Firmas
¿Qué está fallando en la implantación de la protección de datos en las empresas? (I)
Javier Puyol es el socio director de Puyol Abogados, una boutique legal especializada en el mundo de las nuevas tecnologías y el cumplimiento normativo. Confilegal.
18/9/2016 07:55
|
Actualizado: 18/9/2016 09:03
|
Hoy en día, constituye un hecho plenamente constatable que más del 40% de las empresas españolas todavía no se encuentran adaptadas a la vigente Ley Orgánica 15/1.999, de 13 de diciembre de Protección de Datos, a pesar del tiempo de su promulgación, de la importancia de las sanciones previstas en dicha Ley Orgánica y del riesgo económico y reputacional que ella conlleva para las empresas y los profesionales.
La razón de esta falta de cumplimiento, pasa, en primer término, por el modelo organizativo a adoptar. Probablemente, y este es un motivo para la reflexión, el criterio estrictamente sancionador de la normativa, no ha dado los frutos inicialmente esperados.
La esperanza de que la amenaza de la sanción constituyera el motor de implantación de este régimen jurídico de manera masiva entre las empresas españolas no ha respondido a las expectativas, como tampoco lo ha sido así en otras materias reguladas, tales como: la Ley de Prevención de Riesgos Laborales, y lo será, con toda probabilidad, en materia de responsabilidad de las personas jurídicas o Compliance, si exclusivamente su desarrollo e implantación parte de criterios represivos o sancionadores, como ha quedado indicado.
Por ello, cabe afirmar que se necesita, por tanto, algo más que constituya el elemento dinamizador de estos regímenes jurídicos, preferentemente de naturaleza sancionadora.
Consecuentemente con ello, en estas reflexiones, deben sopesarse otra serie de cuestiones que poseen tanta o mayor importancia que el aspecto sancionador de estos cuerpos legales.
La protección de datos constituye hoy en día, sobre todo, un factor cultural, que para su fomento debe ir penetrando en el ADN de la sociedad y de los ciudadanos, adaptando y permitiendo que, el concepto del derecho fundamental al “habeas data” se vaya adaptando a las exigencias sociales y jurídicas de las personas.
Este criterio cultura se va poniendo cada día más de manifiesto en toda clase de relaciones económicas, sociales y jurídicas. Del mismo modo no se puede obviar por su manifiesta evidencia, que este derecho, desde el año 1.978 hasta nuestros días ha evolucionado con mucha intensidad acompañando al desarrollo de las nuevas técnicas y la evolución de los dispositivos, que han cambiado muchos aspectos de nuestras sociedades, y de los comportamientos cotidianos de los ciudadanos.
NUEVO REGLAMENTO DE LA UNIÓN EUROPEA
Probablemente, y a los efectos de poder mejorar y potenciar su desarrollo, se hace más necesario incidir, precisamente, en esa faceta de elemento de cultura de la protección de datos, antes que seguir por la senda del derecho sancionador, aunque el nuevo Reglamento General de Protección de Datos de la Unión Europea, insista en sobre manera en la necesidad de imponer sanciones más graves y ejemplarizantes tanto para los ciudadanos, como para las empresas en su conjunto.
De ahí la necesidad de efectuar un llamamiento a la prudencia y a la moderación en su actuación a los reguladores en la materia, que tienen necesariamente que dotar a este régimen de una mayor proporcionalidad y transparencia en su aplicación, y desde luego, un incremento de la prudencia en la aplicación e interpretación de la nueva normativa, especialmente en los criterios represivos a establecer por la gravedad de las nuevas sanciones previstas.
En este sentido, y teniendo en cuenta que desde el año 1.992, donde se desarrolla por primera vez el derecho fundamental del artículo 18.4º de nuestra Constitución, constituye un dato para la reflexión el nivel de la implantación por parte de las empresas y demás responsables de los ficheros de las normas de protección de datos en su conjunto.
Antes se indicaba que más de un 40% de las empresas, carecen de esta implantación o al menos de su efectivo cumplimiento, con lo que ello supone en la práctica de supuestos de tráfico ilegal de datos, o de otras circunstancias análogas que perjudican directamente a los ciudadanos en su conjunto.
Por ello, se hace necesario estudiar las causas de esta falta de desarrollo e implantación, y buscar otros cauces que den una efectiva solución al problema ahora suscitado, y plenamente constatado.
El comportamiento de dicho desarrollo está muy influenciado, por ejemplo, en el orden de prioridades que los empresarios tienen, y que obliga a atender a otros menesteres económicos y organizativos, antes que preocuparse de regularizar la situación de la empresa en lo que respecta a la protección de datos de carácter personal.
Esta situación pasa primordialmente por el hecho de que hasta este momento, el fomento por parte del legislador en la implantación por parte de las empresas del régimen jurídico de la protección de datos solo ha pasado por la declaración formal de las sanciones, evidenciándose de una manera clara y patente la ausencia total y completa de incentivos que hagan crecer su desarrollo, constatándose que la amenaza de la sanción no es suficiente acicate para que dicha implantación globalmente considerada surta los efectos pretendidos.
Dicha falta de incentivos propicia de manera más que evidente que los empresarios atienda a otros objetivos más prioritarios, desentendiéndose en la práctica, del cumplimiento de estas obligaciones.
Por ello, hay que incidir en el carácter principalmente cultural de la asunción de tales obligaciones. La protección de datos no puede ser un punto de llegada, por el contrario, ha de constituirse en una base de partida para el cumplimiento de las exigencias empresariales, incluso, y esto puede ser un factor relevante y de mucha transcendencia, un elemento necesario e imprescindible para la constitución de cualquier empresa, o el inicio de cualquier actividad profesional, teniendo en cuenta que siempre, como contrapartida, se encuentran los derechos de la ciudadanía, que necesariamente han de ser suficientemente respetados y tutelados de manera adecuada.
MAYOR PRESIÓN A LOS EMPRESARIOS
Hay algunos autores, que, analizando la situación actual, y la siguiente, basada la primera en el modelo de la Directiva 95/46/CE, como más adelante en el nuevo Reglamento General de Protección de Datos de la Unión Europea, que abogan decididamente por una mayor presión sobre los empresarios, y la consiguiente potenciación e incremento de las sanciones.
Ello, como antes se indicó, en la actualidad no está consiguiendo los resultados inicialmente previstos, pese a que el miedo y la represión siempre constituye un factor desencadenante de un alza en la voluntad de cumplimiento.
Lo que se plantea en este sentido, no es que no existan sanciones en esta materia, sino que la principal baza a jugar en este momento no sea la represión por la represión, sino el hecho de dedicar los principales, y los mejores esfuerzos en potenciar la cultura de la protección de datos, como un valor innato e inmanente de nuestras sociedades, y que sean los propios ciudadanos, quienes posean una clara conciencia y un preciso conocimiento de sus derechos, en aras de garantizar su propio derecho fundamental.
En este momento, pese a la importancia de las sanciones, y la magnífica labor desarrollada por los reguladores de protección de datos en España, todavía constituye un hecho cierto y plenamente constatable, el más que importante desconocimiento que tienen los empresarios, y los ciudadanos con respecto a las obligaciones de aquellos, y los derechos que asisten a estos.
Se dice, al mismo tiempo, que las empresas no perciben o tienen una escasa percepción de la existencia de riesgo en esta materia, y que ello conlleva el no cumplimiento de las obligaciones derivadas de la Ley 15/1.999, de 13 de diciembre.
Y por ello, se hace preciso analizar las causas de este fenómeno. La no percepción del riesgo puede deberse a múltiples factores, que excederían de estas breves notas. Probablemente, uno de ellos, al que deba prestarse especial atención, es el relativo al modelo de regulación actualmente existente en España, con una Agencia principalmente centralizada, no bien dotada de medios materiales y humanos necesarios para el desarrollo que se pretende de sus funciones, y para el adecuado ejercicio de las facultades de control que se hacen imprescindibles para vigilar que efectivamente estas obligaciones sean cumplidas de manera efectiva por los empresarios obligados a su observancia.
EL MODELO DE LA AGENCIA NECESITA UNA REVISIÓN
Este modelo centralista de Agencia, probablemente necesita en la actualidad de una revisión en su organización, a los efectos de dotarle de una estructura acorde con el desarrollo y la implantación pretendida.
La no percepción del riesgo, en muchas ocasiones va aparejada a la ausencia del control o controles adecuados por parte del regulador, y es una realidad, que en multitud de ocasiones efectivamente se piensa y que responde al planteamiento de que, aunque no se dé respuesta a tales obligaciones los supuestos sancionadores no se van a materializar: primero, porque la probabilidad de que ello ocurra es ciertamente limitada por la falta de conocimiento generalizado de los derechos y obligaciones en la materia que tienen todavía los ciudadanos, y por lo tanto el riesgo real y efectivo de que existan denuncias no es relevante; por la percepción evidente de la falta de la existencia de los controles adecuados que detecten rápidamente los incumplimientos que se produzcan; por el hecho de que siempre cabe recurrir jurídicamente contra las decisiones que, en su caso, se adopten en defensa de la posiciones jurídicas del empresario, en este supuesto, como infractor; y finalmente, porque en el caso de que se produzca una sanción, la misma sería equivalente a las inversiones a realizar con relación a la realización de dichas obligaciones de cumplimiento.
La ausencia de un modelo organizativo actualizado y adecuado está muy condicionado por la propia evolución de la protección de datos en España.
En este sentido, debe tenerse presente la situación que, como punto de partida, había sobre la materia en 1992, y la existente en la actualidad en 2.016, y comparando ambas realidades se constata que entre ellos nada tienen que ver, y, sin embargo, el modelo organizativo, ciertamente con más funciones y crecimiento, en la práctica se ha mantenido con pocos cambios y modificaciones durante todos estos años, y ello lleva efectivamente a cuestionarse en la actualidad, si el modelo que tenemos es el adecuado, o el mismo necesita importantes cambios y actualizaciones, para que pueda cumplir adecuadamente las obligaciones que dimanan del propio estatuto jurídico, y que son necesarias para la defensa de los ciudadanos.
Otro elemento a tomar en consideración, lo constituye básicamente el desconocimiento que todavía el empresario en su conjunto, hoy por hoy, sigue teniendo de lo que implica la protección de datos de carácter personal. Se conoce que la normativa vigente impone sanciones elevadas, pero no existe curiosidad por conocer su alcance y sus implicaciones. Es evidente que esta cierta desidia no colabora nada a la implantación y observancia de tales normas, y ello va, lógicamente, en detrimento de su nivel de cumplimiento.
MÁS DIFUSIÓN DEL REGLAMENTO
Por ello, parece preciso desplegar todavía si cabe unos mayores esfuerzos en difundir este régimen jurídico entre el empresariado, aprovechando, por ejemplo, estos momentos transitorios, hasta la definitiva aplicación del indicado Reglamento General Europeo, de modo y manera que este tiempo, no constituya una excusa para desentenderse todavía más de su aplicación, pretextando que la normativa va a cambiar, y que, por tanto, dicha adaptación se realizará en un momento futuro, cuando la misma se encuentra ya consolidada.
También el desconocimiento al cual antes se ha hecho referencia, no se proyecta sólo sobre la propia normativa aplicable, y su interpretación. Constituye un hecho evidente, que la protección de datos de carácter personal, tiene un marco jurídico muy claro, pero posee también un componente técnico muy trascendente, que, en muchos casos, aunque se tiene referencia de él, se desconoce en toda su magnitud.
No se sabe lo que es un dato de carácter personal, un fichero o base de datos, y como se entremezclan dichos aspectos técnicos con los regulatorios, a los efectos del establecimiento de nuevos derechos y obligaciones, y las consecuencias jurídicas de unos y otros.
Este factor de desconocimiento debe necesariamente ser reducido mediante el desarrollo de campañas y actuaciones específicas entre el empresariado, no sólo por el regulador, sino por el conjunto de las asociaciones u organizaciones empresariales con competencia sobre la materia, pues al igual que la utilización de la normativa, el desconocimiento de las especificaciones técnicas, también constituyen sencillas justificaciones para desentenderse de la aplicación del régimen legal de la protección de datos de carácter personal.
En definitiva, y como primera pauta de estas reflexiones, es importante concluir, que el régimen legal de la protección de datos se debe establecer como uno de los valores propios e innatos de la sociedad en la que vivimos, como un elemento de cultura propia y arraigada en la misma, en la que todos los ciudadanos no sólo deben conocer sus derechos, sino que deben saber cómo ejercerlos adecuadamente en pro de preservar su intimidad, tan vulnerada en tantas y repetidas ocasiones con los avances técnicos y tecnológicos, que cada vez respetan menos lo privado del ser humano, y ello, sin perjuicio de que los valores que la privacidad representa se adapten en cada tiempo, en cada momento y en cada lugar, a las necesidades y a las exigencias de las personas.
Los derechos no deben tener in carácter inamovible, sino que han de adaptarse al desarrollo de los momentos, tutelando adecuadamente las necesidades y exigencias de las personas, y la privacidad también debe adaptarse.
Otras Columnas por Javier Puyol Montero:
