3 CP apartado segundo, por su parte,
prevé un tipo autónomo para los casos en que el autor, con conocimiento de su
origen ilícito y sin haber tomado parte en su descubrimiento, difunda, revele o
ceda a terceros los datos.
Finalmente, el artículo 198 CP prevé un tipo agravado para el caso de autoridades y
funcionarios públicos que realizaren cualquiera de las conductas previstas
en el artículo anterior. En este caso se aplicarán las penas previstas en su
mitad superior y la pena de inhabilitación absoluta de seis a doce años.
Las penas previstas oscilan, por tanto, entre la pena de
prisión de uno a tres años, hasta la pena de prisión de cuatro a siete años,
para el caso en que se realice la conducta con fines lucrativos y además afecte
al núcleo duro del derecho.
Pese a la naturaleza subsidiaria y fragmentaria del
Derecho penal su carácter, en definitiva, de ultima ratio, que
condiciona su intervención únicamente cuando resulte necesaria, porque los
instrumentos extrapenales no resulten adecuados para la correcta protección de
los bienes jurídicos, y únicamente para los ataques más graves, no siempre
resulta sencillo distinguir materialmente entre las infracciones contenidas en
la LOPD y las previstas en el Código penal.
Sí es cierto que, conforme al ya citado artículo 43.1
LOPD, los destinatarios del régimen sancionador previsto en esta ley son
únicamente los responsables de los ficheros y los encargados del tratamiento,
por tanto son los únicos sujetos activos posibles de las infracciones allí
recogidas. Al margen quedan, pues, los outsiders.
Pero conviene recordar que restaría aún la protección
dispensada por la LO 1/82, como ha puesto de relieve la doctrina, para aquellas
intromisiones en el derecho no abarcadas por la LOPD y, en especial, para las
llevadas a cabo por los outsiders, a pesar de que la concreción típica
en el caso de la intromisión no esté depurada y actualizada.
MORALES PRATS (1), consciente de este solapamiento, mantiene que si se intenta
hallar algún criterio de selección entre las conductas incriminadas en el
Código penal y las que han sido ubicadas en sede administrativa, se observará
la imposibilidad de dar con un reparto de funciones
entre infracción penal e infracción administrativa. Ante esta situación, los
particulares pueden, en los términos establecidos en el artículo 201 del CP,
dejar de lado la vía penal y optar por la civil o administrativa.
3. BIBLIOGRAFÍA CONSULTADA
- (1) Varios
autores - G. QUINTERO OLIVARES (director) - F. MORALES PRATS (coordinador). “Delitos contra la intimidad, el derecho a la propia
imagen y la inviolabilidad del domicilio - Comentarios al Nuevo Código Penal”. (4ª edición 2005). Thomson-Aranzadi. ISBN: 84-8410-304-8
- BRU, Elisenda (2007). ”La protección de datos en España y en la Unión
Europea. Especial referencia a los mecanismos jurídicos de reacción frente a la
vulneración del derecho a la intimidad”. En: “III Congreso Internet, Derecho y
Política (IDP). Nuevas perspectivas” [monográfico en línea]. IDP. Revista de Internet, Derecho y Política. Nº 5. UOC. ISSN 1699-8154.
- BOE nº 281. “Ley Orgánica 10/1995, de 23 de noviembre, del Código
Penal”. Publicado 24/11/1995.
4. DERECHOS DE AUTOR
Todas las
imagines bajo licencia 123RF Internacional o extraídas de los documentos
referenciados en el apartado BIBLIOGRAFÍA CONSULTADA.
La presente obra y su título están protegidos por el derecho de autor. Las
denominadas obras derivadas, es decir, aquellas que son el resultado de la
transformación de ésta para generar otras basadas en ella, también se ven
afectadas por dicho derecho.
Sobre el autor:
José Luis Colom Planas Posee
un doble perfil, jurídico y técnico, que le facilita el desempeño profesional
en el ámbito de los diferentes marcos normativos, especialmente del Derecho de
las nuevas tecnologías y las normas ISO de adscripción voluntaria.
A
nivel de especialización jurídica, ha realizado el postgrado
de Especialista Universitario en Protección de Datos y Privacidad en la
Facultad de Derecho de la Universidad de Murcia, disponiendo de la
certificación CDPP (Certified Data
Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa
superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y
se ha especializado respecto a los delitos de blanqueo de capitales en la UOC,
en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es
experto externo en prevención de blanqueo de capitales, certificado por INBLAC.
A
nivel de especialización técnica, ha cursado Ingeniería
técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT
(Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es
Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por
AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301
by BSI (British Standards Institution). Auditor del esquema de
certificación STAR para prestadores de servicios de Cloud Computing (BSI +
Cloud Security Alliance). Ha obtenido la certificación internacional CISA
(Certified Information Systems Auditor) by ISACA (Information Systems Audit and
Control Association). Dispone de las certificaciones ISO 20000 PMI (Process
Management Improvement) e ITIL Service Management by EXIN (Examination
Institute for Information Science).
Desempeña su labor
profesional en GOVERTIS Advisory Services
cómo Compliance, Management & IT Advisor, incidiendo en Compliance
Penal, PBCyFT, asesoramiento respecto a cumplimiento normativo, privacidad
y gestión de la seguridad de la información. Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas
ISO, individuales o integrados, y en la optimización de sus procesos. Ha
realizado diferentes niveles de auditorías de cumplimiento legal ya sea para
organizaciones sujetas a Derecho público o privado.
También colabora con BSI como
auditor jefe de certificación e impartiendo formación para la obtención de la
certificación de lead auditor, en diferentes marcos normativos. A partir de su
dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.
Convencido del valor que
aportan las organizaciones profesionales, es asociado sénior de la APEP
(Asociación Profesional Española de Privacidad), miembro de ISACA
(Information Systems Audit and Control Association), miembro de ISMS Forum
Spain (Asociación Española para el Fomento de la Seguridad de la
Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación
de Técnicos de Informática), ENATIC (Asociación de expertos nacionales
de la abogacía TIC), CUMPLEN (Asociación de Profesionales de
Cumplimiento Normativo) y asociado de INBLAC (Instituto
de expertos en prevención del Blanqueo de Capitales), habiendo sido
ponente o colaborado en casi todas las referidas organizaciones. También lo es
de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT)
habiendo obtenido, junto a algunos colaboradores del mismo, un premio
compartido otorgado por la AEPD.
Colaboración
| ||
MARGARITA PARDO DE SANTAYANA C.
| ||
Wow! That is something i had been searching for long. While there is a huge but qiute informative and so much helpful article on proteccion datos. I got many important points through this post. Keep it up and thanks again.
ResponderEliminarWith Regards
Jose Manuel
Thank you very much Jose Manuel
Eliminarbest regards
Jose Luis