DirectorTIC Para el director de tecnología
Siguiendo con la presentación de algunos de los errores más frecuentes en la aplicación de la LOPD que iniciábamos en una entrega anterior, seguiremos analizando la casuística planteada en torno a las dificultades prácticas de dicha norma y lo que la experiencia acumulada nos ha enseñado a lo largo del tiempo.
En esta tesitura, un error prototípico que se ha visto repetido en multitud de organizaciones es un planteamiento inicial de la declaración de ficheros demasiado acotado. Si bien ya son afortunadamente historia los tiempos de vigencia de la LORTAD en que tendían a inscribirse meros ficheros físicos (Meta4, Denario Deudores, etc.), continua siendo habitual la inscripción de descriptores que hacen referencia a la actividad concreta de la entidad en un momento limitado en el tiempo, sin tomar en consideración las posibilidades de mutación o transformación. Como prototipo de la declaración excesivamente acotada se observan títulos registrales como “Nóminas”, “Empleados”, “Deudores”. Es siempre preferible un paraguas de cobertura más amplio que englobe situaciones futuribles para no tener que rectificar las inscripciones en cada momento (así, tendríamos como una más recomendable opción dicciones como RRHH y selección; crédito; etc…).
Lo mismo cabe decir de las cláusulas informativas empleadas en formularios y pies de página. Con demasiada frecuencia se incluyen descripciones de la finalidad que resultarán caducas por poco que la entidad varíe sus estrategias de negocio. Conviene no reproducir en este punto el mismo error que veíamos con la inscripción registral.
Otro fallo prototípico consiste en la dejación del Documento de Seguridad para los periodos de auditoría. No son pocas las entidades que no actualizan el Documento de Seguridad con arreglo al ritmo que siguen los cambios fácticos en el plano de los hechos; y postergan revisiones únicamente a las escasas semanas en que transcurren las auditorías bienales. Esto se acrecienta aún más en entidades sin ficheros de nivel medio o alto en que el deber de auditoría no resulte legalmente exigible. En la actualización del documento de seguridad es frecuente no observar un adecuado control de versiones que deje trazabilidad de los cambios operados, su autoría y su aprobación. Deberá seguirse un sistema numérico de control de versiones, fechando sus periodos de vigencia y recogiendo en cajetín de firmas las correspondientes aprobaciones formales. Sin un adecuado control de versiones y cajetines de firma no se habrá conseguido ninguna evidencia de implantación de las medidas descritas.
En estructuras con poca madurez sobre sistemas de cumplimiento normativo, habitualmente es solamente una división de la compañía quien patrocina el proyecto de implantación (IT, legal, administración y finanzas), y se descuida la vertiente integral de las medidas. Un proyecto de implantación sólido no puede contar con un patrocinio sesgado o incompleto en el que no estén presentes todas las áreas estratégicas de la firma y se cuente con la aprobación y proactividad de la más alta dirección. Se han visto demasiadas experiencias de implementación en que el patrocinio provenía exclusivamente de una de las áreas aludidas (solamente IT; o solamente el Dpto. Jurídico; solamente RRHH); lo cual, como es fácil deducir, redundará siempre en resultados ineficientes. El patrocinio exclusivo o predominante de IT negligirá los aspectos de seguridad organizativa y documental, un patrocinio monográficamente focalizado en los aspectos jurídicos no podrá abarcar la vertiente técnica, y todo ello tendrá consecuencias tangibles.
Aún en entidades que hayan contado con el acierto de iniciar el proyecto de forma interdisciplinar e inclusiva de todos los departamentos, idealmente, instaurando un comité LOPD, cuando desde el mismo se diseñan estrategias prácticas para el cumplimiento del Documento de seguridad, es habitual la dejación de funciones y obligaciones sobre los tratamientos no automatizados, que suele considerarse erróneamente como un aspecto de relevancia menor. Bien al contrario, la gestión del riesgo sancionatorio ha de comprender este elemento, pues todo buen implantador de la LOPD conoce que en la jurisprudencia del ente regulador una parte muy importante de las sanciones provienen precisamente del desecho inadecuado de documentación en papel que contenía datos de carácter personal.
En aquellas empresas con actividad volcada a consumidor final, será también crucial la participación del Dpto. de Márketing. Normalmente estas divisiones tienden a percibir cualquier estrategia de compliance como una simple traba a su actividad, a la que deben allanarse sin convicción, e intentando circunvenirla en lo posible. Es solo parcial y sesgadamente cierto que las restricciones regulatorias a la actividad de márketing pueden en ciertos casos ralentizar balances de venta, ya que en una estrategia a largo plazo una entidad no puede ser ajena al riesgo sancionatorio; que alcanza ya altos umbrales pecuniarios en la legislación, y se espera que aún se acrecentará más con la entrada en vigor de la legislación común a nivel europeo, en el proyecto de Reglamento unificado sobre protección de datos previsto para 2014.
Asimismo, todo buen proyecto de implantación deberá comprender un apartado de formación, concienciación y gestión del cambio; con atención especial y justificación de motivos ante aquellos departamentos que, como el de Márketing, pueden potencialmente ser poco receptivos a ciertos estándares regulatorios.
El bloque de formación, por definición, pues, no puede ser monolítico y omnímodo. Las entidades que se han limitado a distribuir copias con meras reproducciones de recomendaciones genéricas se ven incapaces de llevar a la práctica ninguna de las obligaciones previstas en la ley. Una gestión del cambio bien entendida conllevará siempre la personalización de decálogos, y otros materiales de impacto sectorial que contribuyan a la efectiva concienciación de los implicados, desde un entendimiento profundo y exhaustivo de las circunstancias de negocio que rodean a cada empresa.
Isaac Grauer, Asociado Senior Information Technology. ECIJA
