| Artículos
> Nueva Economía >
Seguridad y propiedad intelectual
© Copyright de este texto CASO PRÁCTICO DE ADAPTACIÓN DE UNA COMPAÑÍA A LA NUEVA REGULACIÓN Protección de datos: ¿coste o inversión en calidad para la empresa? Desde la aprobación a finales de 1999 de la Ley de Protección de Datos y el cumplimiento de las fechas previstas por ella para adaptarse a sus preceptos, las empresas han afrontado la cuestión desde dos puntos de vista opuestos: como una obligación gravosa y compleja o como una ocasión para invertir en la calidad de sus procesos. Julio de 2001. Proteger cualquier tratamiento de datos, informatizados o no. En última instancia este es el objetivo de la actual normativa española sobre datos personales, por cuyo cumplimiento vela la Agencia de Protección de Datos (APD). Su director, Juan Manuel Fernández López, en un curso sobre la cuestión organizado recientemente por Ausbanc y la Comunidad de Madrid, señaló que tanto esa normativa como la jurisprudencia posterior han venido a definir el derecho a la protección de datos "como aquel que tiene todo ciudadano de disponer libremente de sus datos personales, desvinculándolo del derecho a la intimidad y configurándolo como un derecho fundamental independiente". Para el director de la APD, el hecho de que las empresas dispongan de datos personales de sus clientes es absolutamente normal, siempre que los utilice "para cumplimentar la relación contractual que tiene con ellos. Diferente es que a partir de ahí establezca perfiles y trate de prever pautas de comportamiento". En esta relación entre empresa y usuario que determina el intercambio de datos, la compañía debe respetar unos derechos básicos: Información: cuando se recogen hay que informar al cliente para qué se piden, qué consecuencias tendrá esa recolección de datos, de quién es el fichero y cuál es su domicilio. Finalidad: los datos se recogen con un propósito, del que se informa al usuario, y no se pueden utilizar con otro diferente. Consentimiento: salvo excepciones muy concretas, la empresa que recoge los datos debe contar con el permiso explícito del ciudadano. Calidad de los datos: deben ser adecuados, pertinentes y no excesivos de acuerdo con su finalidad, y han de ponerse al día o cancelarse cuando dejen de tener vigencia. Seguridad: la empresa que los recoge está obligada a adoptar las medidas de seguridad necesarias para su mantenimiento, tanto técnicas como organizativas. Una oportunidad para las empresas La obligatoriedad de los anteriores principios y de la actualización de las empresas a este respecto ha hecho que, en la mayoría de las ocasiones, se considere la normativa sobre protección de datos como un lastre y un deber gravoso sin beneficio alguno para las compañías. Carlos Rey, director de Auditoría Interna del grupo asegurador Skandia (antiguo Intercaser), no comparte esta visión. Para él, la adaptación de la empresa "cuesta mucho dinero, y por eso mismo no tiene sentido hacerlo sólo para evitar las sanciones de la APD. Por eso consideramos la protección de datos no como un problema sino como una oportunidad para la compañía". Desde su punto de vista, el hecho de haber realizado las adaptaciones necesarias faculta a su compañía para abordar las relaciones con sus clientes a partir de criterios de calidad y confianza. "El nuestro no es un enfoque reactivo, sino proactivo: consideramos que la satisfacción del cliente es un valor añadido y el respeto a su intimidad es un rasgo de la calidad de nuestro servicio", afirma Rey. Además, añade que en un sector como el suyo, el de servicios financieros, resulta extremadamente importante potenciar la confianza del cliente "porque lo que estamos vendiendo son intangibles". El proceso de adaptación Para abordar la adaptación de la empresa a las exigencias que planteaba la normativa, el primer paso que se dio fue el examen de la propia ley. En este análisis, según explica Rey, se observó que algunas condiciones suponían en realidad un beneficio para la compañía. Por ejemplo, la obligatoriedad de que los datos fueran adecuados y pertinentes ("deben serlo para que podamos prestar el servicio", afirma Carlos Rey), la exigencia de que se cancelen cuando no sean necesarios ("qué necesidad tenemos de almacenar los de quienes no son ya clientes") o el imperativo de que no sean recogidos por medios fraudulentos ("dado que mi objetivo es dar servicio a clientes y hacerlo bien para mantenerlos, soy el primer interesado en que su recogida sea limpia"). El siguiente paso fue la puesta en práctica de las obligaciones inmediatas que imponía la ley: Información: la persona debe ser informada del uso de sus datos, de la existencia de un fichero donde se recogen, de los derechos que le asisten y de la identidad del responsable del tratamiento. Consentimiento: es revocable en cualquier momento, pero imprescindible para que esa información permanezca en los ficheros de la compañía. En el caso de datos sobre religión, ideología, vida sexual, etc., el consentimiento ha de ser expreso. Uso diligente, que se traduce de forma inmediata en la asunción por parte de la compañía de un deber de secreto y en la formación al respecto del personal que ha de manejar esa información. Cómo es la información que maneja mi compañía El proceso continuó con la identificación del tipo de informaciones que maneja habitualmente la empresa. La ley establece que, en función del grado de sensibilidad de esos datos, se han de establecer unas determinadas medidas de seguridad. Así, establece un nivel básico para datos simples de identificación, un nivel medio para información sobre aspectos fiscales y financieros y un nivel alto para datos sobre ideología, religión, raza, salud o vida sexual. En el caso de Skandia se daba la circunstancia de que la compañía recoge información de los tres tipos: datos identificativos (nombre, DNI, teléfono, fecha de nacimiento, domicilio), económicos (capitales, IRPF, primas, valores de fondos de pensiones) y de salud (declaración del estado de salud e incapacidades). La existencia de estos últimos imponía a la empresa contar con los siguientes elementos de seguridad: Documento de seguridad, que debe recoger las obligaciones generales de la empresa según la Ley de Protección de Datos y una serie de anexos que expliquen la seguridad física y lógica, los usuarios que tienen acceso a los datos y sus niveles de acceso, el inventario de ficheros protegidos, el sistema de gestión de incidencias, el nombre del responsable de seguridad, el sistema de registro de soportes y la revisión cuatrimestral. Responsable de seguridad, que aplica las medidas recogidas en el documento de seguridad, autoriza los procesos de recuperación de datos, inscribe las nuevas bases de datos que aparezcan y, en última instancia, es el máximo responsable de la empresa con respecto al uso que se haga de los datos. Otras obligaciones: cifrado de datos en telecomunicaciones, LOG de accesos y copias de respaldo en local independiente. Artículos > Nueva Economía > Seguridad y propiedad intelectual |