bookmark_borderVaya viaje

eurosSi navegamos por webs que tengan tienda en línea veremos cómo la mayoría de ellas no tienen un clausulado claro relativo a protección de datos. Suelo decir que esto sólo es la punta del iceberg, puesto que si esa empresa no ha sido capaz de colocar unas líneas para informar a sus clientes sobre lo qué hace con sus datos, basta imaginar lo que no hace en la trastienda… Pero la probabilidad de que un consumidor denuncie a una empresa por incumplir el deber de información en la web es muy baja.

En la web de la Agencia Española de Protección de Datos puede verse una de las últimas resoluciones sancionadoras, la R/00189/2007, donde es la mismísima Subdirección General de Servicios de la Sociedad de la Información quien denuncia a la empresa titular de una web, en principio por no tener declarados los ficheros al Registro General de Protección de Datos.

Es espectacular cómo a partir de ahí la Inspección va desgranando lo que parece simplemente una falta de declaración. ¿Una web que vende on-line? Si, y con contrato con otra empresa que le suministra de una pasarela de pagos, con contrato firmado y todo, pero sin cumplir lo estipulado en el art. 12 LOPD. Como muchas webs de empresas españolas, alojamiento en Estados Unidos… De lo más corriente.

En un abrir y cerrar de ojos, la empresa, una Sociedad Limitada, se encuentra con la friolera cifra de 302.214,12 € en sanciones:

– no informar de modo previo a la recogida de datos, 601,01 €

– no solicitar la inscripción de sus ficheros, 601,01 €

– ceder los datos de sus clientes sin su consentimiento a un tercero, 300.506,05 €

– no solicitar autorización a la AEPD para realizar una transferencia internacional de datos, 300.506,05 €

Hala, a cerrar.

¿Tan complicado hubiera sido a la hora de poner a funcionar el negocio haberse informado de lo que es necesario? No es tan complejo, ni tan caro. Las empresas que tengan webs de este tipo, a espabilar, no vaya a ser que la susodicha Subdirección o algún ocnsumidor “malo, malo, malo” les denuncie.

bookmark_borderPET

laptopTengo por fin un borrador fiable del decreto que desarrollará la dichosa LOPD y lo que más me ha llamado la atención es que en lo que de momento cataloga como “disposición adicional única” dice lo siguiente:

Los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto, que alcancen, de acuerdo con lo establecido en el Título VIII de este Reglamento

Es discutible lo excesivo o no que pueda ser la inclusión de semejante párrafo en un reglamento que tiene por objeto desarrollar la LOPD, pero su finalidad está clara: que los usuarios de los programas puedan saber si éstos permiten cumplir o no con las medidas de seguridad técnicas que impone este futuro reglamento.

El día 2 de mayo la Comisión emitió una Comunicación al Parlamento Europeo y al Consejo sobre el fomento de la protección de datos mediante las tecnologías de protección del derecho a la intimidad (PET). PET significa “tecnologías de perfeccionamiento de la privacidad” (Privacy Enhancement Technologies), siendo tal un sistema de medidas que protege el derecho a la intimidad suprimiendo o reduciendo los datos personales o evitando el tratamiento innecesario o indeseado de datos personales, sin menoscabo de la funcionalidad del sistema de información.

Esta Comunicación se marca varios objetivos: respaldar el desarrollo de las PET, alentar a los responsables del tratamiento de datos a emplearlas, y a los consumidores para que las utilicen.

Los fabricantes de software que lo deseen tienen una buena ocasión para ponerse manos a la obra si quieren estar en vanguardia, puesto que no queda mucho tiempo para que se convierta en una ventaja competitiva el producir software que de confianza en este sentido.

La Comunicación tiene una visión de futuro bastante clara:

La utilización creciente de PET y el mayor uso de servicios electrónicos que incorporen PET generarán una compensación económica para las empresas que las empleen y podrán dar lugar a un efecto de bola de nieve que alentará a otras empresas a prestar mayor atención al cumplimiento de las normas de protección de datos personales.

Está previsto fomentar los distintivos que permitan reconocer qué tecnologías o productos incorporan PET, y a tal efecto se reconoce el importante papel de las autoridades nacionales de protección de datos para que supervisen su funcionamiento… ¿vendrá de ahí la razón para incluir esta “disposición adicional”? Esperemos a ver cómo queda en la redacción final