Diamantes en los ficheros
Las empresas se rebelan contra el cambio de la Ley de Protección de Datos
Esta historia comienza con un debate sobre el significado de la palabra "inequívoco". Así debe ser el consentimiento del ciudadano para que puedan usarse sus datos, según la ley española. La cuestión es: ¿puede el silencio de esa persona, que no se niega a que le envíen publicidad pero tampoco lo reclama, considerarse "inequívoco"? Las empresas creen que sí, pero el Congreso opina que no, y ha pedido, por unanimidad, un reglamento que aclare este punto. Las compañías creen que, si se endurece la Ley Orgánica de Protección de Datos (LOPD), estarán en desventaja respecto a Europa.
...
Esta historia comienza con un debate sobre el significado de la palabra "inequívoco". Así debe ser el consentimiento del ciudadano para que puedan usarse sus datos, según la ley española. La cuestión es: ¿puede el silencio de esa persona, que no se niega a que le envíen publicidad pero tampoco lo reclama, considerarse "inequívoco"? Las empresas creen que sí, pero el Congreso opina que no, y ha pedido, por unanimidad, un reglamento que aclare este punto. Las compañías creen que, si se endurece la Ley Orgánica de Protección de Datos (LOPD), estarán en desventaja respecto a Europa.
Si se realiza la modificación que pide el Congreso, las empresas deberán pedir permiso a cada cliente para tratar sus datos
La polémica comienza cuando el ciudadano comienza a ser tratado como consumidor. Los datos que identifican a ese ciudadano y, sobre todo, los que hacen explícita su edad, profesión, condiciones de salud, ingresos económicos u orientación sexual se transforman entonces en un valiosísimo diamante en bruto que, en el caso español, está protegido por la Constitución y la Ley Orgánica de Protección de Datos (LOPD), de 1999.
Esta norma establece qué tipo de datos puede tratar una empresa, cómo debe protegerlos y qué multas deberá pagar si no lo hace. ¿Funciona la ley? El Consejo Superior de Cámaras de Comercio estima que, en este momento, sólo el 10% de las empresas españolas protege convenientemente los datos de sus empleados y clientes. "Las violaciones se producen, en la mayoría de los casos, de manera involuntaria, porque hay un gran desconocimiento de la ley", explica Belén Veleiro, directora del sevicio jurídico del Consejo.
Muchas pyme, por ejemplo, no saben que las altas y bajas por enfermedad de sus empleados, o las cuotas de afiliación sindical, son datos sensibles que, según la ley, deben ser protegidos con el nivel máximo de seguridad (ver gráfico). De no hacerlo, pueden ser sancionadas con multas de hasta 600.000 euros. "Hay empresas que ni siquiera saben qué es un dato de carácter personal", resume Antonio Pino, gerente de Cap Gemini Ernst & Young. Y las cosas parecen ir a peor. La Agencia de Protección de Datos (APD), la entidad encargada de proteger ese derecho constitucional a la intimidad, abrió el pasado año 138 expedientes sancionadores a empresas privadas. Este año ya superan los 200.
"Inequívoco"
En este contexto tan complejo surge la polémica sobre la interpretación de la LOPD. En la ley se explica que el ciudadano deberá dar su "consentimiento inequívoco" para que sus datos sean incluidos en un fichero automatizado. Hasta ahora, las compañías se limitaban a avisar a los consumidores de que incluirían sus datos en el fichero, de no negarse a ello. El silencio posterior era interpretado como una señal inequívoca de que el ciudadano no se negaba. "Pero el único consentimiento inequívoco es el sí expreso", dice Diego López Garrido, diputado del PSOE. El parlamentario es autor de una proposición no de ley que aprobó el Congreso el mes pasado, y que insta al Gobierno a desarrollar el reglamento de la LOPD para que se exija el consentimiento expreso de los ciudadanos cuando las empresas quieran tratar "aquellos datos que permiten la identificación de las personas".
De aprobarse este cambio, las empresas deberán pedir a cada uno de sus clientes que les envíen una autorización expresa para poder tratar sus datos. "Sería un cambio radical, ya que, de la misma manera que pocas personas se toman la molestia en indicar que sus datos no pueden ser incluidos en un fichero, es previsible que sean menos aún las que se preocupen en pedir que lo hagan", explica Paloma Llaneza, abogada especializada en nuevas tecnologías.
Esta proposición ha puesto en pie de guerra a las empresas, sobre todo a las de marketing directo. Según la Federación Española de Comercio Electrónico y Marketing Director (FECEMD), la modificación del consentimiento "traerá pocos beneficios a los ciudadanos y muchos perjuicios a las empresas, que deben competir con las compañías europeas, que no están sujetas a estas restricciones", dice Mar Moya-Angeler, directora general de FECEMD. Rosa Barceló, abogada española en el despacho Morrison & Forrester, en Bruselas, confirma que la ley española es de "las más garantistas" de Europa y que la directiva habla de "consentimiento tácito". Esto significa que, de aprobarse ese reglamento, la ley española sería más restrictiva para las empresas que la directiva.
Ninguna de las asociaciones empresariales consultadas ha podido cuantificar el daño económico que podría tener este cambio legislativo. FECEMD sí explica que el sector de marketing directo emplea a 150.000 personas en España y es un sector "muy profesional, que ya cumple a rajatabla con la ley", explica Moya-Angeler. La FECEMD gestiona también las llamadas listas Robinson, en las que hay apuntados unos 27.000 ciudadanos que no quieren recibir publicidad y 400 empresas que aceptan no enviársela. La FECEMD cree que, de endurecerse la ley, la única consecuencia será "la proliferación de empresas pirata". "Me cuesta pensar que el Estado alemán no proteja la intimidad de sus ciudadanos. Vamos a dejar a España en un islote", añade Veleiro. López Garrido cree, por su parte, que ésta es una visión "cortoplacista y estrecha, ya que un país con una fuerte protección de datos es un país seguro para el comercio". La APD ya habla de vías para facilitar el consentimiento, como sobres franqueados, pero a coste de las empresas, pero, en todo caso, la batalla por el control del dato personal no ha hecho más que comenzar.
Obtener, tratar, proteger
¿Qué debe hacer una empresa que quiera obtener y tratar datos personales? Puede conseguir los datos de fuentes de acceso público (guías, colegios profesionales...) o con el consentimiento de sus clientes y de sus empleados. Después hay que "poner orden en casa", dice Antonio Pino, es decir, analizar todos los datos personales que posee.
En cuanto se hayan automatizado esos datos en un fichero, hay que declararlo a la APD; puede hacerse por Internet (agenciaprotecciondatos.org). En el documento debe constar el nombre del responsable del fichero y qué tipo de datos contiene. Además, la compañía debe realizar un documento de seguridad donde se explique cómo están protegiendo esos datos según los distintos tipos de sensibilidad (ver cuadro), y quién tiene acceso a ellos.
Según Pino, este proceso puede durar de dos a seis meses, dependiendo de la complejidad de la empresa y de los datos que deba proteger. El coste básico para una compañía de tamaño medio es, según el Consejo de Cámaras, de 2.000 euros. Los expertos aconsejan, en todo caso, hablar con las asociaciones y las agencias de protección de datos antes de hacer millonarias auditorías. En la web de la Comunidad de Madrid, por ejemplo (madrid.org/apdcm), están disponibles los documentos de seguridad.