Todo el campo no es orégano

Últimamente, supongo que por efecto de la crisis, muchas empresas están recibiendo publicidad, e incluso llamadas telefónicas que no podríamos considerar de otro modo que como insidiosas, ofreciendo la "protección de datos" En Barcelona he llegado a ver buzoneos de ofertas a precios de saldo que ofrecen la "regularización" por empresas "certificadas". Otros atacan a las empresas mediante la oferta de un convenio con la Fundación Tripartita, que les sale "gratis". Muchas de ellas se limitan a enviar un cuestionario y a vuelta de correo les envían un "tocho" impreso, y a lo sumo un par o tres de ficheros registrados. El empresario, archiva el dossier recibido y cree que ya "está en la Ley"... y que a él ya no le puede pasar nada. Cabría poner en ese guirigay unas notas de orden y precisión sobre lo que es realmente la aplicación de la normativa sobre protección de datos. Podríamos decir: Primero.- La figura del Auditor que plantea el Reglamento de la LOPD, en su artículo 96 no es una figura menor. El legislador busca a alguien (persona física o jurídica) que valide el sistema de información establecido por el responsable de ficheros, al menos cada dos años. A diferencia de la figura del Responsable de Seguridad que el propio reglamento se cuida de exonerarlo de responsabilidades, éste no es el caso de la figura del Auditor, quien deviene RESPONSABLE CIVIL SUBSIDIARIO, tanto frente a una indemnización del artículo 19 LOPD, como frente a una sanción de la AGPD. De ello que, Codigo civil y normativa del consumidor en la mano, deba el responsable de ficheros, prudentemente, requerir una póliza de seguro a este responsable civil subsidiario que cubra, al menos los 600.000 euros que es el importe máximo de una sanción de la AGPD. Esta obligación de información se traslada al prestador de servicios, quien debe declarar por escrito al contratado el riesgo que asume, si no existe dicha póliza. Recordemos que estamos hablando de un artículo, el 18, del Título Primero de la Constitución, derechos que se han de desarrollar con garantías reforzadas. Segundo.- La profesión de auditor LOPD, tanto como la de consultor en seguridad y otras definiciones que van proliferando, no es una profesión reconocida, NI TIENE SECRETO PROFESIONAL RECONOCIDO. Las titulaciones, certificaciones y "expertises" no tienen más valor que como herramienta de márketing. Este punto referido al secreto profesional, es de especial importancia para los apartados que a continuación detallo Tercero.- La norma ni empieza ni se acaba en la ley y en su reglamento de desarrollo, sino que tiene una previa en el código penal del año 95, que continúa vigente y obligando también a proveedor del servicio LOPD y que a continuación detallo, Artículo 197. 1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses. 2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero. 3. Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores. Será castigado con las penas de prisión de uno a tres años y multa de doce a veinticuatro meses, el que, con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, realizare la conducta descrita en el párrafo anterior. 4. Si los hechos descritos en los apartados 1 y 2 de este artículo se realizan por las personas encargadas o responsables de los ficheros, soportes informáticos, electrónicos o telemáticos, archivos o registros, se impondrá la pena de prisión de tres a cinco años, y si se difunden, ceden o revelan los datos reservados, se impondrá la pena en su mitad superior. 5. Igualmente, cuando los hechos descritos en los apartados anteriores afecten a datos de carácter personal que revelen la ideología, religión, creencias, salud, origen racial o vida sexual, o la víctima fuere un menor de edad o un incapaz, se impondrán las penas previstas en su mitad superior. 6. Si los hechos se realizan con fines lucrativos, se impondrán las penas respectivamente previstas en los apartados 1 al 4 de este artículo en su mitad superior. Si además afectan a datos de los mencionados en el apartado 5, la pena a imponer será la de prisión de cuatro a siete años. Artículo 198. La autoridad o funcionario público que, fuera de los casos permitidos por la Ley, sin mediar causa legal por delito, y prevaliéndose de su cargo, realizare cualquiera de las conductas descritas en el artículo anterior, será castigado con las penas respectivamente previstas en el mismo, en su mitad superior y, además, con la de inhabilitación absoluta por tiempo de seis a doce años. Artículo 27. Son responsables criminalmente de los delitos y faltas los autores y los cómplices. Artículo 28. Son autores quienes realizan el hecho por sí solos, conjuntamente o por medio de otro del que se sirven como instrumento. También serán considerados autores: a. Los que inducen directamente a otro u otros a ejecutarlo. b. Los que cooperan a su ejecución con un acto sin el cual no se habría efectuado. Artículo 29. Son cómplices los que, no hallándose comprendidos en el artículo anterior, cooperan a la ejecución del hecho con actos anteriores o simultáneos. Esto quiere decir que A) Al no tener secreto profesional reconocido, el auditor o consultor LOPD, viene obligado a poner en conocimiento del juzgado de guardia (denunciar) de inmediato los datos y hechos conocidos en el desarrollo de su trabajo. El no hacerlo lo convierte, por lo menos, en cómplice. Y no sólo hablamos de delitos contra la intimidad, sino también delitos contra la propiedad intelectual, industrial o la seguridad de los trabajadores que puede detectar en el desarrollo de su trabajo. B) Centrándonos en el tema de protección de datos, la norma tanto la penal como la civil, están basadas en los principios de a) el dato personal es propiedad exclusiva del afectado, todos los demás son, o somos, sólo cesionarios autorizados b) Condición indispensable para tratar los datos de un ciudadano es que consienta previamente a ello o lo diga la Ley. La voluntad de la recaudación y tratamiento determinará el ilícito (civil o penal), Pero teniendo en cuenta, siempre, que el simple acceso a los mismos sin estar debidamente autorizado por el afectado es ILICITO PENAL. c) El consultor / auditor es ese "tercero" del que habla el tipo penal. Si la obligación de denuncia es tan clara, quien firme la consultoría o la auditoria ha de ser un profesional al que la ley reconozca el secreto profesional. Entre las profesiones con secreto profesional encontramos a abogados y tambien en lo que es estrictamente su profesión, economistas, telecos, ingenieros, miembros de ATI,.... pero no encontramos a los "consultores". Detrás del secreto profesional hay una organización profesional o colegial reconocida que controla la ética de sus afiliados. De ello que es aconsejable siempre que la auditoría o consultoría, esté firmada además por alguien con secreto profesional reconocido por Ley. Ese profesional "amparará" legalmente a los que trabajan bajo su supervisión. Cualquier ocultación de los datos y hechos anteriores efectuados por el proveedor del servicio, se correspondería a un fraude perfectamente tipificado en la normativa sobre consumidores que cada comunidad autónoma viene desarrollando. Cuarto.- Por tanto, cualquier auditoría en LOPD, para ser plenamente efectiva debería llevar incluída: a) Una póliza de responsabilidad civil por al menos 600.000 euros y duración de 2 años b) Las auditorias y consultorías LOPD deberán estar firmadas además por alguien con secreto profesional reconocido, que amparará las rectificaciones o modificaciones; de lo contrario, cualquier "error" detectado en el proceso o documento de auditoria, tiene grandes posibilidades de acabar en el juzgado. Josep Jover