Protección de datos como reto y oportunidad empresarial.

La aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) ofrece una oportunidad única al mundo de la empresa para mejorar sus procesos de gestión. Desgraciadamente, las organizaciones perciben la norma como un conjunto de obligaciones leoninas, exageradas e inalcanzables. En este sentido, el usuario concibe el cumplimiento de la legislación como una obligación adicional “excesiva”: Así, desde el responsable del fichero, pasando por los profesionales de la informática al último usuario del sistema viven la LOPD como una pesada carga. Generalmente, debe tenerse en cuenta que no se interiorizan los beneficios que su aplicación proporciona. No se percibe la implementación como un conjunto de actuaciones que tenderán a mejorar las condiciones del trabajo y la calidad de la información y, sobre todo, no se alcanza a comprender cómo incide sobre una mejor comprensión de la realidad de la empresa, de su modelo de gestión o de las disfunciones que puedan detectarse.

Para entender la importancia de proteger la privacidad cabe referirse a un conjunto de valores cuya interiorización resulta estratégica:

● La información y los sistemas que la soportan constituyen activos valiosos e importantes para la Organización. Por tanto, el normal desenvolvimiento de las tareas depende de un adecuado tratamiento y de la calidad de la información tanto como de otros factores.

● La seguridad “LOPD” permite depositar la suficiente confianza sobre la capacidad de la información y de los sistemas para sostener el funcionamiento adecuado de las funciones y los valores de la organización.

● El cumplimiento de la LOPD proporciona confianza tanto interna, para los propios gestores, como externa para el cliente o administrado.

● El cumplimiento de la LOPD es presupuesto para la eficiencia en el manejo de la información y, lógicamente, para la de los procesos decisorios basados en la información personal y en el uso de las tecnologías de la información y las comunicaciones.

● No existe ningún proceso vinculado a la búsqueda de calidad y excelencia que no requiera una adecuado cumplimiento de la LOPD y su Reglamento.

Transmitir este conjunto de valores y hacerlo de un modo positivo `puede resultar esencial para una adecuada implementación de la LOPD y su Reglamento de Desarrollo.

Otro de los elementos disuasorios para una adecuada implementación de la LOPD reside en que las organizaciones la conciben como algo extraordinariamente costoso, sin caer en la cuenta de los valores positivos que comporta:

● Proporciona un conocimiento cabal de los riesgos y vulnerabilidades y también, en muchas ocasiones permite identificar los modos en los que se tratan los datos, suprimir tratamientos innecesarios o centralizar aquellos que lo requieran.

● Contribuye a garantizar la corrección de las decisiones de la organización ya que se basan en información confiable y no manipulada.

● Ofrece confianza al titular de los datos: su perfil informativo será el adecuado y no variará arbitrariamente.

● Garantiza el funcionamiento normal de la organización.

● Permite restaurar los sistemas ante cualquier evento imprevisto y facilita la respuesta en todos los casos incluso ante las catástrofes.

Por lo tanto, resulta evidente que la aplicación de la LOPD y sus normas de desarrollo no sólo puede concebirse desde una perspectiva de costes ya que se trata de algo valioso en si mismo.

Vivimos en una sociedad en la que la información y el conocimiento poseen un valor estratégico. Adecuar el modo en el que se recoge y trata la información personal, aunque venga de la mano de la LOPD, resulta fundamental para garantizar el adecuado funcionamiento de todos los sistemas, traten o no datos de carácter personal.

Llegados a este punto cabe preguntarse, ¿qué se requiere para implementar la LOPD en una organización? En primer lugar, deben desecharse por principio las respuestas excesivamente “simples”: «no se preocupe esto es gratis», «un operador telefónico le llamará y respondiendo a un sencillo test Vd. cumplirá la LOPD en 15 minutos». Si se acude a un asesoramiento externo hay que garantizar rigor y seriedad profesional. APEP ha publicado un documento con «Claves para identificar un proyecto adecuado de consultoría para implementar la LOPD de forma integral», que permite identificar cuando se nos hace una oferta rigurosa.

En segundo lugar, es indispensable  una completa implicación de las estructuras de decisión. Una organización que se someta a un proceso de implantación de la LOPD debe transmitir verticalmente, desde el equipo directivo, al último de los trabajadores una idea de compromiso. Los resultados aplicar la LOPD no tienen por qué afectar estructuralmente al modelo de gestión pero puede requerir adaptaciones que, sin el compromiso del que aquí se habla, podrían resultar traumáticas. La organización podrá declarar sus ficheros, disponer de políticas de privacidad o contar con un documento de seguridad, pero sin un compromiso activo tarde o temprano estas políticas se olvidarán o, ante su escaso valor para la dirección, se incumplirán sistemáticamente. Además, cuando exista personal informático todo proceso riguroso de implantación de la LOPD debe realizarse con una implicación que debe ir más allá del momento inicial e incorporarse al círculo que va desde la planificación inicial del producto o servicio a todas las fases de su evolución.

En tercer lugar, será esencial la formación de los usuarios. El RDLOPD obliga al responsable del fichero a adoptar «medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento» (art. 89.2 RDLOPD).

Ahora bien, esta puesta en conocimiento se resuelve en muchas ocasiones con una simple notificación escrita al personal al que se solicita un acuse de recibo mediante la oportuna firma. En otras, especialmente cuando como en los supermercados con la formación se regala el asesoramiento en una oferta 2X1, se ha detectado que la formación se limita a la entrega de un CD o de folletos.  Esta metodología, por muy correcta que resulte desde el punto de vista del cumplimiento formal del Reglamento, puede resultar poco acertada.

La formación, es algo muy serio ya que garantiza un conocimiento profundo de las funciones y obligaciones de seguridad y permite subrayar la importancia de la seguridad para la organización y para el propio usuario promoviendo su compromiso activo con las políticas de seguridad. Además ayuda a que el usuario comprenda que sus responsabilidades se insertan en  un diseño global subrayando la importancia de su propio papel. Finalmente contribuye a la gestación de una cultura LOPD en la organización y, cuando se realiza adecuadamente, a la asunción de un compromiso ético con la seguridad por cuanto con ello no sólo contribuye al funcionamiento adecuado de la organización sino también, y en último extremo, a la tutela de los derechos fundamentales de los ciudadanos.

El conjunto de aseveraciones y recomendaciones inmediatamente precedentes se resumen en un reto: promover un cambio cultural en el seno de la organización. De un lado nos enfrentamos al reto de la incorporación acelerada de las tecnologías de la información y de las comunicaciones. Por otro, parece irrenunciable la inmersión profunda de nuestras estructuras empresariales en la sociedad de la información y del conocimiento. Pues bien, si no promovemos una cultura LOPD, si no tenemos en cuenta que el respeto y garantía del derecho a la protección de datos cumplirán un papel instrumental de primer orden, estamos condenados al fracaso. La sociedad cada día es más consciente de sus derechos. Es cuestión de tiempo que el ciudadano-cliente consciente de sus derechos los exija. El incumplimiento de la LOPD pone en juego la reputación empresarial y, en muchas ocasiones el perjuicio reputacional es más costoso que el montante de una sanción.

Baste una pregunta para el lector: ¿los padres españoles que red social recomiendan a sus hijos? No espere aquí respuesta, basta con leer las noticias sobre redes sociales para entender por qué una determinada red española resulta confiable: trata de cumplir la LOPD y hace de ello una ventaja competitiva.