_
_
_
_
Cinco Días
Economía
suscríbeteIniciar sesión
suscríbeteIniciar sesión
Economía
Tribuna
Artículos estrictamente de opinión que responden al estilo propio del autor. Estos textos de opinión han de basarse en datos verificados y ser respetuosos con las personas aunque se critiquen sus actos. Todas las tribunas de opinión de personas ajenas a la Redacción de EL PAÍS llevarán, tras la última línea, un pie de autor —por conocido que éste sea— donde se indique el cargo, título, militancia política (en su caso) u ocupación principal, o la que esté o estuvo relacionada con el tema abordado

Las empresas y la protección de datos

Javier Ribas
Facebook
Twitter
Linkedin
Copiar enlace

Cada vez que el legislador aprueba una nueva norma sobre protección de datos personales en España se produce un sustancial incremento del esfuerzo que las empresas deben realizar para estar dentro de la legalidad en esta materia. El pasado 21 de diciembre, como si de un regalo de Navidad se tratase, el Consejo de Ministros aprobó el reglamento de desarrollo de la Ley Orgánica de Protección de Datos (LOPD), que entrará en vigor el próximo 19 de abril. Esta vez, la norma aumenta la presión en unas áreas y la libera en otras, aunque hay ciertos sectores en que las empresas van a tener que realizar un mayor esfuerzo para cumplir la ley.

En el capítulo de las malas noticias destaca el hecho de que se mantiene la cuantía de las sanciones, siendo éstas, con diferencia, las más altas del mundo. A pesar de los argumentos de la CEOE, el legislador ha decidido seguir contribuyendo al Spain is diferent. Para confirmarlo, sólo hay que comparar el presupuesto anual medio que destina a protección de datos una empresa española y una empresa italiana, sin ir más lejos.

Tampoco se ha atendido la solicitud de dejar de considerar como cesión el tráfico de datos interno entre empresas de un mismo grupo, por lo que se mantiene la necesidad de solicitar un consentimiento específico para ello.

Ha incrementado el deber de vigilancia que las empresas deben tener sobre los proveedores a los que encargan servicios de tratamiento de datos. A partir de ahora no será suficiente la firma de una cláusula de confidencialidad. Habrá que velar por un cumplimiento continuado.

Pero el protagonista real de la nueva regulación es el papel. Como ya se había anunciado en 1999, las medidas de seguridad relativas al tratamiento y custodia de los datos personales se han extendido a los ficheros no automatizados. Una de las principales consecuencias será el refuerzo en los controles de acceso a los documentos, el uso de armarios con llave y la supervisión del proceso de destrucción del papel.

Entre las buenas noticias destaca el paso de nivel alto de seguridad a nivel básico de los datos relativos a la afiliación sindical y al índice de minusvalía necesarios para aplicar las correspondientes retenciones en la nómina. Ello liberará a muchas empresas, especialmente las pymes, de la carga de aplicar las onerosas medidas de nivel alto a los ordenadores destinados a cálculos salariales.

Otra buena noticia es la exclusión del ámbito de esta ley de los ficheros que se limiten a incorporar los datos de las personas físicas que prestan sus servicios en una empresa, siempre que los datos tratados se refieran a su nombre y apellidos, cargo, dirección postal, dirección electrónica, teléfono y fax profesionales.

También beneficia a las empresas la posibilidad de autorizar a sus proveedores a que subcontraten los servicios de tratamiento de datos encomendados. Antes esta posibilidad estaba expresamente prohibida, incluso a efectos de conservación de los datos. Ello será especialmente útil para las actividades de outsourcing y para los centros de servicios compartidos. En los grupos de empresa, es habitual que la matriz centralice los recursos informáticos y preste servicios de tratamiento de datos a las filiales. Por fin desaparecerá la paradoja de que la matriz no pueda externalizar el tratamiento mediante la contratación de proveedores especializados.

Finalmente, en las empresas que tengan presencia internacional desaparece la incertidumbre respecto a los datos que se transferían desde España a sedes situadas en países que no ofrecen un nivel adecuado de protección en materia de datos personales. Estos supuestos exigían una autorización específica e individualizada del director de la Agencia Española de Protección de Datos (AEPD). A partir de ahora un grupo internacional de empresas podrá aprobar unas normas corporativas vinculantes (Binding Corporate Rules) que, tras ser sometidas a una autorización genérica del director de la AEPD, permitirán transferir datos personales a las filiales que se hayan adherido a ellos. Se trata de un procedimiento sencillo de autorización y posterior adhesión que permite convertir las sedes de la empresa en cualquier lugar del mundo en un puerto seguro donde poder transferir datos sin cargas burocráticas desproporcionadas.

Luces y sombras, en conclusión, para una norma que nos recuerda que estamos en el primer mundo, que tenemos todas nuestras necesidades primarias cubiertas y que podemos, si no tenemos otra cosa mejor que hacer, entretenernos en comprobar si la carta que hemos encontrado en el buzón nos informa adecuadamente y con las palabras exactas sobre nuestros derechos de acceso, rectificación, cancelación y oposición.

Javier Ribas Socio de Landwell-PwC

Archivado En

_
_