La Protección de Datos a coste cero: en defensa de la verdad

Hace ya casi un año que escribí un post sobre la práctica, a todas luces engañosa, de realizar la adecuación a la Ley Orgánica de Protección de Datos – LOPD, con cargo a los fondos de la Fundación Tripartita. Afirmaba entonces que la práctica de «vender» la LOPD y que la paguen los fondos destinados a la formación de los trabajadores me parecía una práctica fraudulenta. Ha pasado casi un año y sigo pensando lo mismo, pero con una novedad.

Este año, los amigos de la Asociación Profesional Española de Privacidad – APEP-, junto con la Asociación Multisectorial de Empresas Españolas de Electrónica y Comunicaciones – ASIMELEC – deciden hacerme un bonito regalo de cumpleaños. Bueno, sólo ha sido una coincidencia de fechas. El caso es que el pasado 8 de febrero, las dos asociaciones mencionadas han presentado en el Registro General de la Agencia Estatal de la Administración Tributaria un escrito que avisa de las fundadas dudas sobre la legalidad de la práctica de la Protección de Datos a coste cero.

En este escrito se esgrimen razones de peso que demandan una aclaración sobre el posible fraude fiscal que esconde esta práctica. Además, las dos asociaciones están dispuestas a aportar dossieres informativos para que los órganos de inspección de Hacienda, pues, puedan ver cómo están las cosas.

Vamos a ver, Señores empresarios, ¿de verdad se han creído que estas cosas no iban a tener repercusiones legales para su empresa? Un concejo: tal y como están las cajas del Estado, yo empezaría a mirar una solución para regularizar su situación. Por cierto ¿a que esta vez no recurrirán a esos «consultores»? País…

La protección dental y la protección de datos

Es de hoy la noticia según la cual una cadena de clínicas dentales han cerrado sin atender los compromisos con sus clientes.

Clama al cielo que estos señores se hayan esfumado con el dinero de las curas pagadas por adelantado y sin haber concluido los tratamientos de los pacientes. Alguna que otra dentadura postiza seguirá en las estanterías y los pacientes volviendo a repetir el tratamiento (y a pagarlo).

Que los afectados no se olviden que nadie sabe dónde están sus historias clínicas. Casi me atrevo a apostar a que, tarde o temprano, éstas aparecerán en algún contenedor de la basura y de la protección de datos que se encargue el servicio de limpieza. Antes de que sea demasiado tarde, espero que los afectados se dirijan a la Agencia Española de Protección de Datos y que les pongan en conocimiento de los hechos.

Viejo refrán popular: lo barato sale caro y más en tiempo de crisis. Cuidado con los dientes y con los datos.

LOPD: pero ¿pá qué?

Los que más saben de datos personales , ya que se ganan la vida analizándolos para vender más y  mejor (o para que sus clientes lo hagan), acaban de publicar una noticia equivocada sobre la entrada en vigor del nuevo R.D. 1720/2007.

Según se afirma en ese artículo, parece que las nuevas medidas de seguridad impuestas en materia de Protección de Datos entrarán en vigor el próximo abril de 2010.

Me temo, hasta donde yo sé, que ha habido un despiste de un par de años. En realidad, tal y como afirma la Disposición Transitoria Segunda del dichoso Real Decreto, estas medidas de seguridad debería haberse implantado antes del pasado 19 de abril de 2008.

Lo dicho, esto de la LOPD, ¿pa’ qué?

La Protección de Datos en los periódicos: cómo confundir al personal

Esto de trabajar en el sector TIC te lleva necesariamente a ser visto como un «tío raro» y a tener que dar explicaciones sesudas a una simple pregunta de cortesía: «Y tú, ¿a qué te dedicas?«.

Cuando tengo que participar a un evento social (típico sarao con conversaciones intrascendentes), siempre estoy deseando que el periódico de la mañana haya publicado alguna noticia sobre Protección de Datos o Administración Electrónica.

Como el segundo tema sólo sale en vísperas de elecciones (y ni así), reviso las noticias sobre Protección de Datos, para sacar alguna anéctoda suculenta, y así explicar cómo me gano la vida.

Hoy es un buen día, ya que Expansión, El País, y Sur.es se hacen eco de noticias relacionadas, a vario título, con la privacidad.

Lo malo es que, en algunos casos, estas noticias, en vez de ayudar, lían bastante al personal.

Es el caso de lo publicado por Sur.es, que subraya, con justicia, la importancia de la defensa de la información empresarial, como verdadero valor añadido de la labor de adecuación a la LOPD.

Pero, ¿desde cuándo las sanciones máximas en materia de Protección de Datos tienen como techo los 300.000€? Oiga, es que la sanción máxima ¡puede a ser el doble!

Tampoco es cierto que un hotel no puede facilitar los datos de sus clientes a otras empresas, so pena de cometer un delito. Hombre, sí, en teoría, en casos de dolo y otros elementos que caracterizarían el comportamiento delictivo, cabría la aplicación del art. 197 del Código Penal, pero, en realidad, los hoteles sí pueden comunicar los datos de los clientes, siempre y cuando hayan recabado el preceptivo consentimiento.

Entiendo que resumir asuntos importantes en el espacio reducido de un artículo es muy difícil, pero esto no es excusa para no ser rigurosos en la información proporcionada. Si no, me tocará a mí, en el próximo sarao, explicar dónde y cómo se equivocan los periodistas.

Para hacer más luz sobre estos asuntos (y sobre otros, como los mitos y leyendas del marketing on line, por ejemplo), que me he decidido en participar en la redacción de una Web interesante (o eso espero): www.vamosacontarverdades.es.

A ver qué sale de esto.

Off-topic, un poco enfadado

Admito que esta entrada no tiene que ver con Administración Electrónica, pero creo que es importante saber qué pasa en el mundo de las empresas de consultoría TIC.

El asunto iría más bien encuadrado dentro de la Protección de Datos. Creo que podría utilizar una nueva página dentro de este mismo blog, pero admito que esta opción del wordpress no la domino.

El caso es que, desde hace algún tiempo, en nuestra práctica profesional, nos hemos encontrado con una situación bastante peculiar.

A la hora de presentar nuestras propuestas comerciales para el servicio de Adecuación a la LOPD, nos encontramos, como es lógico, con otras propuestas de la competencia.

Cada uno hace las cosas a su manera, «cada maestrillo tiene su librillo». Pero uno de los elementos diferenciadores de la propuestas siempre me ha llamado la atención y era la forma de abonar los servicios.

Algunas empresas han intentado disfrazar el servicio de adecuación a la LOPD con un «curso financiado por la Fundación Tripartita«, de manera que el cliente destinatario de la adecuación tuviera un servicio «a coste cero«.

De esta práctica, que, a falta de mejor definición (¿ilegal? ¿delictiva?), definiremos como poco ética, se ha hecho eco el periódico «El Mundo» en un interesante artículo del pasado 30 de marzo.

Todo sea dicho, el artículo es bastante impreciso en la descripción de los deberes legales en materia de Protección de Datos de Carácter Personal, sobre todo cuando dice que las sanciones económicas pueden llegar hasta los 6.000€.

Conociendo algunos empresarios, si así fuera, casi nadie cumpliría con esa ley. En realidad, como de sobra es conocido, las sanciones pueden llegar a los 600.000€. Lo que hacen un par de «0».

Solución del asunto: la empresa obtiene el servicio de adecuación a la LOPD; el proveedor presta el servicio (aquí no entramos a valorar, bastante tenemos con el resto); por otro lado, el proveedor presenta unas facturas que hacen referencia a una formación impartida a los trabajadores de la empresa (personalmente, pagaría por asistir a estas clases). Estas facturas se mandan a la Fundación Tripartida, que pone la pasta (es un decir, en realidad se trata de bonificaciones de cuotas sociales).

¿Todos contentos?

Francamente, algunos no estamos de acuerdo con estas prácticas. A mi me suena a algo que estudié, quizás no con el provecho debido, cuando cursé las clases de Derecho Penal.

Miremos el artículo 248.1 CP: «Cometen estafa los que, con ánimo de lucro (cobran), utilizaren engaño bastante (¿existe esta formación? ¿no es más bien un negoci simulado? ah, si hubiera estado más atento a las clases de Derecho Civil…) para producir error en otro (la Fundación Tripartita), induciéndolo a realizar un acto de disposición (abonar las cuotas sociales) en perjuicio propio (destina recursos a quien no tiene derecho) o ajeno (como los fondos son limitados, mi empresa se ha quedado sin subvención, porque ese dinero ha ido para pagar cursos de LOPD) .»

Claro que la mía es una interpretación parcial de los hechos, pero creo que algún fundamento puede haber.

¿Se imaginan que, después de algunas revisiones llevadas a cabo por una Fundación Tripartita más atenta, ahora, las empresas tengan que devolver las sumas «ahorradas»?

No está bien utilizar el blog para desahogarse, ma «quando è troppo, è troppo».

Perspectivas para 2009 en Administración Electrónica

La Web de OpenPropolis ha pedido a una serie de expertos una opinión sobre las perspectivas en materia de Administración Electrónica para este año 2009.

Al lado de otros autores más cualificados, he intentado reflejar las dos visiones, entre sí opuestas, que me encuentro en mi día a día profesional: los pesismistas, que dicen que la Ley 11/2007 no se llevará a cabo (o, por lo menos, no tal y como está planteada); y los optimistas, que ven en la LAE la panacea contra todos los males no sólo de la Administración Pública, sino de la economía española en general.

Estoy muy agradecido a la gente de OpenPropolis por su invitación y espero con curiosidad a saber cuál de los dos bandos (pesimistas vs optimistas) ganará la contienda.

La e-Administración, la Empresa y todo lo demás

Hay muchas aportaciones de los lectores de este blog que obligan a reflexionar seriamente no ya sobre las características técnicas, legales y organizativas de la Administración Electrónica, sino sobre su misma esencia. De ahí, el título de este blog, que no es otra cosa que una mala imitación de un título mucho más iluminado de Douglas Adams.

Por lo tanto, de un lado, está el por qué de la e-Administración (gracias, Paloma); y por el otro, el papel de las empresas privadas en el desarrollo de la Administración electrónica (cfr. blog de Julián Valero y de Andrés Nin Pérez).

Con la que está cayendo ¿necesitamos que los escasos recursos del Estado se inviertan en la Adminsitración Electrónica? Y las empresas privadas ¿qué papel juegan? Además, ¿quién les ha dado vela en este entierro?

Estos asuntos aparentemente dispares están íntimamente relacionados, así que empecemos por el primero: de dónde viene la e-Administración (o sobre su esencia).

No hace falta ir muy lejos para buscar las respuestas a estos interrogantes, pudiéndonos quedar en la misma Exposición de Motivos de la Ley 11/2007. Ahí se nos recuerda que vivimos en la Sociedad de la Información (o por lo menos, vivimos en ella algunos privilegiados del mundo occidental), que se caracteriza por un sistema económico basado en la producción de un bien antiguo (la información), en un soporte nuevo (las TIC).

No puedo (ni sabría) decir cómo hemos llegado hasta aquí, recorriendo el camino que va desde Arpanet hasta la Infonomía. El caso es que la sociedad civil y la empresa han llegado hasta aquí, y ahora la Administración debe dar el oportuno soporte a las demandas de la sociedad. Es más, existe una obligación legal (por lo menos en España) impuesta por el artículo 103.1 CE a la Administración de servir los intereses generales.

No sólo la Administración debe dar soporte, sino que asume otro papel, que es el de dar confianza y seguridad a los ciudadanos que se mueven en este nuevo entorno. Estas obligaciones de la Administración responden, más allá de una teórica asunción de obligaciones morales y éticas para un general progreso de los ciudadanos/administrados, a una más terrenal y concreta necesidad de fomento del crecimiento y del empleo, tal y como afirmó la Comisión Europea en su iniciativa i2010.

Esta idea de que la Administración debe ser electrónica se refuerza también en estudio «The e-Government imperative«, donde por 42€ y a lo largo de más de 200 páginas se describe el por qué económico de la Administración Electrónica.

Queda demostrado, por lo menos en parte, la necesidad de una e-Administración como soporte de la actividad económica, como garante de las nuevas relaciones y como motor de empleo y crecimiento.

¿Y las empresas? Bueno, ellas son las «vanguardias«, la «palanca impulsora» y las que juegan el «papel coadiuvante» en el desarrollo de la e-Administración. El legislador ha sido generoso en el reconocimiento de estos papeles en la empresa privada porque, digámoslo francamente, si tuviéramos que esperar a que la Administración por si sola liderara la Sociedad de la Información, bueno, todavía estaríamos manejando un Windows 3.1.

Las anécdotas sobre la lentitud de la Administración se pueden contar por miles y merecerían una Wikipedia propia, así que, para asumir estas nuevas obligaciones, la Administración recurre a intermediarios.

¿Qué hacemos nosotros, las empresas? Pues, diseñamos Gestores Documentales, para que la Administración pueda tramitar sus expedientes en un soporte más eficiente. También colaboramos en su implantación, porque, aunque en algunos casos no se pagan licencias, hace falta alguien que sepa cómo se instalan estos cacharros o cómo se parametrizan.

Los hay también que nos dedicamos a colaborar con los servicios legales de los Ayuntamientos (y con Secretarios de buena voluntad) para la reingeniería de procesos y redactar ordenanzas municipales (mejor dicho, los borradores) para la regulación legal de la Administración electrónica en el ámbito local.

También proporcionamos la formación para el personal laboral y los funcionarios, en todas estas materias, que van desde los conceptos básicos de la Ley 11/2007, hasta cursos más especializados para responsables de proyectos.

Y después, estamos las empresas más tecnológicas, que son las que proporcionan los servicios de housing, hosting, firmas electrónicas, etc.

Por el hecho de participar en estas tareas, ¿necesitamos una regulación ad hoc? Francamente, creo que no.

Las condiciones establecidas en los pliegos de los concursos, así como los contratos que regulan las relaciones entre nosotros y las Administraciones son suficientes para establecer de quién es la culpa cuando los proyectos no responden a las necesidades de los ciudadanos.

Del mismo modo, también asumimos las responsabilidades propias de un Encargado del Tratamiento cuando alojamos datos personales de participantes en procedimientos administrativos en nuestros servidores. ¿Qué más exigencias se nos puede pedir?

Por ejemplo: que el e-Registro del Ayuntamiento funcione 24/7.

Pues, en realidad, eso en un falso problema. La empresa que asegurara por contrato estas condiciones, estaría prometiendo cosas que no están en su alcance proporcionar. Lo que sí podemos prometer y prometemos es la redundancia de los sistemas. Es decir: si el e-Registro no funciona (porque tarde o temprano, fallará), tendremos un e-Registro de reserva, así como un «cajero municipal» que haga las funciones de Registro a cualquier hora del día.

No sólo las medidas de seguridad (conocidas como planes de contingencia) serán redundantes (hasta el límite de inversión que una Administración pueda permitirse), sino que habremos mantenido la seguridad jurídica en caso de fallos, describiendo exactamente qué pasa con los plazos en los casos en los que el e-Registro principal no funcione correctamente.

Éstos son los papeles de la Administración y de las empresas en esta materia. Además, tampoco creo que necesitemos estar más o mejor atados y bien atados ya que (puedo hablar por experiencia), las cláusulas muy estrictas proporcionarían una falsa sensiación de seguridad jurídica a las relaciones, provocando, en realidad, la burocratización de estas relaciones. La lucha a esta burocratización es, no lo olvidemos, el verdadero objetivo de la Ley 11/2007.