Lopd. ¿Vale Todo?

Hace unos días tuve una interesante conversación con Eric, experto en LOPD, donde comentábamos los argumentos más habituales utilizados por "astutos comerciales" con tal de conseguir que un cliente aceptara una adecuación de sus tratamientos de datos de carácter personal. Al terminar la conversación una pregunta se quedó "golpeándome en la cabeza". ¿Vale todo?.

En los años que llevo profundizando sobre la Ley he conocido razonamientos a cual más sorprendente:

• Sanciones: Usar el miedo a que los clientes puedan ser multados hasta 600.000 €. Aunque es cierto, éste es uno de los razonamientos más vagos que he oído y también de los más utilizados.
• Inspecciones: Hacer creer que la AEPD está enviando inspectores por las empresas cada vez de forma más habitual y aleatoria por lo que podrán ser visitados en breve y si no cumplen con la LOPD serán multados. Hasta donde yo se, la AEPD sólo actúa de oficio para comprobar el grado de cumplimiento por parte de un sector empresarial concreto o bajo denuncia por parte de un afectado.
• Empresa homologada y certificados: Venderse como empresa homologada por la propia AEPD y que emiten certificados de adecuación. La AEPD no es un organismo homologador ni certificador y hasta ahora no tiene concertados certificados oficiales con ninguna entidad privada ni particular. Tampoco exige título homologado para prestar servicios de asesoramiento en materia de protección de datos. Esos certificados no tienen ningún valor, ni garantizan nada por parte de la AEPD. Esperemos que esto cambie en un futuro próximo, pero ahora mismo cualquier persona podría hacer una adaptación a la LOPD y es misión del cliente elegir a un profesional en la materia.
• Adaptaciones "a coste cero" o por Internet: Ofrecer adecuaciones a la LOPD de forma gratuita siempre que se acojan a cursos de formación bonificada/subvencionada o realizar adaptaciones "muy económicas" por Internet (a distancia). Permítanme dudar de la credibilidad que puedan tener este tipo de soluciones generalmente incompletas. Como ejemplo, la mayoría de las veces los consultores sólo hacen una adaptación parcial en la que implementan las medidas organizativas dejando a un lado las medidas técnicas. También olvidan (o desconocen) que la seguridad es un "proceso vivo" y no un producto que entregan al cliente en forma de documento de seguridad para que sea almacenado en un armario cogiendo polvo. En ambos casos las adaptaciones son incompletas y por lo tanto el cliente seguiría incumpliendo la Ley.

Y me pregunto... ¿Por qué estos argumentos? ¿Son los más fáciles para conseguir vender? ¿Vale todo? Personalmente quiero dar un consejo a cualquiera que pretenda adecuar sus tratamientos al cumplimiento de la Ley. Pida a su consultor que le explique los beneficios reales que produce una adaptación y si no sabe contestarle ¡busque a otro!. El cumplimiento de la LOPD y su correspondiente reglamento permitirán crear buenos hábitos a la hora de tratar con la información lo que le generará un valor añadido. ¿De que tipo? Aquí tiene una pequeña lista.

• Genera confianza a los clientes, asegurándoles la protección de sus datos y, sobre todo, que no se va hacer un mal uso de los mismos. Esto aporta una imagen de seriedad y profesionalidad.
• Compromiso de confidencialidad por parte de los empleados respecto de los datos que conozcan realizando su trabajo. Esto es una garantía también para los clientes.
• Protección preventiva y correctiva de los activos tecnológicos sobre todo de la información.
• Definición y división de funciones y responsabilidades tanto de empleados como de relaciones externas (encargados de tratamiento) limitando responsabilidades legales.
• Ahorro económico al limitar los impactos que podrían ocasionar incidentes de seguridad (y también al reducir posibles multas). Se reducen los riesgos de seguridad.
• Motivación del personal al conocer que la empresa está al corriente en el cumplimiento de la ley, y que toma medidas para fomentar su formación y generar conocimiento.
• Etc...

Las medidas de seguridad que propone el RLOPD son necesarias, y personalmente extendería su alcance a toda la información que trate una empresa no limitándola sólo a aquella referente a los datos de carácter personal que protege la Ley. Un responsable del tratamiento de información no es capaz de ver la importancia de una buena política de seguridad hasta que sucede un incidente, momento en el que probablemente clamará al cielo pidiendo una solución urgente que no paralice su negocio. Por ejemplo por un borrado de información accidental sin tener una adecuada planificación de copias de respaldo.

Propongo un ejercicio muy simple. Pregunte al responsable que calcule el valor económico que podría suponer una pérdida parcial y/o total de información y sus consecuencias. ¿Cuánto le costaría recuperar la información introducida durante el último mes? ¿Cuánto tiempo deberán reinvertir los empleados en recuperar la información? ¿Y mientras los empleados la restauran manualmente quién atiende el negocio? ¿Cuánto supone eso en dinero? La pérdida parcial podría llevarle a un detrimento de su imagen con respecto a los clientes, a ofrecerles un mal servicio por no disponibilidad del mismo, etc. ¿Y una pérdida total? Probablemente pueda suponer el cierre definitivo de la empresa.

Espero que este artículo "abra los ojos" a muchos consultores en protección de datos y hagan ver a sus clientes que es necesario adecuar una empresa a la LOPD no para evitar sanciones, sino que en la sociedad de la información en la que vivimos, es fundamental para prevenir o limitar los impactos producidos por incidentes de seguridad.

JJCO

PD: Gracias Eric

http://www.josejuancerpa.com