30 octubre 2006

Cumpliendo con la LOPD

En un post anterior, un visitante exponía sus dudas acerca de las dificultades reales a la hora de cumplir con los requisitos del Reglamento de la LOPD. Esta reflexión me ha llevado a analizar un poco más a fondo lo que suponen las distintas exigencias de la LOPD y el reglamento, y los motivos más habituales de su incumplimiento.

Las obligaciones de la Ley (parte administrativa) son sencillas de cumplir para las empresas. Identificar los ficheros, definir su nivel y propiedades, desarrollar las fórmulas legales (garantizar derechos de acceso, rectificación, cancelación y oposición) y dar de alta los ficheros no es una tarea compleja. Sin embargo, la realidad nos dice que todavía hay empresas que no cumplen este apartado, sobre todo entre las PYMEs y microPYMEs, y la principal razón aducida suele ser el desconocimiento. Pese a todo, esto no supone un problema para el común de los usuarios, ya que en su mayoría también desconocen los citados derechos, y por lo tanto no suelen pretender hacer uso de ellos. Ni siquiera el ejercicio del deber de información (por cierto, uno de los apartados en los que más suspensos suelen tener las empresas) suele tener efectos, ya que los usuarios no suelen leer la "letra pequeña".

Las obligaciones técnicas impuestas por el Reglamento suponen un problema distinto. En este caso, se impone la adopción de determinadas medidas técnicas que, en muchos casos, obligan a la adquisición y uso de ciertas tecnologías que permitan control de accesos, logging, backup, etc. Aquí las empresas con presupuesto ajustado se llevan la peor parte, ya que muchas aducen que su presupuesto es incapaz de afrontar la compra de estas herramientas y/o la contratación de servicios técnicos para su integración. Por un lado, la compra de las licencias software necesarias no suele ser una prioridad, y en ciertos entornos con datos hasta ahora de nivel alto la adquisición de herramientas que cumplan con el control de acceso y logging a nivel de registro suele ser prohibitiva. Por otra parte, son todavía muchos los ámbitos en los que la informática se ve como un "bicho raro", y la filosofía de "mejor no tocar" suele ser común. Por lo tanto, en muchas empresas que cuentan con la tecnología base para implementar las citadas medidas técnicas, estas no se despliegan por desconocimiento o dejadez.

Y precisamente la dejadez es uno de los motivos por los que no se desarrollan las medidas operativas a las que obliga el reglamento. El mantenimiento de listas de usuario, la realización y comprobación de backups o el registro de entradas y salidas son tareas que exigen cierta dedicación. Sin embargo, son muchos los casos en los que no se da a estas tareas la prioridad necesaria, o en los que el responsable del fichero ni siquiera define a los encargados de realizarlas. En definitiva, estas tareas acaban por no realizarse con la frecuencia necesaria, y en algunos casos terminan por dejar de hacerse. Cuando el negocio y la productividad es lo fundamental, en algunos entornos se descuidan otras obligaciones. Sobre todo, si los recursos humanos son escasos, están sobre-explotados o sus responsabilidades están insuficientemente definidas.

Como comentaba este visitante, es dificil que las empresas que no cumplen adecuadamente con los requisitos de la LOPD garanticen la continuidad de su negocio. En este tipo de entornos, en muchos casos el día a día es suficiente preocupación. Y, sin embargo, toda empresa, independientemente de su dimensión, está obligada a cumplir con las exigencias legales aplicables, y por tanto con la LOPD. Es más: en un entorno cada día más interactivo e interconectado, aspectos como la seguridad de la información van a ir cobrando cada día más relevancia. ¿Cómo conciliar estos dos aspectos?

Esta última pregunta, desde mi punto de vista, subyace en la redacción del nuevo reglamento. Al menos, en el apartado de reducir el nivel de ciertos ficheros "comunes", con el fin de reducir las exigencias mínimas para las empresas "corrientes". Creo que este nuevo reglamento reduce estos mínimos y facilita la adopción de medidas, en muchos casos no-técnicas, para el común de las empresas. Sin embargo, creo que este nuevo borrador de reglamento también intensifica, en los ficheros de mayor nivel, los controles a implementar, con la particularidad de que tras la redefinición de niveles estas medidas son aplicables en entornos que habitualmente tienen mayor capacidad técnica y económica, a priori. De este modo, empresas pequeñas como talleres de reparación, bares o comercios verán relajadas sus exigencias, mientras que aseguradoras, banca o empresas del ámbito sanitario deberán cumplir con mayores exigencias, acordes al mayor nivel de los datos manejados y al mayor potencial económico para su cumplimiento. En definitiva, se trata de adecuar las medidas tanto a los datos manejados como a la capacidad de las empresas, para que todos podamos salir beneficiados.

No hay comentarios: