Registro… ¿y qué?
Juan José Peña
Director comercial. Evalúa consultores
Es curioso que transcurridos ya muchos años desde que entró en vigor la Ley Orgánica de Protección de Datos 15/99 de 13 de diciembre (LOPD), es decir, unos 13 años, el requisito de comunicar los ficheros que una entidad maneja y trata, sea considerado en muchos casos, como el único, y en otros, la más importante obligación para cumplir con esta normativa. Veremos que esto no es así y que algunos registros dejan mucho que desear.
Con este artículo pretendo arrojar un poco de luz respecto a la finalidad que tiene el registro de la Agencia Española de Protección de Datos con la idea de que se tenga más en cuenta y que se “profesionalice”, es decir, que no sea un mero registro administrativo que dé cumplimiento a un artículo de la LOPD (con una finalidad que creo no se ha cumplido).
Hoy en día, multitud de pymes y profesionales creen que con tener este registro se cumple con todos los requisitos que marca la normativa sobre protección de datos, muchas veces, inducidos y orientados por supuestos profesionales en la materia.
Veamos el por qué de este registro. El artículo 14 de la LOPD señala:
“Derecho de consulta al Registro General de Protección de Datos: Cualquier persona podrá conocer, recabando a tal fin la información oportuna del Registro General de Protección de Datos, la existencia de tratamientos de datos de carácter personal, sus finalidades y la identidad del responsable del tratamiento. El Registro General será de consulta pública y gratuita.
Este registro lógicamente es público y solo hay que conocer a la entidad que ha recogido nuestros datos, y si queremos, consultarlo.
Están obligados a registrarse en el mismo, todas las entidades públicas y privadas que traten datos personales con la finalidad de identificarse de cara a la persona que deja o a la que se le recogen sus datos, ahora bien, no se publican esos datos, si no los tipos de datos personales que se le recogen, por ejemplo: nombre, apellidos, teléfono, DNI, dirección, etc. (ver artículos 20,25 y 26 de la LOPD)
Veamos ahora si realmente esto se hace, es decir, si el titular de los datos consulta este registro para ver qué tipo de tratamientos realizan las empresas o entidades.
Tras varios años de experiencia en la materia, sinceramente no veo a alguien consultando este registro si no es con un fin concreto, fin que seguramente estará relacionado con “buscarle las cosquillas a esta entidad que ha recogido sus datos”, es decir, denunciar algún tipo de uso no consentido o ilícito de sus datos personales. Creo que este registro lo utilizamos y conocemos mayormente los que nos dedicamos a esta materia: con un fin de buen asesoramiento en unos casos y con un fin comercial en otros (ver si una entidad está registrada y como está registrada).
Hemos avanzado anteriormente que muchas empresas y entidades creen erróneamente que estando inscritas en este registro cumplen con la normativa de protección datos. En este caso, la Agencia de Protección de Datos, una vez que recibe este registro, comunica a la entidad que se ha producido la inscripción, pero que no por ello se cumple con el resto de requisitos que esta normativa recoge. Para muestra un botón: adjuntamos texto que envía la Agencia una vez recibida dicha inscripción:
A pesar de todo esto, hay “compañeros” que juegan muy bien con el desconocimiento y con la “papelitis”, ó el que un organismo público nos acredite que “algo tenemos”, situaciones que en España hemos interiorizado muy bien: en este caso, el “yo ya estoy registrado”.
En esta propuesta comercial que muchos colegas abogados habrán recibido en los últimos meses da a entender que con ese Registro es suficiente (es un copia y pega del original):
OFRECEMOS NUEVA Oferta especial para ABOGADOS hasta el 22 de OCTUBRE DE 2011, por el alta del fichero CLIENTES, PROVEEDORES y EXPEDIENTES CLIENTES (de nivel alto)………………………………. 100,00 € + iva – (Precio habitual: 249,00 € + iva).
(Creo que esta oferta ya se ha acabado….ahora son 125,00€)
El contrapunto está en el siguiente enlace: a un abogado no le basta estar registrado en la Agencia para recibir una sanción, puesto que como bien dice la Agencia “…únicamente acredita…”, sin que de esta inscripción se desprenda el cumplimiento del resto de la normativa.
http://www.samuelparra.com/wp-content/uploads/2008/05/agobado%20medidas%20de%20seguridad.pdf
Llegados a este punto, toca ver alguna curiosidad que nos vamos encontrando en el registro descrito.
Pues bien, es curioso que a muchas empresas se les haga un registro de “Reclamaciones LOPD”, cuya finalidad resulta ser atender los ejercicios de derechos que esta entidad pueda tener en la materia. Esto lo podemos entender cuando la empresa es del tipo Telefónica, Allianz, Endesa, etc pero cuando se trata de una pequeña clínica dental algo falla: o nos quieren hacer ver que todos los meses nos van a ejercitar uno de esos derechos o bien no saben con que rellenar y/o justificar su trabajo (me refiero a quien nos ha hecho el registro).
Otro fichero curioso con el que nos hemos topado es aquel que contiene como dato de carácter personal “el mensaje”… imaginamos que será un dato personal nuevo que identifica a alguien porque si no es así este mensaje o noticia que estoy redactando también sería un dato personal.
También parece increíble pero algún fichero de videovigilancia cuyo tratamiento se realiza en soporte papel también hemos visto; no sabemos si es que la grabadora actúa como un fax lanzando las imágenes que graba… ¡todo es posible hoy en día!
¿Y por qué no decirlo? Algún fichero registrado nos indicaba que se hacía una comunicación de datos a la Asesoría “X”, asesoría, por cierto, que nunca existió…
Algo que también nos sorprendió fue encontrarnos el registro con los datos de una empresa cuyo CIF que se correspondía con un DNI de un trabajador de la misma: aquí no actuó de oficio la Agencia… y esto, muy común por cierto, se debe a que haciendo la adecuación mediante un curso de formación que realiza un trabajador de una empresa, y nos sale gratis, porque lo pagamos mediante deducciones en seguros sociales, la empresa que nos “vendió” el curso resulta que pone como responsable a ese alumno, trabajador que en algún caso era un camarero, ojo, y todo esto a pesar del fraude que esta actuación supone.
Para finalizar y no aburrir con tantos ejemplos, queremos resaltar la importancia de este fichero:
Nombre del fichero: |
FICHERO DE OTROS DATOS |
Descripción de la finalidad: |
GESTION DE OTROS DATOS |
Tipificación de la finalidad: |
GESTIÓN DE CLIENTES, CONTABLE, FISCAL Y ADMINISTRATIVA OTRAS FINALIDADES |
Se trata de una pequeña pyme (dos empleados y dos socios) que comercializa congelados, sobre todo pescados y mariscos, no sabemos si estos otros datos son de esos mariscos y pescados que quizás se puedan llamar Antonio y Pepi (más el resto de sus datos personales, claro está).
En fin, nuestra idea ha sido intentar dar un poco de luz al significado del Registro General de Protección de Datos, enseñar sus luces y sombras y darle la importancia que entendemos que tiene: mero registro público que no nos exime de cumplir con el resto de requisitos que la normativa sobre protección de datos estipula.
Lo hemos querido hacer dándole un toque de humor porque a veces, es no para reír, si no para llorar… Gracias y recuerden: deben comunicar sus ficheros a la Agencia Española de Protección de datos, pero de una forma coherente.