'Las empresas no conocen la Ley de Protección de Datos'
Desde que hace poco menos de un año José Luis Piñar se incorporó a la dirección de la Agencia de Protección de Datos (APD) ha tenido un objetivo bien claro. Conseguir que el organismo que dirige sea más accesible y convencer a las empresas de que cumplir con la Ley de Protección de Datos no sólo les evitará el pago de multas que pueden alcanzar los 600.000 euros sino que, en su opinión, les permitirá ser más competitivas y ganarán en credibilidad, 'porque la gente cada vez valora más las empresas que respetan la privacidad'.
Pregunta. Las empresas, y más recientemente las cámaras de comercio, se quejan de que el desconocimiento y la complejidad de la Ley de Protección de Datos dificultan su aplicación. ¿Qué opina de esta queja?
Respuesta. Soy consciente de que hay un desconocimiento de la ley entre las empresas. Muchas veces el incumplimiento de la norma no es voluntaria, sino que los empresarios simplemente creen que deben atender antes a otras prioridades.
P. ¿Y de quién es la culpa de que exista este desconocimiento?
R. De todos y de nadie, porque sí hay muchas empresas que cumplen con la ley, especialmente las grandes. Quizá son las pymes y los profesionales los que tienen menos cultura de protección del dato.
P. ¿Supone un esfuerzo especial para las empresas aplicar la ley?
R. Implica adoptar medidas técnicas y organizativas y recogerlas en un documento de seguridad que deben conocer todos los empleados que tratan con esos datos en la empresa. Tienen que saber que incluso una nómina que contenga los datos de dos trabajadores es un fichero que debe inscribirse en la APD. Pero la inscripción es gratuita y se puede hacer a través de la página web de la agencia.
P. Las multinacionales que tienen que traspasar y recibir datos de sus filiales lo tienen especialmente difícil, ¿no?
R. Si la transferencia es dentro de la UE no hay problema porque todos los países tienen un nivel similar de protección. Con otros países como Argentina, Suiza, Hungría y Canadá y en parte Estados Unidos hay establecidos convenios que facilitan la transmisión. Y para los que no tienen reconocido un régimen de protección no se puede realizar transferencias de datos salvo que haya consentimiento del afectado o solicite de la APD un permiso específico.
P. También son generalizadas las quejas de la excesiva cuantía de las multas. Dicen que son las más altas de la UE.
R. Es verdad que las multas son elevadas, pero lo ideal sería que las empresas cumplieran y no tuvieran que pagarlas. De todos modos, la CE nunca ha llamado la atención acerca de la cuantía de las multas en España. Sin embargo, sí lo ha hecho respecto a que en algunos países no hay una autoridad de control y no tienen facultades apropiadas para garantizar una adecuada aplicación de la directiva. Si las empresas se van mentalizando habrá que sancionar menos.
P. Hablando de sanciones, ¿no puede poner en entredicho la independencia de la agencia el que se financie con las multas que impone?
R. Esta circunstancia se está produciendo excepcionalmente durante este ejercicio. Hasta 2002 la APD recibía fondos públicos y completaba su financiación con las cantidades percibidas por las sanciones. Este año dejamos de recibir dinero del Estado, pero para 2004 hemos conseguido una partida de transferencias del Estado. En todo caso, tengo que decir que yo actúo sin recibir instrucción alguna de nadie y no hay ningún tipo de condicionamiento.
P. Desde las cámaras se ha sugerido que se fomenten los códigos tipo para tratar de subsanar el desconocimiento de la ley.
R. Y se está haciendo. Y lo vamos a potenciar. En estos momentos ya hay códigos para los sectores de telecomunicaciones, Internet, comercio electrónico y hospitales y estamos trabajando para extenderlos a otros.
P. ¿Supone para las empresas un problema el que la ley no esté desarrollada en un reglamento?
R. Sí, la verdad es que a veces provoca situaciones de desconcierto, pero trabajamos para elaborar un texto que pasaremos para su revisión al Ministerio de Justicia, que es el que tiene que aprobarlo.
¿Puede el jefe espiar el 'e-mail' de sus empleados?
Los trabajadores no dejan aparcado su derecho a la privacidad cuando entran en su lugar del trabajo. Es la conclusión que alcanzó no hace mucho tiempo el Tribunal Europeo de Derechos Humanos. Pero los reguladores europeos no saben cómo afrontar el problema de los riesgos que suponen las nuevas tecnologías en la intromisión en la vida privada de empleadores y trabajadores. José Luis Piñar analiza junto con sus homólogos europeos cómo compatibilizar el derecho del empresario a saber a qué dedican el tiempo sus empleados con el derecho de éstos a su privacidad. Piñar asegura que se avanza por el camino de conciliar la privacidad del trabajador con las relaciones laborales y el que los empresarios puedan tener algún tipo de control sobre las comunicaciones de sus empleados. 'Pero en cualquier caso, ese control debe ser proporcionado. Es un tema que estamos discutiendo, pero aún no hay una solución', reconoce el director de la Agencia de Protección de Datos. Piñar asegura que las nuevas tecnologías tienen sus desventajas. 'Hay estudios que afirman que los empleados tardan entre 10 y 15 minutos en eliminar correos no deseados'. En este sentido avanza que la futura Ley General de Telecomunicaciones otorgará nuevas competencias a la APD, 'por ejemplo en el ámbito del spam. La agencia podrá recibir denuncias por recibir correos no deseados', explica.
Las multas más altas de la UE:
La ley obliga a registrar en la agencia todas las bases de datos que contengan información de carácter personal, ficheros de clientes o, incluso, las nóminas de los empleados. La norma española es la que contempla sanciones más elevadas. Mientras que en Irlanda las sanciones no superan los 1.300 euros, en España pueden alcanzar los 600.000.60.101:Esta es la sanción más elevada que se impone por una falta leve, que puede imponer la APD, por ejemplo, por no atender la solicitud del interesado de rectificación o cancelación de los datos personales por motivos formales. Las multas oscilan entre 601 euros y 60.101 euros.300.506: Las faltas graves están penadas con sanciones que oscilan entre los 60.101 euros y los 300.506 y se impone, por ejemplo, por recoger datos sin el consentimiento expreso de los afectados cuando éste sea exigible.601.012: Es la multa más alta que puede imponer la APD por una sanción muy grave, como recoger datos de forma engañosa y fraudulenta. Las multas para estos casos oscilan entre los 300.506 euros y los 601.012 euros.