Anteproyecto de ley orgánica de protección de datos

El viernes 23 de junio el Ministerio de Justicia publicó una nota de prensa donde se afirma que el Gobierno impulsa el anteproyecto de Ley Orgánica de protección de datos para adaptar la legislación española al Reglamento 2016/679 antes de que este entre en vigor el próximo 18 de mayo de 2018.

Esperemos que este ejercicio de transposición legislativa se haga mejor que los dos anteriores, ya que tanto la antigua LORTAD, como la vigente LOPD y su Reglamento vieron cómo su articulado terminó en el Constitucional.

Es de destacar que, aunque tanto la directora de la AEPD, como el secretario general técnico del Ministerio de Justicia aseguraron que tendríamos nueva Ley, el ahora diputado socialista d. Artemi Rallo, cuestionó que fuera a aprobarse a tiempo.

Tacañería informativa

La información que se da a un usuario cuando accede a un servicio o registra un producto es clave desde el punto de vista de la protección de datos. Aparte, debemos pensar como empresa que es la puerta por la que el cliente accede a nuestros servicios/productos, y que esa primera impresión es nuestra presentación. Sin embargo, existe una tendencia endógena e innata a ocultar información al usuario sobre lo que pasará con sus datos, a no contarle lo que es necesario y además marca la normativa, no ya sólo la LOPD, sino pensemos por ejemplo, en una página web, la normativa de que regula la venta a distancia, o las condiciones generales de contratación, o la información que exige la LSSICE…

Además de quienes no informan, también los hay que informan mal, a medias, o en plan “copy and paste”. No paro de oir expresiones del tipo “¡eh, pásame LA cláusula!” y “¿me pasas EL aviso legal?”… EL y LA, como si se tratase de algo único, inamovible, de verdades supremas. Cada página, cada formulario, es único. Han de repetirse todos los elementos si queremos que nos sirva la misma cláusula, el mismo aviso legal. Y esto raras veces pasa.

Esto de la redacción de avisos legales aderezado con lógica en las relaciones con el cliente daría para un curso completo de varias horas. Y el miedo legal, hasta para una tesis doctoral.

Una breve reflexión

ElPensadorEn diez años de profesión he visto que la percepción de esta “cosa nostra” de la protección de datos por las empresas es bastante negativa. En el mejor de los casos, se lo toman como un mal menor, como algo que hay que solucionar gracias a que existe una obligación legal y porque se está expuesto a grandes sanciones. No es una novedad. A veces menciono que esa percepción merece que se califique a esas empresas de prehistóricas en relación a la LOPD, porque ya llevamos un tiempecito hablando de la Sociedad de la Información, y resulta que entre esa información, lo que se está tornando cada vez más valioso son los datos de los clientes. No hay más que tirar de literatura empresarial, todo gira en torno al cliente.

Vamos a pensar en un momento en la empresa más de moda, Facebook, obviando que sea norteamericana. ¿Cuál es la materia prima que tiene que explotar? Sus usuarios y sus preferencias, nada más. Y resulta que en España tenemos una normativa que habla de cómo tratar la información de esos usuarios, de cómo pedirles permiso para usar sus datos, de cómo poder cederlos a otras empresas… ¿protección? Estoy harto de oír hablar de “protección”. La protección también, por supuesto, pero la LOPD lo que marca también es cómo gestionar los datos, y dentro de esa gestión, entra la protección.

Las empresas proveedoras de tecnología también tienen gran parte de culpa en que se pase olímpicamente de la LOPD. Y voy a ir a por lo último de lo último: ¿alguien se acuerda de lo que dice la Disposición Adicional Única del Real Decreto 1720/2007, que desarrolla la dichosa LOPD? Lo refresco:

Los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto, que permitan alcanzar de acuerdo con lo establecido en el Título VIII de este Reglamento

Por favor, si alguien tiene conocimiento de algún producto de esos que incluya esa descripción, que la pase por un escaner y me la envíe. Se lo agradeceré, en serio. ¿Es que esto no pueden pararse a pensar que puede constituir una ventaja competitiva? Y más en un mercado en el que a ninguno le preocupa, o donde todos están pensando más en la amenaza de la sanción que en otras cosas a la hora de leer la LOPD.

Voy a poner un ejemplo, también norteamericano: Microsoft. Fijaros en el documento “Privacy Guidelines for Developing Software Products and Services”, disponible en este enlace. En su página 5 hace mención a la normativa que persigue cumplir a la hora de desarrollar productos y servicios… Si, ya se que automáticamente pensamos que “no tienen LOPD”, “aquello es la selva”, y que “en Estados Unidos pueden hacer lo que les de la gana con los datos de la gente”. Pero eso es cierto a medias, y la mayor parte de las veces, mentira, porque con sus normativas intentan cumplir. ¿Algún voluntario a pasarme unas normas de este tipo aplicables aquí en la Piel de Toro?

Por cierto, hoy he leído en Techcrunch que Facebook vale más que Yahoo y EBay. Ya, ya se que no aplica la LOPD, pero no veas la de dinero que les toca soltar por sugerencias del primo hermano de la AEPD allí.