Ahora para el otoño

AEPDEl día 24 de mayo el Ilustre Colegio de Abogados de Valencia organizó la jornada “Cuestiones de actualidad en materia de protección de datos para los abogados: especial referencia al nuevo reglamento de la LOPD”. Allí el nuevo Director de la AEPD, Artemi Rallo, afirmóque esperaba que el reglamento de desarrollo de la LOPD se aprobase para el próximo otoño. Una vez más, otro anuncio de retraso. Llevamos así casi tres años, ya estamos aburridísimos de oir siempre el mismo cuentecillo.

Ocho años les ha costado elaborar un borrador que lo único que contiene, tras una primera lectura, es una incorporación casi literal de diversas sentencias que han contribuido a aclarar la interpretación de la Ley, y un deseo de detallar tanto que da la sensación de que se trata más de una integración de jurisprudencia y doctrina que va más allá de lo que debe ir una labor de reglamentación.

La esperada novedad son los artículos dedicados a las medidas de seguridad que hay que aplicar a los ficheros no automatizados. No es que sea como para tirar cohetes: un Capítulo con diez artículos donde se realiza una remisión general a las medidas de seguridad aplicables a los ficheros automatizados, observaciones genéricas exigiendo mecanismos de cierre y restricciones de acceso, y poco más. Todo muy de sentido común, pero sin llegar al nivel de detalle que se ha tenido en el resto de proyecto de reglamento.

Ahora está sometido a la opinión de 70 entidades, algunas de las cuales ya han enviado sus observaciones, como la Asociación de Internautas.

Vaya viaje

eurosSi navegamos por webs que tengan tienda en línea veremos cómo la mayoría de ellas no tienen un clausulado claro relativo a protección de datos. Suelo decir que esto sólo es la punta del iceberg, puesto que si esa empresa no ha sido capaz de colocar unas líneas para informar a sus clientes sobre lo qué hace con sus datos, basta imaginar lo que no hace en la trastienda… Pero la probabilidad de que un consumidor denuncie a una empresa por incumplir el deber de información en la web es muy baja.

En la web de la Agencia Española de Protección de Datos puede verse una de las últimas resoluciones sancionadoras, la R/00189/2007, donde es la mismísima Subdirección General de Servicios de la Sociedad de la Información quien denuncia a la empresa titular de una web, en principio por no tener declarados los ficheros al Registro General de Protección de Datos.

Es espectacular cómo a partir de ahí la Inspección va desgranando lo que parece simplemente una falta de declaración. ¿Una web que vende on-line? Si, y con contrato con otra empresa que le suministra de una pasarela de pagos, con contrato firmado y todo, pero sin cumplir lo estipulado en el art. 12 LOPD. Como muchas webs de empresas españolas, alojamiento en Estados Unidos… De lo más corriente.

En un abrir y cerrar de ojos, la empresa, una Sociedad Limitada, se encuentra con la friolera cifra de 302.214,12 € en sanciones:

– no informar de modo previo a la recogida de datos, 601,01 €

– no solicitar la inscripción de sus ficheros, 601,01 €

– ceder los datos de sus clientes sin su consentimiento a un tercero, 300.506,05 €

– no solicitar autorización a la AEPD para realizar una transferencia internacional de datos, 300.506,05 €

Hala, a cerrar.

¿Tan complicado hubiera sido a la hora de poner a funcionar el negocio haberse informado de lo que es necesario? No es tan complejo, ni tan caro. Las empresas que tengan webs de este tipo, a espabilar, no vaya a ser que la susodicha Subdirección o algún ocnsumidor “malo, malo, malo” les denuncie.