La ley de Protección de Datos ahoga a las empresas españolas

1098630_chainsLa desmedida severidad de la ley de protección de datos española está acabando con el músculo empresarial español. A diferencia de nuestros vecinos europeos o de cualquier sector industrial de América o Asia, el sector empresarial español sobrevive como puede, en un estado continuo de ansiedad, ante el temor de ser objeto y objetivo de la legislación en materia de privacidad más exigente del mundo. No sin motivo se afirma que somos los más afectados y castigados por sanciones de protección de datos, a pesar del elevado cumplimiento de la norma (elevado en términos comparativos).

Llama la atención que bajo una misma Directiva (D. 95/46/CEE), cuyo espíritu no es otro que el de «eliminar los obstáculos a la circulación de los datos personales» en el seno de la Unión Europea, la empresa española tenga que ser sancionada con cuantías hasta 5 veces superiores que las que se aplican sus homólogas, por decisión del propio legislador español. El exceso de celo de la Agencia Española de Protección de Datos en la escrupulosa aplicación de la ley y, según dicen, cierto afán recaudatorio, han situado a la empresa española en una posición de desventaja innegable frente a sus competidoras europeas y mundiales.

El artículo que he escrito este mes para Legal Today (La ley de protección de datos y la empresa española) aborda todas estas inquietudes lógicas del empresario español, comparando la normativa nacional en materia de protección de datos con la del resto de países de la Unión Europea.

Matiz: Naturalmente, en este artículo no hablo de las empresas a las que les da igual la normativa de protección de datos, sino de las que queriendo cumplirla ven como su negocio se ve limitado en España, mientras que en cualquier otro país o bien no encontrarían trabas o bien el riesgo ante una posible sanción (o la cuantía de ésta) es menor.

Actualización: a raíz de una queja en Twitter en la que pongo de manifiesto el sinsentido de que la Agencia sólo acepte consultas jurídicas por carta (papel, sobre y sello), Miki ha escrito un post interesante sobre ello en El Blog Salmón (una de las mejores publicaciones de economía y finanzas que hay en la red, junto con eco.logopress.es)

Imagen cedida por Franque de Win (SXC)

Donate Dogecoins: D6FeXYibky3XY5Pq8ig5BPdM9RECthAmQw Whats This?
Dejar un comentario?

18 Comentarios.

  1. Bueno… no puedo hablar mucho porque no tengo ni idea de leyes. Yo trabajaba en una empresa que se dedica a hacer adecuaciones a la LOPD a empresas españolas y voy a resumir lo que yo vi por allí (trabaja en soporte informático, así que no me voy a hacer responsable si pongo alguna burrada legal xDDDD)

    Hablando desde lo que yo vi dentro de ésta empresa, tendrías que matizar un poco la cosa.

    Por un lado la adecuación a la LOPD está subvencionada por la agencia tripartita, con lo que realmente, no supone un gasto que vaya a hundir a ninguna empresa.

    Luego lo que realmente pasa es que la gente cree que con una adecuación (según creo es distinto de auditoría) ya está todo solucionado y puede hacer lo que le da gana con los datos (o eso he visto yo en muchas). Lo que se refleja en la adaptación y se registra en la agencia tripartita es lo que el cliente DICE que hace para salvaguardar esos datos. Si miente, le inspeccionan y le cachan, es cosa suya por no haberse adaptado y encima haber mentido diciendo que si. Ojo, aquí es ese tío el que firma que todo eso que dice es tal cual lo pone ahí.

    Si juntamos esas dos cosas, sale lo que sale. Un taller de coches que te dice que te pasa con su primo que es el que “le arregla el windows” y el tio te dice que tienen un firewall dedicado, un ordenador que lleva el disco duro cifrado en tiempo real, que la rotación de contraseñas se lleva estrictamente de forma mensual y demás gilipolladas más que no son verdad ni de coña (ojo, que pueden serlo eh?). Si a un tio de éste palo le hacen una inspección y tiene los datos de los clientes apuntados en un post-it pegado a la puerta del despacho del taller…. pues que quieres que te diga, deberían caerle dos multazos no uno.

    No quiero crear polémica, sólo comentar lo que yo he visto de ésto y, de paso, enterarme un poco más del tema 😀

  2. Hola luiX_:
    Muy buena aportación, gracias. Te matizo un par de cosas: Utilizar los fondos y ayudas de la Fundación Tripartita para hacer la LOPD a una empresa es un fraude que se persigue y se saniona como tal; así que mucho ojo, ¿eh?
    La adecuación de una empresa a la LOPD no debería ser nunca una carga; sin embargo, el cumplimiento sí lo es de facto por la cantidad de requisitos legales, el grado de cumplimiento exigido por ley y la facilidad de incumplirla sin que el empresario se de cuenta.

    Pero lo más grave de todo esto es el régimen sancionador, que como indico en el artículo, supera con creces cualquier otro similar en la esfera europea y mundial, a pesar de que todas estas leyes están basadas en una misma directiva.

    Una norma que penaliza la viralidad en la sociedad del conocimiento, exige requisitos hasta lo absurdo, impide el acceso y tratamiento de los datos que aparecen en Internet (al no ser este medio considerado fuente accesible al público por la LOPD) y que pone en el mismo lado de la balanza a grandes corporaciones y pequeños empresarios, está manifiestamente mal hecha o preparada para un mundo utópico que ni existe ahora ni existirá jamás. Es una ley que nunca podrá llegar a ser cumplida y que, por tanto, parece tener como única finalidad la financiación el aumento de capital de foma extrapresupuestaria de una agencia gubernamental.

    ¿Por qué el legislador español quiso situar a la empresa española en una posición de desventaja con respecto a sus homólogas europeas? Afán proteccionista, recaudatorio o ambos. Pero sentido común, ninguno.

  3. “Una norma que penaliza la viralidad en la sociedad del conocimiento, exige requisitos hasta lo absurdo, impide el acceso y tratamiento de los datos que aparecen en Internet (al no ser este medio considerado fuente accesible al público por la LOPD) y que pone en el mismo lado de la balanza a grandes corporaciones y pequeños empresarios, está manifiestamente mal hecha o preparada para un mundo utópico que ni existe ahora ni existirá jamás. Es una ley que nunca podrá llegar a ser cumplida y que, por tanto, parece tener como única finalidad la financiación extrapresupuestaria de una agencia gubernamental.”

    AMÉN

  4. Buenos días.

    Al hilo de los comentarios aquí vertidos me siento en la obligación, como abogado experto en temas de protección de datos, de aportar ciertas aclaraciones.

    En primer lugar, la Agencia Española de Protección de Datos no está aplicando la ley con desmedida severidad. Ésta acusación desde el desconocimiento no hace más que desprestigiar una Institución Pública que, al fin y al cabo, busca la protección de la intimidad de los ciudadanos españoles. Por favor, si alguien cree que se está aplicando la ley con desmedida seguridad le invito a echar un vistazo a las resoluciones de los procedimientos sancionadores. En el 90% de los casos se aplica el artículo 45.5 de la LOPD (se rebaja en un grado el importe de la cuantía, esto es: si la sanción es grave, pasa a tener la consideración de leve, implicando un sustancial reducción de las posibles cuantías de sanción). Además, las sanciones, salvo contadas excepciones en las que se perseguía un claro ánimo de lucro, siempre se aplican en la cuantía más baja.

    Es cierto que los importes de las sanciones son los más elevados de toda Europa pero eso una decisión que el legislador de 1999 adoptó y, como pasa con muchas otras leyes, los ciudadanos no tenemos más remedio que aceptarlo.

    También es cierto que la ley pone a todas las empresas en el mismo saco pero a la hora de ponderar la aplicación de la norma en una determinada empresa u organización se tiene muy en cuenta los medios de que dispone la empresa. De todas formas, lo importante es que este tipo de vulneraciones de la norma no suponen ni un 2% de los procedimientos sancionadores incoados. la mayoría de sanciones se imponen por vulnerar la LOPD no el Reglamento de desarrollo y los supuestos son evidentes: gente que se pasa tres años para que lo borren de los registros de morosos, listas negras de empleados que circulan entre los empresarios, envío masivo de publicidad, usos de datos del padrón municipal para fines ilegítimos, …

    Las leyes siempre pretenden alcanzar fines utópicos, de lo contrario, si todo el mundo actuase de forma responsable y teniendo presente que forma parte de una sociedad que no acaba en la puerta de su casa, no haría falta legislar. El problema no es lo que la ley dice sino lo que se interpreta del texto. Hay mucho avispado en el mercado español que ha visto que aquí hay negocio y aprovechan para sacar toda la tajada que puedan. He visto empresas de informática decirle a un profesional que necesita infinidad de cosas para cumplir con la ley. Un servidor, una licencia de servidor, discos duros externos para las copias, un antivirus de pago, etc, etc. de ahí que sea muy interesante meter miedo a la gente.

    Por último quiero hacer una aclaración muy importante: LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS NO SE FINANCIA CON LOS IMPORTES DE LAS MULTAS RECAUDADAS. Eso es un bulo que ha surgido del “saber popular” o más bien de la “ignorancia popular”. Por desgracia, España es uno de esos lugares del mundo en el que la gente es muy educada para no hablar con la boca llena pero no le preocupa hacerlo con la cabeza hueca.

    Yo, sinceramente, prefiero que exista una agencia estatal o autonómica que vele por la protección de mi derecho a la intimidad y que imponga duras sanciones a quienes incumplan, que llegar a la situación de los Estados Unidos donde se piensa que el que no lo cuenta todo es porque está ocultando algo ilegal. ¿Y la presunción de inocencia?

    Perdonad por la charla pero soy un afectado directo de esta euforia colectiva empresarial que solo perjudica a quienes pretendemos asesorar con garantías y al menor coste posible a empresarios, profesionales e instituciones públicas.

  5. “Es cierto que los importes de las sanciones son los más elevados de toda Europa pero eso una decisión que el legislador de 1999 adoptó y, como pasa con muchas otras leyes, los ciudadanos no tenemos más remedio que aceptarlo.”

    Pero tendremos derecho a decir que nos parece mal, ¿no?

    “Las leyes siempre pretenden alcanzar fines utópicos” …creo que con “utópica” Pablo se refiere a que es muy complicado cumplirla a rajatabla, precisamente por esto que comentas: “El problema no es lo que la ley dice sino lo que se interpreta del texto.” Me alegra que un experto como tú confirme esto: ya sea por la ley o por la interpretación, las cosas no están tan claras como deberían y el sector de las TI se ve directamente afectado por esto. Si a eso le sumamos que se trata de un sector en el que el tiempo de salida es importantísimo y en el que se compite de forma directa con alternativas de cualquier otro país, se deduce que estamos en una situación de desventaja grandísima.

    Yo estoy cansado de ver a muchos políticos llenarse la boca hablando de la innovación a través de la sociedad de la información, cuando nuestro propio sistema legal, farragoso, desfasado y completamente desbordado por los avances de la sociedad actual, supone una limitación tan grande que incluso da pie a ese mercadillo de timadores que comentas.

    Si la ley estuviera clara y tuviera un enfoque ágil, otro gallo nos cantaría… Aunque me temo que en este país, “ley, clara y ágil” será siempre un oxímoron.

    Hay que defender la protección de datos, estoy de acuerdo. Pero si la ley presenta problemas habrá que quejarse, pedir que se reforme y no conformarse con lo que hay.

  6. Hola Lucas:
    Estoy a la espera de que me publiquen un artículo en el que hablo de las bondades de la AEPD y cómo utiliza los apartados 4 y 5 del artículo 45 para ponderar las sanciones. Pero, como supongo que habrás notado, éste es un post en el que comento cómo la legislación nacional en materia de protección de datos exprime a las empresas españolas más que lo que las demás leyes de países europeos lo hacen con sus respectivas empresas, situando a las nuestras en posición de clara desventaja. No es una crítica encubierta a la agencia, pero cada quien se rasca donde cree que le pica.
    Como supongo que sabrás, el importe de las sanciones no revierte en las arcas del estado sino que va a parar a una cuenta cuyo titular no es otro que la Agencia. Quizá el verbo “financiar” no sea el más adecuado; ¿mejor “aumentar el capital”? La financiación propiamente dicha se realiza, según tengo entendido, por medio de los Presupuestos Generales del Estado y (me parece) asciende a 11 millones de euros anuales.

  7. “Pero tendremos derecho a decir que nos parece mal, ¿no?”
    Efectivamente, Raúl Murciano, tenemos todo el derecho a decir que nos parece mal. Os invito a formar parte de la Asociación Profesional Española de Privacidad. Uno de los fines es trasmitir a las instituciones políticas este sentimiento generalizado.

    No creo que sea tan complicado cumplir a rajatabla lo que se establece en la LOPD y su reglamento, lo que ocurre es que estamos faltos de ideas. Comparto contigo la impotencia que produce no saber que hacer para cumplir, por eso creo que, en realidad, lo que si podemos imputarle a la Agencia es una cierta falta de orientación, de soluciones claras y concretas. Pero aquí entramos en la pugna que mantienen la Audiencia Nacional y la AEPD y es mejor, en este marco, correr un tupido velo.

    “No es una crítica encubierta a la agencia, pero cada quien se rasca donde cree que le pica.”
    “Es una ley que nunca podrá llegar a ser cumplida y que, por tanto, parece tener como única finalidad la financiación extrapresupuestaria de una agencia gubernamental.”
    Esto lo has escrito tú.
    A mi lo que me pica no son las críticas a la Agencia (yo también tengo las mías) pero creo que entre profesionales no deben difundirse los bulos populares. Tenemos la capacidad de investigar la veracidad o no de los mismos. La financiación de la AEPD viene, única y exclusivamente, de la asignación de una partida presupuestaria aprobada por los Presupuestos Generales del Estado. El problema de qué hacer con todo el dinero que han recaudado en multas aún no lo han resuelto.
    En cuanto al presupuesto de la Agencia es el que se publicó en la Memoria de 2008 13,5 millones de Euros. https://www.agpd.es/portalweb/canaldocumentacion/memorias/memoria_2008/common/memoria_2008.pdf

  8. Lucas, ¿cuándo he dicho yo que la Agencia Española de Protección de Datos está aplicando la ley con desmedida severidad? La primera frase, subrayada en negrita, dice: “La desmedida severidad de la ley de protección de datos española está acabando con el músculo empresarial español.”
    De todas formas, esta es una discusión que podemos seguir con unas cañas 😉

  9. Lo primero que me salió del alma fue WTF? Luego me puse a responder y me salió tan largo que lo he colgado en mi blog: http://marketingpositivo.blogspot.com/2009/05/los-datos-de-la-proteccion-de-datos.html
    Y a lo de las cañas también me apunto yo ;D

  10. Voy a tener que invitar a cañas a medio Madrid! XDD

    A riesgo de que Google me sancione por generar contenido duplicado, voy a copiar aquí la respuesta que le he dado a Jesús en su blog (al que, por cierto, estoy suscrito desde hace tiempo):

    Hola Jesús:

    A ver, que estamos mezclando churras con merinas.

    En primer lugar, te agradezco mucho que hayas sacado ese montón de cifras obtenidas del INE, INTECO, CIS, etc. Está muy bien, de verdad.

    En segundo lugar, quiero dejar claro que no es opinable el hecho de que la mayoría de los encuestados por el CIS estén preocupados por la protección de datos y que cerca del 80% de las PYMES no tengan hecho nada de protección de datos a pesar de que la ley (Orgánica) lleve casi 10 años en vigor; y a pesar de que antes de ella estuviera vigente la 5/92… Es una lástima que no haya aún suficiente concienciación y conocimiento sobre esta materia.

    Como bien dices, no soy abogado viejo, sino nacido en pleno desarrollo del entorno digital. Mi trabajo es mi hobby (Derecho y TICs) y las empresas a las que asesoro o bien son startups cuyo modelo de negocio se basa en el uso de las tecnologías para llegar al cliente final e interactuar con él online, o bien son negocios tradicionales que se han enterado tarde de que la LOPD existe.

    El problema práctico con el que nos encontramos es que el cumplimiento exhaustivo de la ley es cuanto menos complejo. Como sabes, no basta con registrar un fichero y redactar un documento de seguridad; es más, bastante más o muchísimo más complicado, según el tipo de dato tratado, la estructura de la empresa o su modelo de negocio.

    Ante esta dificultad, que convierte la ley en ocasiones en imposible de cumplir, las empresas asumen un riesgo por su posible futuro incumplimiento (que no pueden cubrir con un seguro, por cierto). Este riesgo es hasta 5 veces mayor si la empresa es española, en comparación con las del resto de países de la Unión Europea. Y aquí es donde encaja mi artículo, Jesús. Si nos movemos en un mercado único, sin fronteras, en el que rigen los principios de libre circulación de mercancías y prestación de servicios, en un espacio en el que cualquier empresa italiana, alemana, sueca o francesa puede operar desde sus respectivos países en España, donde en la práctica no importa otra cosa que las propias leyes del mercado y la minoración del riesgo, es del todo patente que la empresa que esté realmente preocupada por el cumplimiento de la ley esté en una situación de, cuanto menos, inquietud. Por tanto, cuando digo que la LOPD ahoga a las empresas españolas, no me refiero a que les cueste mucho dinero, sino que o bien no pueden desarrollar modelos de negocio que sí podrían fuera de España, o bien su posición de riesgo frente a sus homólogas europeas es hasta 5 veces peor, (¡cuando no tendría por qué ser así!), situándolas en una clara posición de desventaja competitiva. [“Que se ciñan a la ley”, me dirás… Pero, como comprenderas, en un mundo globalizado en el que Internet ha roto las reglas de juego, las normas utópicas encajan mal y los modelos de negocio innovadores y basados en la viralidad, las relaciones sociales, las estructuras complejas de servidores en varios países extracomunitarios, etc. no pueden verse detenidos por una ley sobre-proteccionista, mientras el resto del mundo avanza ¿Soluciones? Limitar el alcance del negocio haciéndote menos competitivo o irse fuera de España].

    Por otro lado, no tengo ningún problema en reconocer la excelente labor de la AEPD tanto en su faceta comunicadora como en la inspectora y sancionadora. Quizá, la labor esté siendo demasiado excelente y llevada a cabo con excesivo celo; lo cual no deja de ser positivo porque significa que cumple, ayuda a cumplir y hace cumplir la ley a raja tabla. Pero también significa que éste se convierte en otro factor que, sumado a las cuantiosas sanciones que fija la ley, genera un poquito de inquietud en la empresa española.

    En definitiva, lo que yo digo es lo siguiente: el legislador español de finales del s. XX pudiendo haber favorecido a la empresa española fijando sanciones similares a las del resto de países de la UE y manteniendo las mismas obligaciones, decidió penalizarlas aumentando hasta en 5 veces dichas cuantías. Y aquí es donde sí se debe decir WTF!

  11. Pablo, excelente post, y creo que los comentarios y las respuestas en los mismos han enriquecido mucho la argumentación.

    Y estoy totalmente de acuerdo con tu postura, no tiene sentido que la legislación española sea mucho más dura en estos temas cuando ya de por si nos encontramos en una situación nada ventajosa con respecto a la mayoría de países europeos dado nuestro menor desarrollo tecnológico, en particular dentro de la Sociedad de la Información.

    Ahora bien, si estas sanciones se han puesto únicamente por afán recaudador, el legislador español no tuvo muchas luces. Lo que han conseguido es que un montón de empresas que podrían haber tenido sede española, hayan decidido refugiarse en otros países. Se que precisamente Pablo habla en este post de las empresas españolas que tratan de cumplir la LOPD, pero tampoco podemos perder de vista la disminución en la recaudación de impuestos debida a la “fuga de empresas” que se ven en desventaja competitiva si se quedan en nuestro país.

    La dureza legislativa debería ir en consonancia con el desarrollo competitivo de un país, si no no tiene sentido.

  12. En mi opinión, las sanciones se pusieron tan altas porque el tema de la privacidad y la protección de datos es de especial importancia en nuestro sistema constitucional y en España se le prestaba poca o ninguna atención. Sinceramente, no creo que fuese por afán recaudatorio, ni mucho menos. Ahora bien, 10 años después, lo lógico sería igualarlas a las del resto de países comunitarios.

  13. Estoy de acuerdo en que las sanciones en materia de LOPD son excesivas.
    Pienso que las sanciones desproporcionadas conducen a resultados injustos. Aplicando en rigor la LOPD podemos cerrar una empresa por un mailing indebido. Por eso creo que las sanciones deben imponerse, y más en estos tiempos, con mucho tacto.
    Ahora, dicho esto, pienso también que la LOPD y el reglamento de medidas de seguridad hay que verlos como una oportunidad, más que como una carga.
    Y pienso que, en muchos casos, la carga viene impuesta más por consultoras que cobran un dineral por inscribir los ficheros y facilitar un documento estándar en el que de un cliente a otro varían exclusivamente los datos de la empresa.
    En otros casos se implanta la LOPd con un nivel de detalle y complejidad que consigue sistemas que no se pueden mantener sin ayuda externa.
    Pero creo que si se aplica la Ley con rigor, pero de forma sencilla y razonable, se pueden conseguir mejoras en la gestión de la información que incrementen la competitividad de las empresas.
    Al final lo que exige la Ley es que se adopten medidas razonables, encaminadas a la organización y aseguramiento de la información, que es el activo más importante de una empresa en la sociedad actual.
    Y las prohibiciones que contiene tanto la LOPD como la LSSI son bastante razonables. Dar rienda suelta a los spammers y demás es la forma de bloquear nuestros correos y móviles.

    Un saludo

  14. Hola.
    Yo me he adaptado recientemente con una empresa consultora (www.saeconsultores.com) y he de decir que no me ha resultado costosa ni pesada para nada la adaptación a la ley de protección de datos (LOPD).
    Al principio pensé hacerlo yo, pero finalmente decidí contratar el servicio porque había cosas que no me quedaban claras y no me quería columpiar.
    Creo que presentar el cumplimiento de la lopd como una carga que “ahoga a las empresas” es de fácil venta -te lo compra cualquiera-, porque es una obligación que conlleva un trabajo adicional y eso no le gusta a ninguno, pero cuando lo implantas te das cuenta que ni es tan difícil, ni tan costoso ni la ley te pide imposibles, (como me pedían algunas empresas, que para empezar me vendían un software propio que valía más de 1000 euros y que me entorpecía todo).
    Sinceramente, no creo que ninguno de nosotros esté dispuesto a que nuestros datos personales circulen por ahí y se trafique con ellos sin ningún cuidado, porque estamos hablando de nuestra intimidad. ¿que hay que tener un archivo con determinados niveles de seguridad? Pues me parece bien, aunque tenga su coste, antes de que mis datos de salud, económicoos o los que sean aparezcan en los contenedores a la vista de cualquiera.
    Por otro lado no creo que ninguna empresa deje de instalarse en España y renuncie a un mercado de 40 millones de personas debido a una normativa más o menos exigente en materia de protección de datos.
    Pero bueno, yo ya digo que es mi experiencia y no niego que alquien, por las circunstancias que sean, tenga una losa con esto de la lopd.
    ¡¡Muchas gracias y fantástico blog!!

  15. Álvaro Del Hoyo

    Buenas, Pablo

    En relación con el asunto de la forma de presentación de las consultas a la LOPD, creo es preciso comentar que por ello la AEPD no cumple con la Ley 11/2007, abreviando la Ley de Administración Electrónica.

    Cosa que debiera estar haciendo ya, especialmente en su caso, predicando con el ejemplo.

    Sabes que comenté en un artículo en mi anterior empleo hace ya bastante tiempo acerca de los problemas de autenticación de personas en los servicios de atención al cliente (por ejemplo contra amenazas como el pretexting, pero hay otras más), a los que se suman los existentes en la autenticación por medios electrónicos.

    ¿De qué sirve presionar tanto a entidades como Tuenti con el asunto de la acreditación de identidad y edad de sus usuarios, si después la AEPD con medios y obligaciones tampoco resuelve el problema de la identificación y autenticación no presencial?

    Es posible firmar el Formulario NOTA con firma electrónica y solictar la inscripción de ficheros por Internet, existe un registro telemático,… pero aún no es posible enviar consultas por medios electrónicos usando certificados electrónicos.

    El resto de la Administración, al menos la estatal, se debería poner a trabajar para hacer efectiva la posibilidad de que nos autentiquemos con certificados electrónicos y firmemos documentos electrónicos con los mismos, cosa que ya debiera ser posible y estamos aún muy lejos.

    A ello debería contribuir la AEPD predicando con el ejemplo y persiguiendo a la Administración para que la administración electrónica sea una realidad, y no sólo ese proyecto tan complicado, cierto es, que tanta pereza da entre tantos otros asuntos prioritarios, pero…

    ¿Puede tener que ver el hecho de que no se les puede sancionar económicamente? No olvidemos que fue en el ámbito administrativo dónde primero surgió el habeas data.

    Finalmente, ello ayudaría a empujar a “las empresas que presten servicios al público en general de especial trascendencia económica” a implantar el medio de interlocución telemática que les exige el art. 2 de la Ley 56/2007 de Impulso a la Sociedad de la Información. Donde es preciso aclarar, que este art. viene a ser un reflejo de los objetivos de la Ley de Administración Electrónica en el sector privado, esto es, autenticación y firma de documentos por medio de certificados electrónicos, en pos de entre otros objetivos la seguridad de la información (así se comprueba en su Exposición de Motivos). Y fíjate bien que digo “y firma electrónica”.

    Empresas a las que es exigible esta obligación opinan que el art. 2 de la Ley 56/2007 tan sólo exige la autenticación, pero no la firma electrónica de contratos, consultas, quejas, reclamaciones, solicitudes de derechos ARCO,… pues lo que pide tal artículo es que se autentique a las personas por medio de los certificados electrónicos y que tengan a disposición tales posibilidades. De verdad, entiendo que se valore desde una visión financiera este tipo de costes, pero en la derivada se deben incluir también los beneficios, y ya no sólo por cumplir la ley o parecer más o menos teconlógicamente avanzadas, pero de la lectura de tal precepto creo que no cabe más interpretación que la que propongo aquí: autenticación sí, pero firma electrónica de documentos también.

    Realizar contratos, presentar consultas, quejas y reclamaciones, o solicitudes de derechos ARCO por correo electrónico son prácticas ya existentes y habitualesen las webs de tales empresas, ¿entonces que es lo que se viene a impulsar?¿De verdad que queremos seguir contando con evidencias electrónicas de simples logs de que una casilla ha sido marcado o un botíon “acepto” ha sido clickado (si es que además esto se está haciendo)?

    Uno de los problemas es que ese artículo 2 Ley 56/2007 ha quedado huérfano de todo régimen sancionador, pues a diferencia de los arts. que modifiquen otras leyes como LSSI, Ley Fimra Electrónica,… éste queda como propio de la Ley 56/2007 sin régimen sancionador alguno, de modo que son tan sólo la responsabilidad corporativa (conformidad con las leyes aplicables) y la imagen corporativa los únicos alicientes para su cumplimiento.

    Algunas de estas empresas de especial trascendencia económica, especialmente entidades financieras, ya ofrecen la posibilidad de autenticarse con el DNI-e y algún otro certificado reconocido en algunos casos, pero simplemente a efectos de autenticación, obviando cualquier ofrecimiento de firma electrónica de documentos.

    Recientemente se hizo pública la existencia de un troyano que falsea el balance de cuentas (o incluso no reflejen números rojos) que están siendo objeto de transacciones fraudulentas para que el cliente del banco no las detecte. Ni siquiera soluciones de One Time Password son suficientes para proteger completamente nuestras cuentas bancarias del fraude informático, que crece año a año.

    De verdad, si estas empresas hicieran un análisis de los riesgos en sus transacciones en sus webs corporativas, ya sea en materia de protección de datos, pero también de seguridad de la información en términos generales,verían qué beneficios les aporta la implantación del medio interlocución telemática que les es exigido: se evitan problemas de autenticación en formularios web, se mejora en cuanto a las gaantías del principo de veracidad y exactitud de los datos, se puede mejorar en cuanto a evidencias de cumplimiento de deber de información, pero sobre todo de consentimiento (aunque para ello mejor seguir los postulados de Julián Inza acerca del uso de firma electrónica completa, en la que al firmar se añade la información de validación del certificado electrónico de firma e incluso también recomendable un sello de tiempo provisto por tercera parte de confianza), se puede cerrar la vía del correo electrónico para la gestión o de la autenticación de factor simple usuario contraseña en la relación jurídica telemática con los clientes (problemas de suplantación de identidad, problemas de integridad de la información, problemas de evidencias sobre la realidad y momento de entrega y recepción de correos electrónicos,…).

    Ello sin olvidar además que, de contar con una solución de firma electrónica, podrían por fin resolver el problema de legalidad que tienen las facturas en pdf que este tipo de empresas nos hacen disponibles en entornos web o nos entregan por correo electrónico para proteger el medioambiente y recortar costes fijos.

    Estas facturas no tienen validez jurídica alguna, pues han de ser firmadas con certificados electrónicos, incumplimiento que puede suponer problemas en términos mercantiles, contables y fiscales no ya sólo para el operador, sino también para sus clientes, especialmente autónomos y empresas. Basta con leer los artículos 17 y 18 del Reglamento de Facturación para darse cuenta de ello.

    Enhorabuena por el post y los debates generados al respecto Pablo.

    Espero que nos podamos volver a ver pronto.

    Un saludo

  16. Las leyes españolas de proteccion de datos son muy duras, y se han dado muchos casos de demandas por cuestiones que a una persona corriente le parecen absurdas, sólo hay que fijarse por ejemplo en el caso del LIDL

  17. A mi empresa me llamaron desde otra empresa que se dedica a adaptar a la LOPD y me resultaron muy curiosos dos datos:

    1. Se dirigió a mi con mi nombre y apellidos sin que yo se los hubiera dicho
    2. Me indicó que mi empresa no estaba al dia con esta ley por tanto tenia acceso a datos privados de mi empresa.

    ademas de esto amenazas (nada sutiles) y explicandome como estaba en RIESGO de pagar un dineral. Y por apenas unos 500€ al año estaba “a salvo”.

    Mis preguntas son: ¿no está hecha esta ley precisamente para protegernos de lo que hace esta empresa.?
    ¿puedo denunciar a esta empresa por disponer de datos privados de mi empresa sin mi consetimiento?

  18. yo creo que hay que cumplir la lesgilación vigente no solo la ley de protección de datos, sino tambien por ejemplo la ley de prevención de riesgos , las de medioambiente. Deberia de haber mas inspecciones a las empresas en todos los campos y dejar de pensar que cumplir con la legislación hunde las empresas, las empresas se hunden por la mala gestión , por falta de clientes pero no por cumplir la leyes

Deja un comentario