jueves, 30 de agosto de 2012

LOPD para todos (I)

En mi opinión, uno de los problemas que hacen que la Ley Orgánica de Protección de Datos de carácter personal (LOPD) sea una auténtica desconocida entre la ciudadanía en general, no ya entre quienes no conocen ni su existencia sino entre aquellos que han oído hablar de ella, es lo ardua que resulta su comprensión; empezando por lo más básico, su terminología. Cosa que tampoco es que sea rara, ya que creo que es algo común a la mayoría de las leyes. Se habla mucho, y desde hace mucho tiempo, de hacer más cercano el lenguaje jurídico a la ciudadanía, y sobre todo en materias que, como ésta, afectan a derechos fundamentales y tienen una gran incidencia en el día a día.

Por tanto, evidentemente, y en el caso que nos ocupa (LOPD) aún más, cualquier esfuerzo que se haga para transmitir de forma comprensible las leyes redundará sin duda en un mayor cumplimiento. En el caso de la LOPD, no sólo porque la ciudadanía en general la conozca más y mejor, y en consecuencia sea más consciente de sus derechos, sino también porque aquellos que tienen que aplicarla en su día a día en las organizaciones también la conocerán más y mejor, y, por consiguiente, estarán más preparados y serán más respetuosos a la hora de tratar datos de terceros.

Todas las autoridades de control existentes (AEPD, AVPD, APDCM y APDCAT), es decir, aquellas que tienen como misión principal velar por el respeto a los derechos que la LOPD nos reconoce en esta materia, realizan una encomiable labor en este sentido, editando y divulgando muy diversos materiales, dirigidos fundamentalmente a la ciudadanía en general, y también, aunque creo que en menor medida, a las personas que diariamente tratan este tipo de datos en las organizaciones.

Dicho lo anterior, en este post me gustaría compartir mi experiencia en la sensibilización y formación entre el personal de las organizaciones, bien se trate de administraciones públicas o empresas.

Uno acude a la sesión correspondiente pertrechado de una presentación ad hoc para la ocasión (personalizada con la problemática de protección de datos concreta de la organización en cuestión, intentando reflejar los conceptos, principios y desarrollo de la normativa de la forma más comprensible de la que uno es capaz, con ejemplos también personalizados de todo ello, y, sobre todo, con muchos dibujitos y colorines), para hacerla más interesante y amena - ni que decir cabe que, para ello, uno se ha estrujado bastante las meninges -, y, nada más empezar, cuando uno ha terminado de explicar los términos de la normativa, la "primera en la frente": se da la vuelta, observa a los asistentes, y:


En resumen, aquellos que miran estupefactos o parecen estar durmiendo son mayoría (bien es cierto que el porcentaje de los que se encuadran dentro de una u otra categoría no parece seguir un patrón simple predeterminado; parece depender del tipo de organización - mayor o menor problemática de ésta con respecto a la protección de datos -, del día que tenga uno mismo o del que tengan los propios asistentes, ... o de otro tipo de factores complejos que se me escapan. En cualquier caso, asunto para el análisis).

Mención aparte merecen aquellos que están sonriendo (eso sí, en número significativamente inferior a las personas de las dos categorías anteriores). Uno se pregunta: ¿lo habrán entendido?, pero enseguida desecha esa posibilidad, porque con el rollo que les has soltado es casi imposible que así sea; ¿se estarán riendo de mí?, y entonces empiezas a mirarte de forma convulsiva, no vaya a ser que tengas roto el patalón, etc.; ¿estarán contentos porque viniendo aquí se han escaqueado un rato del trabajo?, o ... caben infinidad de posibilidades, nunca lo llegarás a saber a ciencia cierta, y decides olvidarte de ello, aunque de lo que sí estás seguro es de que, al igual que el resto, tampoco han entendido nada.

¿Cómo llegas a esa conclusión?. Bien, imagínese el lector del post que es uno de esos asistentes y es la primera vez que oye hablar de la LOPD, y para explicarle tres términos muy básicos de la Ley (pongo sólo tres ejemplos), le sueltan algo parecido a lo siguiente (como digo, yo los intento hacer más comprensibles y pongo ejemplos, pero es que mucho no se puede hacer):

- Responsable del fichero o del tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente.

- Encargado del tratamiento: La persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.
Podrán ser también encargados del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.

Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento.

¿Le extrañan ahora al lector las caras de los asistentes?. Pues a mí, la verdad, para nada. Esto, contado así o parecido, es 'infumable'. Todo ello, sin hablar de  lo que se entiende por otros términos implícitos en las definiciones citadas (tratamiento, etc.) y, ni siquiera, de otros términos que se establecen en la normativa. A mí de estos últimos el que más gracia me hace es el de "tercero" (perdón y prometo no poner ninguno más):

- Tercero: la persona física o jurídica, pública o privada u órgano administrativo distinta del afectado o interesado, del responsable del tratamiento, del responsable del fichero, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento.
Podrán ser también terceros los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.

Nota del autor:  lo de los "entes" que se recoge en dos de estas definiciones, no es que me resulte incomprensible a mí mismo, sino que, directamente, me da hasta miedo.

Posteriormente, comprenderá el lector que el resto de la sesión (todavía hay otras muchas definiciones 'básicas' que explicar y, además, queda lo más importante: niveles de seguridad, medidas organizativas y técnicas, etc.) se convierte en un infierno, tanto para el ponente como para los asistentes, aunque por motivos radicalmente opuestos pero con un fin común: "por favor, pase de mí este cáliz".

Ahorro más detalles. Cuando uno, al fin, consigue finalizar su exposición con la mayor dignidad posible, "Genio y figura hasta la sepultura", y alza la vista, observa que el semblante facial de los asistentes se torna unánimemente a:


Una pequeña satisfacción. No, no es porque piense que hayan entendido nada, ni mucho menos, sino porque, al menos, comprendo lo que significa: se alegran de que hayas terminado y todos ellos prefieren ir a currar que aguantar esta tabarra de la que no se han enterado de nada. Lo que visto desde otro punto de vista no puede ser más frustrante: no sólo porque no han entendido nada (objetivo de la sesión incumplido), sino porque, además, prefieren currar a escucharte (algo inaudito).

Por tanto, teniendo en cuenta la famosa frase de Albert Einstein:

"Haz todo tan simple como sea posible, pero no más simple",

y aún a riesgo de pasarme y de que los ortodoxos en la materia se me "tiren al cuello", estoy pensando en cambiar el enfoque de las sesiones a impartir para simplificar un poco ciertas cosas. Sirva de ejemplo esta pequeña infografía con relación a los términos básicos de la norma a los que se ha hecho referencia en este post:


Lógicamente, todo ello referido a ficheros con datos de carácter personal y al tratamiento de estos datos, aunque haya que matizar ciertas cosas, pero: ¿a que así se entiende mejor?. Si finalmente me lanzo a utilizarla en alguna sesión, prometo publicar en otro post la infografía completa y las caras que ponen los asistentes.

3 comentarios:

  1. francamente bueno¡¡¡...y entretenido. Un consejo: empieza así tu próxima exposición,ríete de las definiciones literales como haces en esta artículo, provoca carcajadas...y conseguirás mantener la atención durante unos increíbles...20 minutos. A partir de ahí no hay dios que escuche ni la conferencia más entretenida. Pero ese inicio es bueno...insisto:prueba en tu próxima presentación. Sobretodo,léeles lo de 'tercero',que es para partirse. Ya verás cómo se despiertan...y atienden lo que les vas a decir

    ResponderEliminar
  2. Pues si le sirve de consuelo, es la primera vez que entiendo la diferencia entre responsable de fichero y encargado de tratamiento. Y es gracias a usted.

    ResponderEliminar
  3. Your post is really informative for me. But i want to read some more details about the LOPD.
    Ley Orgánica de Protección de Datos, LOPD

    ResponderEliminar