|
José Enrique Navarro
Asociación de Asesores de Empresa en Internet
Julián Marías, con la amplitud de miras propia de la sabiduría,
pronosticó, allá por 1985, uno de los mayores riesgos que
habría de traer la revolución informática: la reducción
de la vida personal a datos que quedan registrados para siempre y compartidos
con desconocidos, lo cual, en último extremo, lleva a la transformación
de las personas en meros números. Dicha idea presupone la pérdida
de la intimidad y la vulneración de nuestra privacidad, esto es,
de aquel ámbito de nuestra vida privada que se ve afectado por
la posibilidad de que nuestras actuaciones cotidianas sean observadas
y la información procedente de ellas se acumule, conserve y cruce
con el fin de formar un perfil, un retrato robot, el cual puede ser utilizado
con fines de diversa índole.
Precisamente para evitar que tales presagios deviniesen realidades, nuestro
legislador, consciente de la tangibilidad de aquellos y en cumplimiento
del mandato constitucional contenido en el artículo 18.4 de la
Constitución Española, limitó el uso de la informática
para garantizar la intimidad personal y familiar de los ciudadanos mediante
la promulgación de leyes de protección de datos. En un primer
momento, con la publicación de la famosa LORTAD, de 1992, desarrollada
por varios reglamentos, y más recientemente, mediante la LOPD,
Ley Orgánica 15/1999, de 13 de diciembre, de Protección
de Datos personales, que deroga la anterior, dejando subsistentes no obstante
las disposiciones reglamentarias dictadas.
Desgraciadamente, hemos de constatar el general desconocimiento de tal
normativa, así como la escasa implantación de las medidas
a la que esta legislación obliga. Sin afán de compendiar
en estas escasas líneas el alcance y sentido de la norma, sí
intentaremos no obstante bosquejar su repercusión en el sector
de la auditoria.
Cabría comenzar por establecer con claridad el objeto de la ley,
que es la protección de los datos de carácter personal,
de la persona física, y no de la jurídica, a quien no resulta
de aplicación los preceptos que a continuación vamos a reseñar.
Una segunda apreciación sería que la actual ley, a diferencia
de la LORTAD, extiende su ámbito de aplicación a los ficheros
no automatizados o informatizados que contengan tales datos, si bien el
legislador concede un plazo generoso (hasta octubre de 2006) para su adecuación
a lo establecido por ella.
¿Con qué datos personales cuenta un despacho de auditoria?
Principalmente, con los datos personales de sus empleados, los cuales
conforman el fichero de nóminas. Asimismo, siempre que se trate
de personas físicas y no jurídicas, los datos personales
incluidos en los ficheros de clientes o proveedores, en tanto que empresarios
individuales, podrían también ser objeto de protección
de la ley, si bien dicha afirmación no resulta del todo pacífica
a la vista del criterio de la Agencia de Protección de Datos y
la jurisprudencia del Tribunal Constitucional.
Cuestión distinta sería que los datos obrantes en nuestro
poder, en los mismos ficheros de clientes o proveedores, fueran datos
estrictamente personales, p. ej. el domicilio o teléfono particular
del mismo empresario individual. En este caso, la intimidad vulnerada
no se inscribe en una esfera puramente económica, y por tanto deviene
jurídicamente protegible desde la perspectiva de la LOPD.
Las obligaciones básicas del despacho de auditoria (el responsable
del fichero o tratamiento en la terminología del texto legal)
con respecto a los datos recogidos son, además del ineludible deber
de secreto profesional, que éstos sean adecuados, pertinentes
y no excesivos en relación con el ámbito y las finalidades
para las que fueron obtenidos. Asimismo, los datos habrán de ser
exactos y puestos al día.
De manera complementaria, la recogida y tratamiento -así como la
comunicación a terceros- de los datos personales necesitará
contar, como principio general, con el consentimiento inequívoco
del afectado. Se exceptúan de este régimen, entre otros,
los datos obtenidos de las fuentes accesibles al público enumeradas
en la propia ley (censo promocional del INE, repertorios telefónicos,
listados de profesionales colegiados, diarios y boletines oficiales y
medios de comunicación) o aquellos que hagan referencia a las partes
de un contrato o precontrato de cualquier tipo y sean necesarios para
su mantenimiento o cumplimiento.
En todo caso, necesario o no el consentimiento, el responsable del fichero
deberá informar a los afectados de, como mínimo, la existencia
misma del fichero, su finalidad, destinatarios y responsable, así
como de la posibilidad de aquellos de ejercitar gratuitamente los derechos
de acceso (información sobre qué datos personales del interesado
han sido sometidos a tratamiento o comunicación a terceros y su
origen), rectificación, cancelación y oposición.
Esta obligación de información resulta razonable aun en
el caso de obtención del consentimiento, ya que éste ha
de ser un consentimiento informado.
Con anterioridad a la creación del fichero, el responsable del
tratamiento, el despacho de auditoría en nuestro caso, deberá
notificar a la Agencia de Protección de Datos su propósito
y, en consecuencia, inscribir dicho fichero en el Registro General de
Protección de Datos, registro de consulta pública y gratuita
que gestiona la propia Agencia. Para la inscripción se requiere
la indicación de las medidas de seguridad adoptadas, cuestión
que abordaremos más adelante.
Ya hemos mencionado la cesión o comunicación de datos a
tercero al referirnos al consentimiento del afectado y de su derecho de
información. Esta figura resulta de especial relevancia para nosotros,
dado que el auditor puede ser cesionario de datos personales recogidos
en un fichero informático y, en consecuencia, obligado a la observancia
de las disposiciones de la ley.
En este sentido, el cesionario se equipara, en lo relativo a la implantación
de medidas de seguridad, al responsable del fichero. Esto es, el auditor
al que le comuniquen datos de carácter personal habrá de
mantener los ficheros, locales, programas o equipos que contengan aquellos
de acuerdo con las condiciones de seguridad que marca el Reglamento de
Medidas de Seguridad (Real Decreto 994/1999, de 11 de junio).
El alcance de estas medidas dependerá del tipo de datos cedidos.
Así, se distingue entre ficheros de nivel básico, medio
y alto. El reglamento define como ficheros de nivel medio aquellos que
contengan datos relativos a la comisión de infracciones administrativas
o penales, Hacienda pública, servicios financieros, solvencia patrimonial
y crédito y, en general, los que permitan obtener una evaluación
de la personalidad del individuo. Con respecto a los de nivel alto, son
aquellos que contienen datos relativos a ideología, religión,
afiliación sindical, creencias, origen racial, salud o vida sexual,
así como los que contengan datos recabados para fines policiales
sin consentimiento de las personas afectadas. Caso de no incluir el fichero
ninguno de los tipos de datos enumerados, nos encontraremos ante un fichero
de nivel básico.
Podremos entender mejor esta idea si rescatamos el ejemplo del fichero
de nóminas de los empleados de la auditoría: éste
será considerado de nivel alto (y habrá que implantar medidas
de dicho nivel en el despacho) si el trabajador decide abonar su cuota
sindical a través de la nómina (dato de afiliación
sindical) o si el trabajador padece un minusvalía (dato de salud)
que diere lugar a una reducción en la retención del IRPF.
No hay ley trascendente que no se precie de establecer un régimen
de infracciones y sanciones con el que incentivar a sus destinatarios
al cumplimiento de los mandatos en ella contenidos. En este sentido, la
nueva ley de protección de datos sigue el esquema y mantiene las
cuantías fijados por su predecesora y prevé una serie de
infracciones (leves, graves y muy graves) que llevan aparejadas unas sanciones
que van desde las cien mil hasta los cien millones de Pesetas.
Hay quien considera innecesarias tantas prevenciones, derechos, deberes
y sanciones. Creo, como afirma Neil Postman, que toda nueva tecnología,
toda invención contiene una idea poderosa. La informática
nos permite hoy almacenar y tratar volúmenes de información
inimaginables hasta hace poco. Tarea nuestra es que esta nueva invención
no se subleve y, como en El mundo feliz de Huxley, el amor por
la tecnología y la fe incondicional en su bondad se conviertan
en los barrotes de nuestra prisión.
|
