ENTREVISTA A JOSÉ LUIS PIÑAR, DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

Transcripción

1 ENTREVISTA A JOSÉ LUIS PIÑAR, DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fuente Blanca Fdez-Galiano Blanca Fernández-Galiano, Gerente de Agenda Activa, entrevista en ésta ocasión y desde la newsletter de TopTenMS a D. José Luis Piñar Mañas, catedrático en Derecho Administrativo y, desde hace cuatro años, Director de la Agencia Española de Protección de Datos (AEPD). Newsletter: Sr. Piñar, aprovechando el foro en el que nos encontramos, compuesto por altos directivos de grandes empresas y de Pymes qué mensaje le gustaría hacerles llegar con respecto a la protección de datos? José Luis Piñar: Ante todo que la protección de datos es un derecho fundamental que reconoce la Constitución Española y que recoge la Carta Europea de Derechos Humanos. Derecho que todos tenemos y que todos debemos respetar. La Agencia Española de Protección de Datos acaba de publicar unos dípticos con el lema Protege tus datos. Respeta sus datos. Este es un mensaje de capital importancia. Por otra parte, los empresarios deben ser conscientes y ya lo son en gran medida- de que la protección de datos es buena para su actividad comercial y empresarial y que cada vez está más valorada en los ciudadanos, consumidores y usuarios. La Agencia Española de Protección de Datos está además haciendo grandes esfuerzos para conseguir abaratar y simplificar la implantación de las medidas que la protección de datos exige. Newsletter: Cuál es la importancia de la Protección de Datos? J.L.P.: En parte ya he respondido antes. El derecho a la protección de datos ha sido reconocido como un derecho fundamental de las personas por el Tribunal Constitucional. También, como he dicho, ha sido recogido en la Carta Europea de Derechos Fundamentales y en el Proyecto de Constitución Europea. Se trata, por tanto, de un derecho básico en toda la Unión Europea cuya garantía se encomienda a autoridades independientes como la Agencia Española de Protección de Datos.

2 Esta circunstancia permite que el intercambio de datos personales, tan necesario para el desarrollo del comercio, de los servicios de la sociedad de la información y para la coordinación de los poderes públicos, se lleve a cabo con garantías adecuadas. La existencia de un sistema adecuado de protección de los datos personales es necesaria para facilitar el tráfico internacional. Por ello estoy apoyando intensamente el desarrollo de esta cultura en los países iberoamericanos. Newsletter: Sr. Piñar, le hemos oído hablar en numerosas ocasiones de la cultura de la protección de datos Podría destacar algún aspecto en el que nuestra cultura sea notablemente mejor que la del resto de Europa, y otro en el que claramente las empresas españolas deban mejorar? J.L.P.: La normativa española posibilita que se tutelen efectivamente los derechos de los ciudadanos y reconoce a la AEPD los instrumentos necesarios para aplicarla, aspecto éste en el que la Comisión Europea ha encontrado deficiencias en otros países. Igualmente debe destacarse la existencia de una norma específica sobre medidas de seguridad. Las empresas españolas deben mejorar la información previa que necesariamente han de facilitar a las personas cuyos datos tratan y reforzar la implantación efectiva de las medidas de seguridad. Estos aspectos son particularmente importantes cuando se tratan datos de Internet. Las empresas deben incorporar a sus hábitos de actuación como algo normal, la perspectiva de la protección de datos. Newsletter: Cree usted que la Ley de Protección de Datos es lo suficientemente conocida por las empresas españolas? J.L.P.: Existe un conocimiento creciente de la normativa de protección de datos por parte de las empresas como lo acredita tanto el número de ficheros inscritos en el Registro de la Agencia (ya más de ) como la media de notificaciones diarias al mismo, que han pasado en los últimos dos años de 250 a más de 600. No obstante, habría que distinguir entre grandes corporaciones y PYMES. Las primeras tienen un conocimiento profundo de esta normativa por lo que, al ser titulares de los ficheros con mayor número de datos, el nivel de protección existente es superior al que puede desprenderse del número de ficheros inscritos. En el caso de las PYMES hay un mayor desconocimiento de la Ley, si bien lo tratamos de resolver a través de continuas jornadas divulgativas. A modo de ejemplo puedo señalarle que sólo en colaboración con la Cámara de Comercio de Madrid, entre mayo y

3 junio, hemos tenido dos jornadas con presencia de 400 empresas. Newsletter: Qué responsabilidad tienen los directivos de las empresas por el incumplimiento de la LOPD? J.L.P.: La responsabilidad del cumplimiento de la LOPD corresponde a las empresas, que son a las que se imponen las sanciones en caso de infracción. Los directivos deben asumir la responsabilidad de conocer la política de protección de datos de su organización y garantizar que se difunda y aplique en sus áreas de responsabilidad, evitando que puedan imponerse sanciones a la empresa y deteriorarse su imagen pública. Newsletter: Existe también la figura del Responsable de Seguridad de los datos. A menudo se quejan de la soledad en la que se encuentran porque no se sienten apoyados por la empresa ni por el personal de la empresa en lo que a la protección de datos se refiere Cree usted que una clara y adecuada política de protección de datos es importante para que los trabajadores de la empresa conozcan cuáles son sus obligaciones? J.L.P.: Los responsables de seguridad tienen la función de coordinar y controlar las medidas definidas en el documento de seguridad, que es un documento de obligado cumplimiento en el que debe definirse la política de protección de datos de la empresa. Su designación no supone, en ningún caso, una delegación de la responsabilidad de la empresa. Dadas sus funciones de coordinación y control, el responsable de seguridad debe tener el apoyo y la colaboración de los directivos y del conjunto de los trabajadores. Newsletter: Es conveniente desarrollar procedimientos para divulgar cuál es la política de la empresa y cada trabajador sepa cuáles son sus funciones? J.L.P.: El desarrollo de la política de protección de datos en la empresa no sólo es conveniente sino que constituye una obligación que, como he señalado, se traduce en la elaboración e implantación del documento de seguridad. En el mismo, las funciones y obligaciones de cada una de las personas con acceso a los datos personales y a los sistemas de información deben estar claramente definidas y documentadas, a fin de que sólo se acceda a los datos necesarios para su ejercicio. Para ello es preciso, además, que se informe a los trabajadores advirtiéndoles de las consecuencias de incumplir las medidas de seguridad que afecten a las funciones que tienen atribuidas.

4 Pero en cualquier caso lo importante, como he señalado, es conseguir que en las empresas sea visto como algo totalmente normal la implantación y cumplimiento de la legislación de protección de datos. Newsletter: Muchos empresarios piensan que cumplir con esta Ley no les aporta ningún beneficio. En este sentido, qué rentabilidad puede obtener la empresa con un adecuado tratamiento de los datos personales? (Imagen, Protección de otro tipo de información, organización, etc) J.L.P.: La Ley debe cumplirse, en principio, porque se trata de garantizar un derecho de las personas que, normalmente, serán empleados, proveedores y clientes o potenciales clientes de la empresa. Junto a ello, el cumplimiento de la LOPD aporta beneficios a la empresa. Así, por ejemplo, si no se adoptan medidas de seguridad se pueden perder, como se ha denunciado en ocasiones ante la AEPD, activos empresariales muy importantes como es un fichero de clientes. La imagen pública de la empresa puede quedar negativamente afectada si se declara una infracción. A este respecto debo señalar que la LOPD impone como una medida de transparencia en la actuación de la Agencia la publicación de las resoluciones en nuestra página web, en la que figura la identificación de las que cumplen adecuadamente y las que no lo hacen. Pero no sólo es importante evitar una imagen negativa sino que, de forma cada vez más frecuente, las empresas tratan de incorporar logotipos acreditativos del buen cumplimiento de la LOPD como una imagen de calidad que les diferencia ante los clientes de sus competidores. Estas políticas de calidad pueden ser especialmente importantes para las empresas que operan en Internet dada la mayor desconfianza de los ciudadanos ante las nuevas tecnologías. Newsletter: Qué es lo que hay que hacer ante una catástrofe como la del Edificio Windsor en la que seguramente se habrán perdido cantidad de datos de carácter personal? J.L.P.: El Reglamento de Medidas de Seguridad respecto de los datos personales prevé y obliga a que se establezcan procedimientos para la realización de copias de respaldo y para la recuperación de los datos de forma que pueda garantizarse su reconstrucción en el estado en que se encontraban en el momento de producirse su pérdida o destrucción.

5 La adopción de estas medidas, en caso de un incendio, debe permitir la recuperación de la información, reduciendo las consecuencias de un accidente como el que me indica. Creo que es otro buen ejemplo de las ventajas que supone para la empresa cumplir la normativa de protección de datos personales. Newsletter: Cuáles son las sanciones por incumplimiento de la Ley? J.L.P.: La LOPD distingue entre infracciones leves, graves y muy graves. Las sanciones que pueden imponerse son, respectivamente, de 601 a ; de a y de a En la práctica las infracciones que más frecuentemente se declaran son graves imponiéndose sanciones de Newsletter: Cuántos procedimientos existen abiertos en la actualidad? J.L.P.: En el año 2004 se iniciaron casi mil actuaciones de investigación previa a la iniciación de procedimientos sancionadores o al archivo de las actuaciones. En este momento se están tramitando 250 procedimientos sancionadores a responsables de ficheros privados [y 30 a responsables de ficheros públicos]. Newsletter: Cuál es el importe recaudado por sanciones por la Agencia de Protección de Datos en el año 2004? J.L.P.: En el año 2004 se recaudaron Î por infracciones declaradas en dicho año y en ejercicios anteriores, cifras que suponen un incremento de más del doble que las del año anterior. Newsletter: Por último Sr. Piñar, Algún consejo para todos los directivos a los que va destinada esta Newsletter? J.L.P.: Un consejo breve pero de enorme importancia: que respeten e implanten la legislación de protección de datos. Ni es tan difícil ni es tan caro como se pretende, y, además a la postre aporta beneficios de muy diversa naturaleza al tiempo que ayuda a conseguir un tejido empresarial más moderno y competitivo.