|
Las pymes constituyen el principal foco de incumplimiento de la normativa sobre protección de datos. Así lo reconoce el secretario de Estado de Relaciones con las Cortes, Francisco Caamaño, en respuesta reciente a un diputado de CIU sobre el nivel de conocimiento y cumplimiento que tienen las empresas de la Ley Orgánica de Protección de Datos (LOPD).
El otro extremo, las grandes corporaciones son las que, “en términos generales, cumplen esta norma”, añade el documento. Caamaño justifica esta diferencia en que las grandes compañías, además de disponer de mayor volumen de protección de datos, cuentan “con herramientas más cualificadas para el tratamiento de datos personales”, lo que contradice lo que siempre se ha dicho desde la Administración en relación a las medidas que “incluye la norma no suponen un coste excesivo para las empresas”.
Situación semejante
Para Carlos Sáiz, socio responsable de Cumplimiento Regulatorio, la diferencia de cumplimiento de la ley entre las grandes empresas y las de menor tamaño también se traslada al ámbito público, porque las adminstraciones también están obligadas por la LOPD. “No es igual la gestión que se lleva en una Consejería de Sanidad que la de un ayuntamiento pequeño”, asegura.
Con la LOPD, entre otras tareas, las empresas tienen la obligación de notificar a la Agencia Española de Protección de Datos (AEPD) que han creado un fichero que contiene referencias personales, así como establecer mecanismos de control adecuados de los documentos de la misma condición en la empresa.
La AEPD es la encargada de velar por el cumplimiento de la ley y tiene la capacidad para actuar contra la empresa por vulnerar la ley. Esta actuación desemboca en una sentencia de un tribunal donde se impone una sanción. Estas sanciones se imponen por el tipo de datos vulnerados, asi que las pymes y las grandes empresas pueden asumir multas de hasta 300.000 euros. “Pero esta cantidad es difícilmente asumible para una pyme”, opina Sáiz.
Hasta 2006, los tribunales han impuesto multas por valor de 23,16 millones de euros, lo que supone un crecimiento del 8,9% con respecto al año anterior, y del 34% en relación a 2002, primer año en que se tienen datos de las sanciones impuestas por el organismo. “La AEPD ha puesto especial énfasis en el control de la protección de datos en el sector financiero, de seguros, sanitario, telecomunicaciones y más recientemente el jurídico”, asegura Margarita Santa Cruz, responsable de Protección de Datos quien advierte que, además, “los proveedores de servicio de Internet también están el punto de mira de la agencia”.
El principal problema para que las pymes cumplan con lo dispuesto en la Ley es “la falta de concienciación de los empresarios de que la protección de datos implica una gestión diaria”, asegura Sáiz. A esto se le suma “la creencia de los empresarios de que con la notificación del fichero a la AEPD ya han cumplido la LOPD”, añade Santa Cruz. Además, los expertos detectan la falta de elaboración de un documento de seguridad, al que están obligados las compañías, donde se establecen los procedimientos desarrollados para el tratamiento de datos personales.
Responsable
Otra dificultad más para las pymes es la designación de un responsable de seguridad que supervise estos procedimientos. “Normalmente, esa labor recae en el responsable informático de la compañía”, explica Santa Cruz. Pero muchas pymes tienen externalizado el departamento informático y no cuentan con un experto en su estructura, por lo que la designación del candidato se hace más difícil.
Además, las empresas suelen contratar a otra empresa, por ejemplo, la gestión de las nóminas. En estos procesos se manejan datos de carácter personal y las dos partes deben firmar un contrato donde se acuerda la gestión de los datos pero no la cesión. “Muchas pymes no tienen muy claro si están cediendo datos a la empresa o sólo la gestión”, explica Santa Cruz. (Carlos L. Abadía).
|
