domingo, 10 de octubre de 2010

La AEPD supera los 2.000.000 de ficheros inscritos

El pasado mes de septiembre, la AEPD publicó en su página web una noticia con el título: “La Agencia Española de Protección de Datos supera los dos millones de bases de datos inscritas por empresas y organismos públicos” (Ver noticia completa en: https://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2010/notas_prensa/common/septiembre/100907_NP_2_MILLONES.pdf).

Una noticia que aparentemente puede ser positiva, ya que de ella puede deducirse a primera vista un mayor grado de cumplimiento de la normativa vigente en materia de protección de datos de carácter personal, pero que yo creo que está más ligada al autobombo que a otra cosa.

En primer lugar y aunque no tiene nada que ver con lo anterior, la verdad es que me sorprendió el término “Bases de datos” empleado en el titular de la noticia, en lugar de “Ficheros”, que creo que es el término correcto y el que se emplea en parte del resto de la noticia. El término “Bases de datos” puede inducir a error, al poder entenderse que se refiere a ficheros automatizados y, por tanto, que sólo es necesario notificar para su inscripción este tipo de ficheros.

En segundo lugar, creo que las autoridades de control utilizan muy a menudo este dato, sin mayor análisis del mismo, ligándolo a un mayor cumplimiento de la normativa, yo diría incluso que como principal indicador para demostrar un cumplimiento creciente de la misma, otorgándole una importancia que, a mi juicio, no merece.

No digo que no sea un dato importante a considerar (aunque no en sí mismo), pero yo creo que este tipo de noticias y su aparición estelar en las memorias de las autoridades de control están más ligadas a la autocomplacencia de dichas autoridades que a su importancia de cara a obtener conclusiones válidas respecto al cumplimiento de la LOPD.

Ejemplo de algunas afirmaciones que se recogen en la noticia mencionada y que me hacen llegar a la conclusión anterior son las siguientes:

- “La notificación de bases de datos [y dale con lo de bases de datos] ante la AEPD es una de las principales obligaciones que prevé la LOPD tanto para entidades públicas como privadas”.

No se falta a la verdad cuando se dice que es una de las principales obligaciones, pero, en mi opinión, se debería decir en su lugar que es una obligación básica e inexcusable, ya que sino puede darse la falsa impresión de que con la notificación de los ficheros las empresas y organismos públicos cumplen o están muy cerca de cumplir la normativa, lo que todos sabemos que no es verdad ni de lejos.

- “Las comunidades de propietarios son el sector con el mayor número de notificaciones, acumulando la cifra de 241.000 ficheros,…”. ¿Qué tienen que ver los ficheros de la comunidades de propietarios con los de las empresas y organismos públicos?. En el titular de la noticia sólo se hace referencia a empresas y organismos públicos, pero después aparecen las comunidades de propietarios como el sector con mayor número de notificaciones realizadas. Pero aún así, ¿Cuántas comunidades de propietarios hay en España?. Supongo que muchas más de 241.000, que es el número total de ficheros inscritos por este sector, pero es que, a nada que cada una de ellas notifique dos ficheros, el número de comunidades de propietarios que han cumplido con esta obligación podría ser ridículo respecto al total de las existentes.

- “Más de 729.000 entidades han inscrito sus bases de datos [y dale con lo de bases de datos] en el RGPD, una de las principales obligaciones legales que prevé la LOPD [y dale, ¿con esto ya casi se cumple?]”. Pues no sé, pero a mí me parecen muy pocos responsables de ficheros, sobre todo si se incluyen las comunidades de propietarios, pero es que también me parecerían muy pocos responsables de ficheros si se excluyen éstas (¿Cuantas grandes empresas, pymes y micropymes, ayuntamientos, sociedades públicas, diputaciones, gobiernos, juzgados, centros educativos, colegios profesionales, asociaciones, y un largo etcétera, hay en España?.

Nótese, además, que la media de ficheros inscritos por entidad sería de 2,75 ficheros. Intuitivamente me parecen pocos, lo que podría llegar a plantear otras cuestiones, tales como: ¿Declaran las entidades todos los ficheros que deben?, ¿Cuál es la calidad de la información sobre los ficheros inscritos en el RGPD?, etc.

No sé a vosotros, pero a mí estos datos me dan la impresión de que todavía estamos en un nivel de cumplimiento de la LOPD muy bajo, debido a que de ellos deduzco que todavía muy pocas entidades cumplen con algo tan básico como la notificación de ficheros. Todo ello agravado porque, como ya he mencionado, la notificación de ficheros no implica cumplir con la LOPD (seguro que muchas entidades que lo han hecho no cumplen después con el resto de la normativa o sólo cumplen con otros aspectos formales), pero lo que a mí me parece más claro es que quién no notifica los ficheros difícilmente cumplirá con el resto de la normativa.


Por tanto, en mi opinión y como resumen de la noticia comentada, lo dicho: autobombo y autocomplacencia de la AEPD, pero nada que ver con el grado de cumplimiento de la normativa.

No hay comentarios:

Publicar un comentario