La última barrera de la protección de datos La mayoría de las empresas no asegura correctamente sus ficheros, aunque se han cumplido los plazos dados Autor: JOSEP M. SARRIEGUI / A. I. Fuente: elpais.es (30 Junio 2002) Un estudio reciente revela que el 93% de las empresas falla a la hora de asegurar los ficheros que ceden a sus proveedores La Agencia de Protección de Datos impuso en 2001 multas por valor de 9,62 millones de euros, 2,4 menos que en 2000 Las empresas están obligadas a garantizar la seguridad de sus ficheros de datos personales, ya sean para manejo interno o aquellos que ceden a sus proveedores. A pesar de que el último plazo para ponerse al día en este tema se cumplió el miércoles y de que, según la Agencia de Protección de Datos, la sensibilidad es cada vez mayor, la gran mayoría de las empresas no cumple correctamente sus obligaciones. El sector más avanzado en este sentido es el financiero. Las pyme, en el otro extremo, tienen aún la asignatura pendiente. Juan Manuel Fernández, director de la Agencia de Protección de Datos. ( Foto: MANUEL ESCALERA ) Las empresas manejan datos personales de sus empleados y, algunas menos, de sus clientes. Es más, la mayoría cede algunos de esos datos a distintos proveedores. Un ejemplo: una empresa que subcontrata el control de accesos al edificio, a la que facilita datos de los empleados autorizados. Todos esos ficheros deben cumplir unas normas de seguridad que impidan el acceso a esos datos de personas no autorizadas o su difusión incontrolada y que están recogidos en un reglamento de 1999. Y revisar su cumplimiento cada dos años. Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 1 Esa norma dio distintos plazos a los dueños de esos ficheros para cumplir sus disposiciones que dependían de la sensibilidad de los datos en cuestión. El último de ellos, para los archivos que contienen los datos más sensibles (ideología, religión, creencias, origen racial, salud, vida sexual y los recabados con fines policiales) y que fueron creados antes de 1999, se cumplió el pasado miércoles. Se podría pensar que son pocas las empresas que manejan este tipo de datos, pero basta con detenerse en las retenciones por cuotas sindicales que se cargan en la nómina para hacerse una idea de que el plazo afecta 'a prácticamente todas las empresas', según Javier Ribas, socio de Landwell, la firma legal de PricewaterhouseCoopers. Para el pasado miércoles, éstas deberían haber analizado a fondo la estructura de la empresa; los ficheros, el tipo de datos que éstos contienen y el grado de seguridad que debe proporcionárseles; establecer qué personas tienen acceso a los mismos -según el estudio de su firma las empresas españolas ceden datos de sus empleados a 46 proveedores de media-; elaborar un documento que recoja todos los aspectos que afectan a la seguridad de los ficheros y hacer los cambios necesarios (por ejemplo, para enviar la información cifrada). En esta auditoría, que cuesta entre 300 euros y 50.000, según distintas fuentes consultadas, y para la que muchas empresas suelen recurrir a ayuda externa, deben participar los departamentos de sistemas, jurídico y financiero, pero afecta también a recursos humanos. Los incumplidores arriesgan multas que van de los 60.000 euros hasta los 300.000. Con estas cifras y los tres años transcurridos, lo lógico sería que la mayoría de las empresas hubieran dado los pasos adecuados. El 93% no tiene en orden sus ficheros, según un estudio reciente de Landwell sobre 1.500 empresas, que revela que éstan no aseguran correctamente los ficheros que ceden a sus proveedores. Aunque el dato es demoledor, el mismo análisis constata diferencias significativas por tamaño y sector. La banca, el más avanzado, ha cumplido en un 68%, y las grandes empresas están mucho más avanzadas que las pyme, coinciden los consultados. 'Hay muchas pyme que ni siquiera han depositado sus ficheros en el registro', asegura José María Anguiano, socio de Garrigues, que en colaboración con la consultora tecnológica Osiatis ofrece un servicio de adaptación a la ley. En contraste, entre los responsables de la Agencia de Protección de Datos reina cierta satisfacción. Por primera vez desde su creación en 1993, el importe de las sanciones impuestas en un año ha sido menor que el del anterior: 1.601 millones de pesetas en 2001 (9,62 millones de euros), 400 millones menos que en 2000 (2,4 millones de euros), según la memoria del organismo, que en los próximos días será remitida al Congreso de los Diputados. Esta cantidad es resultado de 405 inspecciones (frente a las 319 del año anterior), que derivaron en 218 procedimientos sancionadores (frente a 177 en 2000). Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 2 El descenso en el monto de los castigos es resultado de un proceso, lento pero constante, de concienciación por parte de empresas sobre la necesidad de salvaguardar los ficheros, asegura Juan Manuel Fernández, director de la agencia, que cuenta con el Consejo Superior de Cámaras de Comercio para divulgar las normas de seguridad. Los sectores más sometidos a la labor inspectora fueron los de comercio electrónico ('el que más guerra nos da, por la extraterritorialidad y el desconocimiento de los usuarios'), las tarjetas de fidelización de clientes de grandes superficies, seguros y los operadores de telefonía móvil. Con todo, la satisfacción por las cifras se ve mermada por la falta de personal inspector. En estos momentos, la Agencia cuenta con 12 inspectores para todo el territorio español, una cifra que según su director debería 'alcanzar un número ideal de unos 20'. Y que tal vez explica por qué muchas empresas aún no han adaptado sus ficheros. La brigada entra en acción La Agencia de Protección de Datos presentó el martes una denuncia ante la Brigada de Delitos Monetarios contra los responsables, aún hoy desconocidos, de haber enviado a distintas empresas correos electrónicos en nombre de la Agencia en los que se advierte del inicio de un proceso sancionador. Este hecho se produjo a mediados de mayo y se agravó a comienzos de junio, cuando el ente público supo que diferentes empresas habían recibido llamadas del mismo tipo en las que se las conminaba a aportar sus datos bancarios para cobrar los gastos derivados del registro de ficheros. En la página web de la agencia se ha colocado de forma visible una advertencia para prevenir a posibles incautos. Se recuerda que ni la inscripción de ficheros devenga tasa alguna ni la inspección se realiza mediante correo electrónico. Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 3