Nuestro país se merece que la privacidad marca España sea el aval de nuestro Cloud, nuestras aplicaciones móviles y nuestro Big Data. Se requiere un modelo de impulso del cumplimiento normativo en positivo, viable y pactado. Lo que está en juego no es el número de infracciones a tramitar, o la cantidad de inspectores. Nos jugamos el futuro de nuestra economía digital.
Según datos de 2013 el trabajo de la Agencia Española de Protección de Datos se ha incrementado un 300% en breve tiempo y desborda como es obvio las capacidades del personal. El bloqueo al crecimiento de plantillas, la asunción de las tareas de la Agencia de Protección de Datos de la Comunidad de Madrid, y el constante incremento de las denuncias son las causas que se encuentran en la base de esta saturación. Por ello, desde la institución con un recto criterio se planteó una ampliación de efectivos costeables, imagino que con esa bolsa de ingresos por sanciones que se viene generando cada año.
En una primera aproximación la solución es correcta, por obvia. Con más recursos se podrá hacer frente a más denuncias y con más ingresos se podrá costear el incremento de plantilla. Sin embargo, ni es la única aproximación, ni parece que gestionar más procedimientos sancionadores plantee un futuro horizonte saludable. Es muy difícil salir de este atolladero, pero hay algunas cuestiones que resultaría conveniente considerar.
¿Cómo cumplen la LOPD las organizaciones españolas?
En 2008, según INCIBE (entonces INTECO) un 85% de las Pymes españolas no conocían el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos y 96% declaraba tener ficheros un 78% de los cuales con datos personales. De ellas, un 47 % no los había inscrito y un 16% no sabía de qué se les hablaba, pero curiosamente un 84% declaraba estar cumpliendo. En 2012 la segunda oleada del mismo estudio señalaba en su resumen ejecutivo que el 57,5% de las empresas afirmaba haber inscrito sus ficheros en la AEPD. La estimación de INTECO era que solo el 31,8% lo habían hecho. El 1 de abril de 2015 dicho estudio todavía resonaba y CSO Computer World titulaba «La LOPD, asignatura pendiente de las PYMES», afirmando que «Según DAS Internacional, la Ley de Protección de Datos (LOPD) es una asignatura pendiente para las pequeñas y medianas empresas españolas».
Según la Memoria de la AEPD de 2013, existían 3.228.777 ficheros de titularidad privada (el 95,66%) y 146.282 de titularidad pública (el 4,33 %) de los cuales 81.973 correspondían a municipios. Pues bien según el INE el 1 de enero de 2014 había en España 3.119.310 empresas, y según la misma entidad existían 8.116 municipios. Si establecemos un marco comparativo un tanto grosero apreciaremos que mientras que las empresas han inscrito como media poco más de un fichero, los municipios al menos 10. Si se tiene en cuenta, que a grandes rasgos las empresas disponen como mínimo de un fichero de clientes y otro de personal. Si descontamos las empresas integradas por una sola persona física (1,67 millones), resulta que el total básico de ficheros a inscribir podría ser de 4.568.620 con un desfase de 1.339.843. Si además consideramos que hay quien afirma que el número de videocámaras en España se acerca al millón, la cifra de incumplimiento sería mayor.
Sin abandonar la Memoria resulta que del total de 22.339.440.-€ en sanciones impuestas, un 28% afectó a empresas de telecomunicaciones, casi un 20% al sector financiero, y un 7% a energía y suministros, mientras sólo un 0.14% se impuso en materia de inscripción de ficheros. El escenario se presenta dantesco. Los ciudadanos cada día saben más, la denuncia en protección de datos es sencilla, y su uso como arma estratégica usual. Así que mientras las empresas españolas mantengan este éxito en el grado de cumplimiento, las denuncias solo pueden hacer una cosa: crecer.
¿Formación y concienciación?
La disponibilidad de la institución a participar en los eventos a los que se le invita es proverbial. Sin embargo no parece haberse desarrollado una estrategia proactiva de formación y concienciación. La mayor parte de los efectivos se destinan por tanto a constatar “que no se cumple”. Por otra parte, con la notable excepción de la sección de menores, no se aprovechan los recursos tecnológicamente disponibles en el mercado como las píldoras de conocimiento o los famosos MOOC.
En la práctica esto deja la comunicación de la institución en manos de las noticias sobre sanciones. Así, y ya que en nuestro mundo lo que comunica es la crítica, la menor alerta contra empresas concretas, y el menor atisbo de aproximación catastrofista a ciertos fenómenos tecnológicos, se magnifica. Y esto opera sin duda como un elemento de atracción a un escenario que sólo puede caminar en una dirección: el incremento de las denuncias.
¿Los profesionales?
Un simple repaso al índice de la Memoria de 2013 resulta muy significativo. En ella existe un epígrafe titulado «Ciudadanos más y mejor informados», se habla de garantizar los derechos de los ciudadanos, se dedica 12 de 76 páginas de texto al futuro de la privacidad y 14 al desarrollo normativo en otros países. La palabra “empresa” no aparece en el índice temático, no hay ni un solo epígrafe. Del mismo modo la expresión profesional se usa cinco veces, y ni una sola referida a los profesionales de la privacidad, y la idea de delegado de protección de datos, data protection officer no aparecen.
Al margen de la Sesión anual, y de la presencia puntual en eventos asociativos, la interacción con los profesionales de la privacidad camina en la línea inversa a la que establece el futuro Reglamento General de Protección de Datos en la propuesta inicial de la Comisión. Si bien existe una línea de atención al ciudadano, no existe un servicio equivalente para el profesional. El canal de consultas de la AEPD no se ha concebido tampoco para ello.
Los profesionales de la privacidad españoles son altamente apreciados en Europa, y de hecho comienzan a copar los equipos de las grandes ligas de DPOs europeos y multinacionales, y sin embargo no son profetas en su tierra. Ni siquiera están representados en el Consejo de la Agencia. Esta realidad obliga a un ejercicio profesional preventivo, medroso y paralizante que bloquea la innovación.
Esto, sencillamente no es bueno, sólo los profesionales contribuyen a evitar un cumplimiento de baja calidad que conduce también a un incremento de las denuncias.
¿La industria?
A lo largo de la historia reciente, -con la excepción del documento sobre evaluación de impacto en la privacidad y la Guía de Cookies-, las guías e Instrucciones de la AEPD se han realizado sin colaboración de la industria. El Instituto de los Códigos Tipo posee un perfil burocrático intenso con procesos de tramitación interminables en los que un simple matiz en una expresión puede dar al traste con un esfuerzo de meses. Resulta significativo que existan muy pocos códigos tipo publicados. En la práctica este instrumento se concibe como una actuación meramente reactiva para el regulador y particularmente exigente para los responsables. De este modo, una herramienta extraordinaria para fomentar el compromiso corporativo, e idónea para promover el cumplimiento sectorial por las PYME queda vacío de contenido.
Otro elemento significativo es el de la tramitación e imposición de las sanciones. Obviamente el regulador se limita a aplicar la norma. Pero en su diseño, este procedimiento es más un purgatorio que un lenitivo, se piensa en el resultado más que en el proceso. En tal sentido, si el responsable autónomamente adopta condiciones de cumplimiento ganará su apercibimiento o su reducción de sanción. Sin embargo, a diferencia de la Federal Trade Commission, el proceso sancionador no acompaña al responsable en la senda de regreso al cumplimiento normativo. Aunque tal vez lo permitiría el juego del artículo 45 LOPD con un poco de esfuerzo e imaginación. En algunos casos, la publicación de la sanción se convierte en una condena añadida mediante su uso ejemplarizante en los medios de comunicación.
Y la cuestión es, ¿si andamos en esta vía desde 1994 cómo es posible que veinte años de terror no reduzcan las infracciones? ¿Es posible que no sea este el camino?
¿El ciudadano?
Según la Memoria de la AEPD los archivos, y las inadmisiones a trámite se incrementaron conjuntamente un 15.59%. Se inadmitieron un total de 5.114 denuncias y se archivaron 1087 en actuaciones previas y se sancionó de uno u otro modo en 874 ocasiones. Es decir habrá que pensar que el ciudadano español al parecer denuncia por deporte o bien que el impacto mediático de las noticias sobre sanciones le anima a hacerlo. Pues bien, el apartado en el que se informa al ciudadano sobre las denuncias únicamente incluye un texto casi copia literal de la legislación sobre procedimiento administrativo. ¿Por qué no explicar cuándo no denunciar? ¿Por qué no ejemplificar qué tipo de denuncias no se admiten? Debe ser muy frustrante que el mensaje que la ciudadanía recibe a través de los medios de comunicación, por ejemplo en casos como el derecho al olvido, es el de una institución adalid de la privacidad para después descubrir que su denuncia nunca será tramitada.
¿Gestionar la privacidad de otro modo?
Parece obvio que un incremento de plantilla no mejorará las cosas, salvo que se destine sistemáticamente al archivo de las denuncias. Serán otras las estrategias que nos conducirán a un óptimo de gestión y esas medidas deben hacerse descansar sobre la promoción del cumplimiento. Y eso exige una renovación en la óptica, en los modos, en las capacidades y en las políticas.
En primer lugar, resulta fundamental una apertura a las organizaciones públicas y privadas. Deben ser parte del proceso y el regulador, cuando resuelve, cuando dicta una instrucción, o cuando prepara una Guideline debe ser empático, abierto y receptivo. Y lo que es más importante debe ser capaz de bajar a pie de obra, debe comerse su propia comida para perro, y ofrecer soluciones viables. Y debe extender su esfuerzo a la promoción de códigos tipo viables.
En segundo lugar, debe abandonarse la práctica de obviar a los profesionales, de considerarlos herramientas subordinadas. Si existe una punta de lanza y un agente diseminador de condiciones de cumplimiento normativo éste es el profesional de la privacidad.
En tercer lugar, los esfuerzos de cumplimiento guiado por medio de herramientas de todo tipo, la multiplicación por 10 de las guías resulta imprescindible. Pero no pueden ser documentos escritos desde un sillón, deben ser propuestas prácticas, viables y asumibles. Por último, la labor pedagógica debe dejar de limitarse en la mayor parte de los casos al impulso de la conciencia ciudadana y debe poner en valor la privacidad como estrategia empresarial. El discurso de la letra con sangre entra no ha sido eficaz hasta ahora, y no lo será en el futuro. El único discurso viable es el que afirma que la privacidad constituye una oportunidad empresarial, que es bueno para el negocio.
Nuestro país se merece que la privacidad marca España sea el aval de nuestro Cloud, nuestras aplicaciones móviles y nuestro Big Data. Se requiere un modelo de impulso del cumplimiento normativo en positivo, viable y pactado. Lo que está en juego no es el número de infracciones a tramitar, o la cantidad de inspectores. Nos jugamos el futuro de nuestra economía digital.
La privacidad como desarrollo de la economía digital y no para recaudar sanciones http://t.co/1RlGBpmSVd @ricardmm #recomendable
Must read!! Reflexiones de @RicardMartinez: ¿Es posible otra gestión de la privacidad? http://t.co/heDcTjugjo vía @ricardmm
¿Es posible otra gestión de la privacidad? http://t.co/CAomtSufVD vía @ricardmm
¿Es posible otra gestión de la privacidad? | LOPD y Seguridad http://t.co/hlZVPQBFPX
#AsociadosAPEP ¿Es posible otra gestión de la privacidad?¿Un modelo que más proactivo e impulsor del cumplimiento?
http://t.co/oe6pHLVUve