20 de agosto de 2008

Estudio LOPD-INTECO 2008 (3). Conclusiones y Recomendaciones

Para empezar este último resumen del Estudio sobre el grado de adaptación de las Pequeñas y Medianas Empresas españolas a la Ley Orgánica de Protección de Datos (LOPD) y el nuevo reglamento de desarrollo (RDLOPD), una cita que sintetiza a la perfección las 117 páginas.
La conclusión principal del estudio es clara: la normativa sobre protección de datos es escasamente conocida y no suficientemente implantada en el entorno pyme.
Nada más y nada menos que un 66% afirma abiertamente no conocer la LOPD, y un 85% manifiesta lo propio con respecto al nuevo reglamento. ¿Porqué será? En opinión de INTECO:
Parece que las acciones formativas e informativas llevadas a cabo por las administraciones, AEPD, asociaciones empresariales y sectoriales, cámaras de comercio, empresas prescriptoras, etc., no han alcanzado la efectividad deseada, o no han tenido suficientemente en cuenta las particularidades del colectivo a la hora de elaborar acciones específicamente dirigidas a ellas.
Se refiere, claro está, a las empresas más pequeñas. Me ha gustado mucho esto de "elaborar acciones específicamente dirigidas a ellas". Y donde realmente "dan en el clavo" es cuando el Informe dice:
Detrás del limitado nivel de adopción se encuentra, aparte de una escasa cultura y concienciación sobre la necesidad de proteger los datos, la consideración por las pymes de que se trata de una obligación legal que implica tareas tediosas y complejas y que no aporta ningún valor añadido a su negocio, el desconocimiento de las consecuencias de incumplimiento, y la limitación de recursos humanos, económicos y técnicos para hacer frente a la adopción.
Efectivamente, esta es la tortilla a la que hay que dar la vuelta. Y para eso INTECO recomienda a la administración pública incrementar la intensidad de las acciones de sensibilización y adaptarlas a las necesidades del colectivo pyme. Y a las empresas privadas les recomienda:
  • Para la implementación, recurrir si es necesario a un tercero. Un alto porcentaje de empresas que han tenido éxito en la implantación de la LOPD y RDLOPD se han apoyado en una empresa externa con experiencia en la materia. En estos casos, es necesario asegurarse de que la empresa prescriptora está cualificada en la materia.
  • Evaluar periódicamente el nivel de cumplimiento, a través de auditorías y medidas de seguimiento.
  • Instar a las asociaciones empresariales a promover la firma de acuerdos sectoriales que abaraten la implantación y aplicación de SGSI y la LOPD, facilitando la renovación de equipos y la introducción de medios tecnológicos en la gestión de las empresas.
Difícilmente podría estar más de acuerdo en general con el Estudio. Incluso diría que se queda corto en ocasiones y que sufre algunos errores de método, como ya señalé en el primer resumen de la serie. Ahora esperemos que tanto unos como otros (administración y empresas) se den por enterados de estas recomendaciones y comiencen a ponerles en práctica.

12 de agosto de 2008

Cada palo que aguante su vela

El mes pasado comentaba el caso de un procedimiento de la AEPD contra la aseguradora Aresa. El asunto a tratar no era tanto la sanción en si misma, ya que es un tema de gran empresa que excede los propósitos de este blog (que se explican bajo el título donde dice: "...Las resoluciones y noticias aquí citadas se refieren siempre a autónomos, micropymes o pymes...") sino analizar la cuestión de quién pagaría finalmente el importe de la sanción habida cuenta de que Aresa fue adquirida en su momento por Mutua Madrileña.
Ahora que la resolución ya ha sido publicada hay que señalar al menos dos aspectos:
  1. A diferencia de los casos con los que se comparaba en la nota señalada, la Mutua no ha absorbido Aresa, sino que ésta se mantiene en el mercado con su marca propia, por lo que es obvio que la sanción recae en Aresa. Sin embargo el resultado final es el mismo: pagarán al fin y al cabo los actuales propietarios, es decir la Mutua, salvo que más tarde pudieran ejercer cláusulas que hubieran previsto en el contrato de compraventa.
  2. Pero lo más importante para nosotros es que al leer la resolución me encuentro con que hay un "tercero" en el asunto: un médico individual al que también han sancionado con 60.000 euros.
Esta es la historia.

En el procedimiento sancionador PS/00331/2007, instruido por la Agencia Española de Protección de Datos a la entidad ARESA SEGUROS GENERALES, S.A., y a DON X.X.X., vista la denuncia presentada por DOÑA G.G.G., que denunció que ARESA cuenta con unos informes médicos suyos emitidos por el profesional que la trata en la actualidad. Dichos informes se refieren a una fecha anterior a la contratación de la Póliza de seguro médico con Aresa. La denunciante manifiesta no haber autorizado al facultativo para el tratamiento de sus datos.

GGG solicitó de ARESA un intervención médica para solucionar un problema de varices, que le fue denegado en base a un informe médico aportado por el facultativo que la trataba (XXX) y de ahí nace la denuncia.

La Agencia inicia el procedimiento imputando a la Compañía Aresa Seguros la infracción a lo establecido en el artículo 7.3 de la LOPD. Este artículo dice:
Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.

En el presente caso, está clara la autorización, por parte de la denunciante a Aresa Seguros, para el tratamiento de los datos que le ha facilitado, incluidos los datos de salud que ella misma incluyó en el cuestionario de salud. Esa autorización no es aplicable al tratamiento de los datos de salud obtenidos por los médicos que tienen una relación mercantil con la compañía aseguradora.

Alega Aresa Seguros Generales que el tratamiento de los datos de salud de la denunciante no requiere su consentimiento ya que existe una habilitación legal que lo justifica. En este sentido, debe analizarse la naturaleza de la transmisión de datos que podría ser considerada una cesión o comunicación de datos o la prestación de un servicio por parte del profesional de la medicina (dr. X.X.X.) en nombre y por cuenta de la propia entidad aseguradora. Y de tal análisis la Agencia declara que sólo sería una cesión legítima según lo indicado en el artículo 11.2 c):
Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros.

Puesto que la Ley reguladora del Contrato de Seguro impone a la entidad aseguradora la obligación de satisfacer el gasto de asistencia sanitaria efectuado como consecuencia de la enfermedad del asegurado, lo que exigirá conocer cuál será éste, dado que la asistencia se realizará generalmente por terceros ajenos a la propia entidad aseguradora, esta obligación parecería incluir un indicio de la necesidad de comunicación a la aseguradora de los datos necesarios para conocer la actividad asistencial realizada. Pero la tesis de la resolución es que lo dispuesto en el artículo 11.2 c) de la LOPD nunca podrá resultar de aplicación en caso de que nos encontremos ante la cesión de datos especialmente protegidos, y en consecuencia no es aplicable a la cesión efectuada por profesionales de la medicina a las entidades aseguradoras, que sólo será posible si el interesado ha prestado su consentimiento a la cesión o la misma aparece habilitada por lo dispuesto en una norma con rango de Ley.

Este tema termina: PRIMERO:
IMPONER a la entidad ARESA SEGUROS GENERALES, S.A., por una infracción del artículo 7.3 de la LOPD, tipificada como muy grave en el artículo 44.4.c) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45.3, 4 y 5 de la citada Ley Orgánica.

Pero a lo que nosotros nos importa es que la Agencia imputa a Don X.X.X. la cesión de datos de la denunciante sin su consentimiento y sin que se acrediten ninguno de los supuestos contemplados en el artículo 11.2 de la LOPD.
Alega el doctor que en cuanto a la cesión de los datos a la compañía de seguros, se produce una colisión de derechos: el de protección de datos y el derecho a que se comunique al asegurador la ocurrencia de un siniestro y/o las circunstancias que agraven el riesgo de un siniestro, derecho amparado por la Ley de Contratos. La propia LOPD establece que no se exigirá el consentimiento en el caso que una Ley disponga otra cosa. La comunicación de los datos pretendía obtener un beneficio para la paciente, protegiendo su salud.
La Agencia responde que la Póliza suscrita por la denunciante y la Ley de Contrato de Seguros obligan al asegurado a que comunique la ocurrencia de un siniestro y/o las circunstancias que agraven el riesgo de un siniestro, pero no al médico que trata a los pacientes. En consecuencia, no existe consentimiento de la afectada para la cesión de los datos de salud por parte del Dr. X.X.X. a la compañía aseguradora ni existe norma legal que habilite tal cesión.
Y por ello:
SEGUNDO: IMPONER al DOCTOR DON X.X.X., por una infracción del artículo 11 de la LOPD, tipificada como muy grave en el artículo 44.4.b) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45.3, 4 y 5 de la citada Ley Orgánica.

¿Y cual es la lección? La misma de siempre: la debilidad del microempresario, en especial cuando está dentro de una estructura superior. Seguro que XXX hubiera dicho a cualquier consultor: "¿LOPD?, yo cumplo, estoy en Aresa (o en esta franquicia, o con este asesor, etc) y ellos me han dicho que está todo bien". Sí, claro, qué te van a decir ellos, pero ahora explícaselo a la Agencia... y después toma el camino del banco y mira a ver de dónde sacas los 60.000€ que te va a pedir Hacienda vía Recaudación ejecutiva.

8 de agosto de 2008

Estudio LOPD-INTECO 2008 (2). Resultados

Dentro del Estudio sobre el grado de adaptación de las Pequeñas y Medianas Empresas españolas a la Ley Orgánica de Protección de Datos (LOPD) y el nuevo reglamento de desarrollo (RDLOPD) por parte del Instituto Nacional de Tecnologías de la Comunicación (INTECO), lo más previsible son los resultados de la encuesta, ya que no hace más que confirmar oficialmente lo que ya sabíamos quienes trabajamos en este ámbito. Estos son los puntos más significativos:
  • La pyme española muestra un bajo nivel de conocimiento de la normativa sobre protección de datos, tanto de la LOPD, vigente desde 1999 (34%) como del reciente reglamento de desarrollo (RDLOPD), en vigor desde abril de 2008 (14%). Dado que la ley lleva en vigor casi diez años, que su aplicación es de obligado cumplimiento para todas las empresas con ficheros de datos personales, y que se prevén sanciones ante su incumplimiento, preocupa el escaso conocimiento de la misma entre el colectivo pyme. De hecho, prácticamente la totalidad de empresas manejan datos personales: el 96% de las pymes españolas disponen de ficheros con datos de carácter personal (ya sea en sus sistemas informáticos o en sus archivos en papel) y están por tanto potencialmente sujetas a la normativa.
  • Un 37% afirma haber declarado sus ficheros ante la AEPD; la verificación posterior confirma que sólo un 16% de las pymes ha notificado efectivamente los ficheros ante el Registro General de Protección de Datos.
  • El nivel de cumplimiento declarado de las principales obligaciones previstas en la LOPD se mueve en torno al 20-30%. Si se asume un cierto sesgo en las respuestas, el nivel sería todavía más reducido. Algunos de los datos más relevantes son:
  • Empresas que cumplen con el deber de información: 29%
  • Empresas que cumplen con el deber de consentimiento: 29%
  • Empresas que disponen de datos personales completos y exactos: 28%
  • Empresas que han establecido procedimientos para garantizar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición (derechos A.R.C.O.) por los particulares: 20%.
  • El cumplimiento no es homogéneo entre las diferentes medidas de seguridad previstas en el reglamento. Éste se ha analizado sólo para las empresas que afirman haber declarado sus ficheros ante la AEPD, y oscila entre un 25% para las medidas menos implementadas y un 90% para las más exitosas. A continuación se enumera el nivel de cumplimiento de algunas de las medidas analizadas:
    • Empresas que disponen de documento de seguridad: 82%
    • Empresas que han divulgado la normativa de seguridad entre sus empleados: 72%
    • Empresas que cuentan con un registro de incidencias: 25%
    • Empresas que tienen implantado un control de acceso: 89%
    • Empresas con usuario y contraseña: 48%
  • Por lo que respecta al comportamiento de las pymes con respecto a ficheros no automatizados, el 20% tiene establecidas medidas de seguridad equivalentes en el caso de ficheros automatizados y no automatizados, y el 23% afirma clasificar su documentación en papel en función de la confidencialidad del contenido. Aunque no se trata de una exigencia normativa, supone un indicio de que un 20% del tejido pyme español muestra una especial sensibilización hacia el tratamiento de ficheros con datos personales en soporte papel, y por tanto parece que entre ellas la adaptación a las disposiciones del reglamento resultará, a priori, sencillo.
  • A pesar de que los datos sobre nivel de cumplimiento son ciertamente mejorables, el mensaje final lanzado por las pymes es positivo: un 82% manifiesta estar concienciada sobre la necesidad de cumplimiento de la normativa, y un 79% afirma que destinará recursos (humanos y económicos) para su implementación.
  • Me quedo con el último dato.

    Y como parte de los resultados es también la repercusión mediática del estudio, os dejo tres enlaces a medios que se hicieron eco:
    1. Iurismática: Estudio realizado por INTECO sobre el grado de adaptación de las PYMES a la LOPD y el nuevo Reglamento
    2. Kriptópolis: Estudio de INTECO confirma el bajo cumplimiento de la LOPD en las PYMES españolas
    3. Expansión: El 80% de las pymes incumple la Ley de Protección de Datos

    5 de agosto de 2008

    Entrevista y artículo sobre protección de datos en administración de fincas

    En el número de julio de 2008 de la revista Administración Rústica y Urbana, dedicada a los profesionales administradores de fincas, se ha publicado una entrevista con Artemi Rallo, director de la AEPD, y un artículo sobre el nuevo reglamento de la LOPD.
    Los puedes descargar en pdf.


    "Los profesionales deben garantizar la seguridad de la información personal que gestionan"

    El Reglamento de Protección de Datos de carácter personal y su incidencia en el Administrador de Fincas


    Vía: Juan Pelaz de Adlanta Corporación

    3 de agosto de 2008

    Estudio LOPD-INTECO 2008 (1). Metodología

    Ayer anunciaba en el blog de Marketing Positivo la publicación de un Estudio sobre el grado de adaptación de las Pequeñas y Medianas Empresas españolas a la Ley Orgánica de Protección de Datos (LOPD) y el nuevo reglamento de desarrollo (RDLOPD) por parte del Instituto Nacional de Tecnologías de la Comunicación (INTECO), y prometía una serie de comentarios en este blog.

    El primer asunto para el análisis es el de las cifras de la dimensión del estudio.

    Tabla 1: Composición del tejido empresarial español por estrato de asalariados




    Tipo de empresa por número de asalariados Número de empresas Porcentaje
    Sin asalariados 1.706.140 51,13%
    De 1 a 49 asalariados 1.600.927 47,98%
    De 50 a 199 asalariados 23.517 0,70%
    De 200 a 499 asalariados 4.218 0,13%
    Más de 500 asalariados 1.855 0,06%
    TOTAL 3.336.657 100,00%





    Obviamente (lo dice el título del estudio) no estamos ante el mercado total de la protección de datos, al estar excluidas no sólo las entidades públicas, sino también comunidades de vecinos, asociaciones, colegios profesionales, etc. Sin embargo puede considerarse el estudio más completo sobre la situación de este mercado hasta el momento, por la amplitud del tejido estudiado y por el gran peso específico (51,13%) atorgado a los empresarios individuales, cuya ausencia generalizada de otros estudios distorsiona irremediablemente los resultados finales.

    Se me ocurren dos matices:
    1. El primero lo señalan los propios autores del estudio cuando dicen:
      En este caso, además, existen una serie de condicionantes añadidos que sesgan aún más las respuestas de las empresas, que se concretan en la especial sensibilidad del objeto de análisis (adaptación a una ley cuyo incumplimiento deriva en sanciones) y en el carácter técnico de la materia (que implica conocimientos que no se pueden presuponer a las pymes, que en ocasiones no son capaces de identificar sus necesidades ni de responder a preguntas técnicas).
    2. Por otro lado al describir la distribución muestral se indica:
      Se ha extraído una muestra representativa de 250 empresas según un modelo aleatorio simple. Los datos de origen para la selección de la muestra han sido extraídos de la Base de Datos del Registro Mercantil (...)
      Teniendo en cuenta que los empresarios individuales o autónomos (salvo el naviero) no tienen obligación de inscribirse en el Registro Mercantil (si bien pueden hacerlo de forma voluntaria) nos encontramos con que están fuera de la muestra los modelos más pequeños, donde sabemos por experiencia que el cumplimiento legal es menor.
    Pero no nos pongamos detallistas, las cifras y conclusiones del estudio indican a todas luces la inmensidad del trabajo pendiente, y eso lo iremos viendo en los siguientes artículos.