Confilegal
Confilegal
Menú
Portada / Firmas
Firmas

¿Qué está fallando en la implantación de la protección de datos en las empresas (y II)

¿Qué está fallando en la implantación de la protección de datos en las empresas (y II)
Javier Puyol es el socio director de Puyol Abogados, una boutique legal especializada en el mundo de las nuevas tecnologías y el cumplimiento normativo. Confilegal.
25/9/2016 07:56
|
Actualizado: 31/3/2022 13:42
|

En esta noticia se habla de:

¿Quién no ha recibido «mails» de desconocidos, o de empresas con las que nunca ha contratado? ¿Quién no ha tenido la sensación de que han robado sus contraseñas, visto sus correos, o invadida su intimidad informática de alguna manera?

A todo ello, alguien lo ha denominado como “la economía de los datos ocultos”, en el sentido de que existen verdaderas organizaciones legales o clandestinas dedicadas a comerciar con datos de carácter personal, sean estos obtenidos de manera lícita, o por el contrario mediante la elaboración de paquetes de información hurtada.

El negocio ilegal de datos de carácter personal es tan lucrativo, que superó desde el 2014 al tráfico de drogas. Y por ello, se calcula que el impacto económico de esa actividad alcanzó, por ejemplo, la cifra de tres billones de dólares a nivel mundial.

Todo ello, sin lugar a dudas, constituye también una causa importante de no cumplimiento de la vigente legislación en materia de protección de datos de carácter personal. Es más fácil no pedir el consentimiento al cliente, usurpar sus datos, darles el uso o la finalidad de propósito que cada uno estime por conveniente, antes que solicitar y se transparente con el usuario pidiéndole aquellos datos que son necesarios para un determinado tratamiento, y con una finalidad específica y concreta.

En muchas ocasiones, este aviso legal, no existe, o no es transparente, o simplemente, constituye una tapadera legal para el uso alternativo o el comercio ilícito de datos.

En estas fechas hemos conocido como mediante «hackers», se ha usurpado los datos contenidas en cuentas de correo de cerca de 500 millones de usuarios de la empresa Yahoo.

El potencial de información contenido en dicha operación, permite conocer las singularidades de dichos usuarios, tanto personales como profesionales, pero también la información concerniente a sus amigos, y a sus familias. Dichos datos, paquetizados y puestos en el mercado, pueden alcanzar un valor ciertamente muy elevado, y los mismos pueden ser utilizados para finalidades y propósitos bien distintos.

Pero la característica común de todos ellos, es que dicho uso, nunca puede ser legal puesto que los accesos a los mismos, ha sido obtenido de una manera completamente irregular, y delictiva como en muchos casos de lo que cotidianamente se nos está informando, que es la dirección a la que apuntan las informaciones periodísticas conocidas hasta el momento sobre esta noticia y sobre las brechas de seguridad que se están produciendo con demasiada frecuencia.

Es cierto que, en muchos casos, esa fuga de información se basa en la inexistencia de medidas de seguridad eficaces que puedan garantizar la integridad de la información tratada. En muchos supuestos, tales medidas no solamente no son las adecuadas, sino que las mismas no se encuentran bien diseñadas.

Al mismo tiempo, constituye un hecho demasiado común las experiencias que todos hemos tenido con relación a casos, en los que hemos podido conocer o conocido directamente datos personales de terceros en cualquier momento y bajo las más variadas circunstancias, v.gr. informaciones halladas en contenedores de basura, en la calle, al acceder a una cuenta bancaria por medio de internet, y en tal situación tener la posibilidad de visualizar datos de terceros, etc.

FALTA DE CONFIANZA EN LOS MEDIOS TECNOLÓGICOS

Todas estas circunstancias, son las que determinan a la postre, que exista una más que manifiesta falta de confianza del ciudadano en los medios tecnológicos, en las empresas y sobre todo el uso que globalmente se puede dar a sus datos de carácter personal.

De ahí las reticencias que en la actualidad existen entre los consumidores a proporcionar sus datos, y que se manifiesta en la negativa de las personas a prestar, en muchos casos, su consentimiento para que se efectúen el tratamiento lícito de sus datos, y tampoco nada ayuda a la expansión de dicho régimen legal, porque al final la actividad económica más tarde o temprano va a llevarse a cabo.

En este sentido, no debe olvidarse que hoy en día los medios tecnológicos no solamente no constituyen una excepción, sino que representan la pauta habitual de cualquier negocio, es la forma más sencilla de llegar a un número mayor de consumidores, y permanecer en su memoria, generando, por ejemplo, hábitos de consumo más dilatados en el tiempo.

Por ello es tan necesaria la confianza del consumidor en las prácticas tecnológicas de los empresarios, y la necesaria transparencia en la información y el conocimiento de los usos y finalidades para los que se van a emplear el tratamiento de sus datos de carácter personal.

La falta de transparencia, antes aludida en dichos avisos legales, y la falta de confianza del consumidor implica la existencia de manifiestas reservas por parte de este para prestar su consentimiento para el tratamiento de los datos, y ello es inversamente proporcional a la necesidad antedicha de su uso para fines comerciales. Ello determina, como antes se apuntó, que ese comercio ilícito vaya creciendo por la propia dinámica de la actividad económica.

Esta situación, vinculada a hechos tan cotidianos como la cesión ilegal entre empresas de los datos de sus clientes, asumida en muchas ocasiones como prácticas habituales sin que ello represente o traiga en la mayoría de las veces consecuencias legales, implica un relajamiento en el cumplimiento de las directrices sobre protección de datos de carácter personal, ya que en la representación de algunas empresas, es más sencillo proceder de esta manera, antes que recabar el consentimiento del cliente, en el marco de un aviso legal de privacidad, donde de manera transparente se determinen los datos a tratar, la finalidad para la que se van a emplear los mismos, las cesiones que se van a producir, y la identidad de los cesionarios, y un conjunto de otras circunstancias necesarias para que el consumidor disponga de manera efectiva de toda la información atinente al destino de sus datos de carácter personal.

NO HACER NADA

Este modo empresarial de actuación consistente básicamente en no hacer nada, puede ser considerado, por tanto, como un factor de especial incidencia que está limitando la expansión y el cumplimiento adecuado de la normativa en materia de protección de datos de carácter personal, y ello va de manera directa en detrimento de los derechos de los ciudadanos, que ven completamente invadida su intimidad a consecuencia de estas prácticas, que desgraciadamente pueden ser consideradas cada vez más, con la consideración de habituales.

Esta relajación producida en la asunción empresarial de estas obligaciones legales, se ve favorecida por un hecho social de singular importancia y transcendencia. Hoy en día, los avances tecnológicos están poniendo de manifiesto como los ciudadanos pueden acceder a novedosos servicios, inimaginables hace un tiempo, que conectan ciertamente bien con las necesidades de los consumidores a los que prestan servicios que verdaderamente son útiles, aportan comodidad, o satisfacen nuevas necesidades, y que son asumidos por muchos ciudadanos, con calificativos como imprescindibles, necesarios, deseables o convenientes, aunque ello conlleve o represente cada vez más, una cesión efectiva de los aspectos más significativos de su propia intimidad.

Consecuentemente con ello, es preciso hacer especial referencia a los más variopintos servicios que se prestan en internet de manera gratuita para los usuarios, y a los que gustosamente acceden muchos de ellos proporcionando toda clase de sus datos de carácter personal, sin leer en la mayoría de los casos las condiciones de privacidad, las cuales son aceptadas mecánicamente mediante un simple “click”, y sin tener, al mismo tiempo, la más mínima curiosidad del destino o las prácticas a las que se van a ver sometidos dichos datos que voluntariamente han sido proporcionados con tanta ligereza.

Es cierto, que todo ello produce como consecuencia una variación en la configuración del derecho fundamental al “habeas data”, como ya se tuvo la ocasión anteriormente de indicar, pero ello determina que, o bien cambiamos la configuración y el alcance de dicho derecho fundamental, o modificamos el severo régimen actual sobre los datos de carácter personal, y, si ello no se va a producir, habrá que incrementar necesariamente las facultades de control sobre dichos datos, pues de lo contrario estamos instaurando y manteniendo un régimen jurídico sobre la privacidad que no se corresponde con la realidad social, o con las prácticas o necesidades económicas de las empresas.

PROTEGER DATOS PERSONALES

No obstante, debe indicarse que el nuevo Reglamento General de Protección de Datos ha tratado de compatibilizar ambas figuras, puesto que, por un lado, afirma que los datos personales incorporados por los ciudadanos a las redes sociales, forman parte en alguna manera de la llamada “agenda doméstica”, y al mismo tiempo, se han incrementado de manera más que notable el régimen represivo materializado en las sanciones a imponer, derivadas del incumplimiento de la normativa sobre esta materia.

Antes se hizo referencia a las medidas de seguridad a implantar para proteger los datos personales. Las posibilidades de incumplimiento en lo que a este concepto implica son también muy amplias, que se materializan en aspectos tan primarios que van desde la falta del control sobre las mismas con el carácter más absoluto, a la inexistencia de tales medidas, o a su ineficiencia, o, incluso, pese a su existencia y control, el hecho y la capacidad de los responsables de saltarse e incumplir las garantías más elementales establecidas sobre las mismas.

Un ejemplo ciertamente recurrente, es la realización de copias clandestinas de bases de datos, para cualquier finalidad o propósito, incluso no necesariamente con un carácter ilícito, y a partir de ello, podemos encontrar un amplio abanico de categorías de incumplimientos, que van desde el uso indebido de los datos contenidos en archivos materializados en soporte papel, las entradas y salidas de dispositivos sin la más mínima autorización, los envíos de datos de carácter personal, especialmente los de nivel alto sin cifrar, la no actualización periódica de las contraseñas, o el hecho de que las mismas se compartan o publiquen sin alguna clase de control.

Estos hechos, y otros muchos de carácter análogo constituyen prácticas comunes y recurrentes en el uso de la informática, y en la mayoría de las ocasiones, carecen de la adecuada concienciación en las empresas y en los ciudadanos de la importancia que los mismos verdaderamente tienen, en aras de garantizar la intimidad de estos, o el buen funcionamiento de los sistemas de aquellos.

Esta situación, nos conduce directamente a pensar, que una de las principales consecuencias del cumplimiento de la LOPD y demás normativa en la materia viene constituida por la necesidad de proteger y garantizar adecuadamente los derechos ciudadanos, y al mismo tiempo, llevar a cabo una protección eficaz frente a todos contra la delincuencia informática, especialmente, con relación a hechos que se están volviendo tan cotidianos como pueden ser: la suplantación de identidad, o la apropiación de la información financiera de las personas.

En este sentido, en un estudio sobre cumplimiento de la normativa de protección de datos en las empresas españolas realizado por la empresa Sigma Data Security Consulting S.L. en Octubre del 2010 ponían de manifiesto que debido a  la muy lenta mejora en la aplicación, “una evolución de apenas tres puntos en dos años”,  implicaría que deberán pasar bastantes años antes de que se consiga un nivel de cumplimiento aceptable.

Esto hace necesario por parte de todos los agentes que participan en la sociedad la necesidad de animar a las autoridades a realizar actuaciones de concienciación y difusión, ya que no nos olvidemos, estamos hablando de una norma que garantiza derechos fundamentales reconocidos por la Constitución[i].

Finalmente, es preciso hacer referencia a que no es suficiente en un momento dado regularizar la situación de la gestión de la empresa en materia de datos de carácter personal, sino que dicha labor tiene que responder a una actuación sistemática y prolongada en el tiempo, en el sentido de que las bases de datos y los ficheros tienen que mantenerse permanentemente actualizados, pues de lo contrario, se corre el riesgo también de que por dicha falta de actuación, los tratamientos que se efectúen no se correspondan con datos reales y verídicos de los ciudadanos, y por ello, se hace imprescindible para que el cumplimiento legal sea verdaderamente efectivo, que se produzcan los controles periódicos que sean precisos para garantizar la adecuación del cumplimiento a la realidad de cada base de datos, y a la gestión que de la misma lleve a cabo la empresa en pro de su actividad económica, sin que ello determine un detrimento o quiebra en la protección que merecen todas las personas, en su condición, en este caso de ciudadanos tengan o no acceso a los nuevos medios tecnológicos.

[i] Cfr.: TOITO. ¿Por qué tantas empresas incumplen la protección de datos? http://www.toito.es/actualidad/?p=940

Otras Columnas por Javier Puyol Montero:
Opinión | Los ciberataques también son posibles contra los teléfonos móviles
Opinión | Neurotecnología: ¿Estamos listos para el próximo gran desafío ético y legal?
Opinión | Ciberseguridad e Inteligencia Artificial: vinculaciones
Opinión | La Inteligencia Artificial y la función de juzgar
La estrategia española de transformación digital y el «Sandbox» sobre la Inteligencia Artificial
Tiempo de recuperación tras un ciberataque
Últimas Firmas
  • Opinión | CDL: El pleito de M&A más complejo y largo de la Historia: La compra de Autonomy por Hewlett-Packard (V)
    Opinión | CDL: El pleito de M&A más complejo y largo de la Historia: La compra de Autonomy por Hewlett-Packard (V)
  • Opinión | Entidades especializadas en las ejecuciones civiles: la eficiencia de exportar un modelo de éxito
    Opinión | Entidades especializadas en las ejecuciones civiles: la eficiencia de exportar un modelo de éxito
  • Opinión | Un abogado civil en la corte militar: el caso de Cerro Muriano
    Opinión | Un abogado civil en la corte militar: el caso de Cerro Muriano
  • Opinión | ¿La Justicia es una lotería?
    Opinión | ¿La Justicia es una lotería?
  • Opinión | El reconocimiento «utilitarista» del delito durante el cumplimiento de la condena
    Opinión | El reconocimiento «utilitarista» del delito durante el cumplimiento de la condena