En un contexto de competitividad y crisis que viven las empresas reconoce que aún hay compañías que no tienen asumido la importancia de desarrollar una política de protección de datos en su negocio. Sanchez-Crespo Abogados y consultores, como firma jurídica ha desarrollado desde varios años este servicio respaldado por unos Desayunos Informativos que sirven para explicar a empresarios y profesionales la importancia de esta legislación. Antonio Sánchez-Crespo López es el letrado que dirige esta area de negocio. Bajo su punto de vista aunque el Reglamento de la citada Ley ha supuesto un avance aún se pueden hacer más cosas porque “En España nos gusta mucho “eso” del vacío legal. Pero la ley no es la única fuente del Derecho y nos estamos olvidando de los principios generales del Derecho. El mundo tecnológico avanza a velocidades de vértigo y querer regular todos los detalles no es realista. En este campo concreto, creo que el modelo anglosajón saca muchos cuerpos de ventaja al modelo continental.”
Antonio Sánchez-Crespo López se incorporó a tiempo parcial a Lexconsult en 1989. En el año 2001 fundó DEiSiNFO abogados y, en la actualidad, ejerce las funciones de director ejecutivo de la firma. Cinco años despúes ambas firmas se integran y configuran Sánchez Crespo Abogados y Consultores. En esta entidad, nuestro interlocutor es el máximo responsable de los servicios de protección de datos, propiedad intelectual, contratación mercantil, servicios de la sociedad de la información y software propietario. Desarrolla funciones de asesor, consultor y auditor. Es miembro activo de la Asociación de Jóvenes Empresarios de Madrid y de la Confederación Empresarial de Madrid (CEIM). Igualmente, es mentor del departamento de creación de empresas del Instituto de Empresa (IE).
En febrero de 2008 fue nombrado presidente del Forum de la Asociación de Empresa Familiar de Castilla-La Mancha y, en mayo del mismo año, miembro de la Comisión Ejecutiva de la misma. Es autor y coautor de varias obras sobre protección de datos y propiedad intelectual. Entre ellas «La Ley Orgánica de Protección de Datos: implicaciones en las ETT» publicada en el año 2005 por la Fundación SINDETT; «La protección de datos personales en el ámbito sanitario» y «La protección de datos en los centros de enseñanza», publicadas en los años 2002 y 20007 respectivamente por la editorial Aranzadi.
Imparte conferencias y seminarios sobre protección de datos, propiedad intelectual, legalidad en Internet y contratación de software Se licenció en Derecho por la Universidad Alfonso X el Sabio en el año 2000 y es miembro del Ilustre Colegio de Abogados de Madrid desde ese mismo año, con el número de colegiado 71903
¿Podría explicarnos el origen de estos desayunos informativos que su firma organiza sobe la problemática de protección de datos?
Nuestra motivación a la hora de organizar tanto estos desayunos como otros sobre las más variadas materias fue el desconocimiento que de la norma reinaba y sigue reinando entre los empresarios. Aún recuerdo cuando hace nueve años un empresario me espetó “entonces, para no pagar la multa a la Agencia, os la tengo que pagar a vosotros”.
Los empresarios deben ver el Derecho como una herramienta para alcanzar su visión empresarial. No nos cansamos de decir en los desayunos que deben conocer las normas (no sólo las relativas a protección de datos sino todas las que les son aplicables) en profundidad para tomar decisiones correctas. En Sánchez-Crespo no concebimos el tomar decisiones desconociendo las implicaciones legales de las mismas (para eso está la figura del letrado asesor). El abogado debe estar presente en la toma de cualquier decisión empresarial. Como dice nuestro decálogo “el tiempo se venga de las cosas que se hacen sin la colaboración del Derecho”. Y es una verdad como un templo.
En España, vamos al abogado cuando tenemos un problema, no para planificar. Es una cuestión cultural. Por poner un caso concreto, el empresario acude a nosotros cuando el destinatario de una comunicación comercial electrónica le denuncia ante la Agencia por spam. No nos llama antes para pedirnos que revisemos el contrato de compraventa de la base de datos ni para preguntarnos qué implicaciones legales tiene realizar una campaña de marketing directo y cuál debe ser el proceso a seguir a la hora de realizar esta campaña para cumplir los requisitos legales. La experiencia demuestra que actuar a posteriori es mucho más caro que actuar a priori. ¿No es contradictorio partiendo de la base de que las empresas existen para generar beneficios?
En línea con lo anterior y aunque parezca mentira, aún hay empresas (de relevancia económica) que no han hecho absolutamente nada en materia de protección de datos. Y las que ya han abordado su implantación, siguen haciendo mal muchas cosas. Por eso -y coincidiendo con la aprobación del reglamento de desarrollo de la Ley Orgánica de Protección de Datos- comenzamos a impartir este tipo de desayunos.
Tras una introducción de media hora a los conceptos generales sobre protección de datos, los desayunos se convierten en coloquios en los que los asistentes comparten sus casos con los demás asistentes y entre todos analizamos las soluciones dadas por cada uno. Son muy interactivos y enriquecedores para todos.
¿Qué valoración puede hacer del nuevo reglamento de protección de datos al año y medio de su puesta en marcha?
Parece que las empresas están contentas con el mismo. Es cierto que el reglamento regula muchos casos concretos y que aporta algunas soluciones. Sin embargo, se deja otros muchos casos concretos sin tratar. Bajo mi punto de vista, esta circunstancia genera inseguridad jurídica: ¿qué pasa con los detalles no regulados expresamente?
En España nos gusta mucho “eso” del vacío legal. Pero la ley no es la única fuente del Derecho y nos estamos olvidando de los principios generales del Derecho. El mundo tecnológico avanza a velocidades de vértigo y querer regular todos los detalles no es realista. En este campo concreto, creo que el modelo anglosajón saca muchos cuerpos de ventaja al modelo continental. Creo que era necesario regular determinados aspectos pero una norma así no era necesaria.
En alguna entrevista el propio director general de la AEPD cuestiona que el abogado no se implica demasiado en el cumplimiento de la protección de datos, ¿qué opinión tiene al respecto?
Pues que tiene razón: en casa del herrero, cuchillo de palo. Pero hay de todo. En nuestro caso, la cumplimos escrupulosamente, además de porque debemos predicar con el ejemplo, por pura convicción personal (yo no podría dedicarme a esto si no creyese de verdad en ello). De hecho, justo en este momento, estamos pasando las preceptivas auditorías externas para certificar nuestro sistema de gestión de la seguridad de la información. Hace ya muchos años que venimos dando vueltas de tuerca para mejorar en este ámbito. Entendemos que este es el modelo a seguir pues cumplir todos los requisitos de la norma de la noche a la mañana es muy difícil (por no decir imposible).
¿Dónde se encuentra el límite entre la protección de datos personales y el derecho a la información?
Podríamos hablar cien horas sobre este tema y no llegaríamos a una solución concreta. A raíz del caso Berlusconi, un medio de su competencia me hizo una entrevista telefónica sobre esta materia hace tres semanas.
Y sólo le puedo contestar que depende. Sé que no es una respuesta que gusta oír pero no existe una respuesta corta. Los factores que hay que tener en cuenta para establecer los límites entre el derecho “activo” a la información y los derechos al honor, a la intimidad personal y familiar, a la privacidad (sic.) y a la protección de datos son múltiples: depende de quién sea el afectado (personaje público o no), de quién sea el responsable (por ejemplo, un medio de comunicación), de la información (i.e.: datos de carácter personal) de que estemos hablando, del ámbito en que se produzca el tratamiento (personal o no), de las circunstancias que rodeen al tratamiento de los datos, del interés social (o del derecho “pasivo” a la información) y de un largo etcétera.
Lo único cierto es que la figura del consentimiento informado es la idónea para solucionar un buen porcentaje de los conflictos que surgen entre estos derechos. Nos gusta transmitir que “con el consentimiento se puede hacer casi todo”.
En este contexto, ¿podría indicarnos cuáles siguen siendo las asignaturas pendientes de la empresa a la hora de diseñar su política de protección de datos?
Las resumiría en seis:
Incorrecta o falta de información y solicitud de consentimiento informado (o uso de modelos para hacerlo sin saber si son o no válidos);
Realización de cesiones (o comunicaciones) de datos sin el preceptivo consentimiento y realización de encargos de tratamiento sin el preceptivo contrato;
la no regulación de la videovigilancia;
la realización de comunicaciones comerciales sin el preceptivo consentimiento;
la incorrecta atención al ejercicio de los derechos de acceso, rectificación, cancelación y oposición; y
la incorrecta aplicación del principio de seguridad.
Y hay muchas causas para ello pero me atrevo a decir que la primera es la falta de conocimiento; que la segunda es la falta de entendimiento del por qué de la norma y la percepción de que se trata de una norma que sólo sirve para complicar la vida al empresario; y que la tercera es la falta de concienciación de los integrantes de las organizaciones (empezando por la dirección).
En cuanto a la primera, muchos dicen que conocen la normativa pero lo cierto es que sólo conocen la punta del iceberg. En nuestros desayunos (en los que tampoco da tiempo a profundizar mucho pues apenas duran un par de horas) los asistentes salen algo inquietos –por decirlo de alguna forma- al ver qué cantidad de detalles se les escapan. Y esta es una norma en la que los detalles marcan la diferencia.
En cuanto a la segunda, quiero destacar que la implantación del régimen jurídico de protección de datos y la planificación para mejorar su gestión de forma continua sólo aporta beneficios a las empresas. Cierto es que nuestros clientes quieren evitar las sanciones. Pero cuando llevan varios años trabajando con nosotros ven más allá de las sanciones y se preocupan porque nuestro trabajo en materia de protección de datos les reporte mejoras en los procesos empresariales, en la definición de las funciones de cada puesto de trabajo, en la gestión de la seguridad de toda la información de la empresa (no sólo de los datos de carácter personal), etcétera.
Por último, en cuanto a la tercera causa, quiero apuntar que los ámbitos implicados a la hora de implantar el régimen jurídico de protección de datos son tres: legal, técnico y organizativo. Y que este último es, precisamente, el más importante de todos. Todos los integrantes de cualquier organización que trate datos de carácter personal deben conocer qué implicaciones tiene este régimen jurídico en su trabajo diario. Y aquí es donde fallan casi todos. Desde la dirección general hasta el estudiante en prácticas se debe conocer la norma con relativa profundidad. En este momento, nosotros utilizamos nuestra propia plataforma de e-learning para conseguir este objetivo. Y funciona realmente bien. Los resultados son sorprendentes.
Con la irrupción de Internet es más complicado diseñar esta política de protección de datos, ¿qué aspectos hay que cuidar desde esta perspectiva?
No estoy de acuerdo con esa afirmación. Al menos, no de forma absoluta. El tratar datos de forma automatizada -versus a su tratamiento con medios no automatizados (i.e. papel)- tiene muchísimas ventajas para cumplir los principios de calidad de los datos y de seguridad de la información (por poner dos ejemplos). Y permite un mejor control sobre el cumplimiento de las obligaciones legales.
El problema reside –una vez más- en el desconocimiento de qué se puede hacer desde un punto de vista técnico y desde un punto de vista legal. Siempre decimos que la seguridad se consigue combinando la seguridad técnica y la seguridad jurídica. En este sentido, el principio de la solución pasa por disponer de una buena política de uso de los sistemas de información -que regule qué se puede (y como) y qué no se puede hacer en este ámbito-. Política que debe ser conocida, aceptada y asumida por todos los integrantes de la organización.
¿Qué consejo le daría a un abogado que quiera dedicarse al llamado derechos de las nuevas tecnologías en general y a la protección de datos en particular?
Que no lo haga (ríe), que ya somos muchos… En serio, mi principal consejo sería que conociese el negocio. Pero este consejo se lo daría a cualquier persona que quisiese ser abogado. El Derecho es una herramienta al servicio de los seres humanos cuyo último fin es regular nuestras relaciones, entre otras cuestiones, pare evitar conflictos. También de esto podríamos hablar largas horas. El abogado debe conocer el negocio y la estrategia de sus clientes y tener sus objetivos en mente en todo momento.
Concretando en materia de protección de datos, nadie debería dedicarse a la misma sin profundos conocimientos de derecho constitucional (hablamos de derechos fundamentales) y derecho administrativo; sin conocer la tecnología y sin conocimientos de estrategia de seguridad (nosotros, además de abogados, somos auditores de SGSI) y sin tener una mentalidad netamente empresarial (también tenemos nuestros propios negocios y somos consultores de negocio). Es una materia muy compleja. En esta línea, a los “consumidores” de servicios de asesoramiento en materia de protección de datos les aconsejaría que se asegurasen de que sus asesores o consultores cumplen los requisitos anteriormente enunciados.
Hablar de prueba electrónica sigue siendo complicado. ¿Por qué cree que aún los magistrados no toman de forma muy unánime esta cuestión?
Por algo parecido al desconocimiento al que vengo refiriéndome a lo largo de toda la entrevista. En este caso, se trata de temas muy novedosos y todos sabemos que el Derecho va un paso (muchos más diría yo) por detrás de la realidad social (primero surgen los conflictos y luego los regulamos).
Y hoy en día, la tecnología y todo lo que la rodea cambian constantemente. Deje de tener cualquier tipo de contacto con Internet y con las tecnologías de la información durante doce meses. Cuando vuelva a tenerlo verá que muchas herramientas han sido sustituidas por otras; verá que operadores del mercado habrán desaparecido o habrán sido desbancados por otros nuevos y verá que se ha quedado fuera de juego. Tendrá que estudiar.
Para que la prueba electrónica sea uniformemente aceptada es preciso que el tiempo pase y que los magistrados se familiaricen con ella. ¿Acaso no se sienten cómodos con una pericial caligráfica? ¿Conocen la base científica de este tipo de pruebas? Desde un punto de vista técnico casi todo está más que claro. Pero ¿quién ha explicado a los magistrados qué es un hash? El hecho de que estemos hablando de cosas intangibles también dificulta esta unificación de criterios.
Ahora que se han puesto de moda las redes sociales, ¿qué riesgos hay detectados que puedan vulnerar la protección de datos?
Soy usuario habitual de alrededor de quince redes sociales. Unas las utilizo con fines personales y otras con fines profesionales. Además, actualmente ya hemos asesorado a unas cuantas y tenemos otras tres en proyecto. Mi conclusión es que los riesgos varían mucho de unas a otras.
Quitándome la gorra de empresario, abogado y consultor y poniéndome la gorra de usuario creo que lo que debemos hacer es leer las condiciones del servicio. ¿Alguien las lee? Esta primera lectura nos dará pistas de por dónde pueden venir los riesgos concretos de cada red social.
El principal riesgo que yo veo es que nuestros datos de carácter personal acaben siendo utilizados para una finalidad distinta de la que inicialmente habíamos previsto por personas distintas de las inicialmente previstas. Por ello, además, de leer las condiciones del servicio, es preciso dedicar un tiempo a estudiar el funcionamiento de la red antes de empezar a utilizarla.
Otro riesgo evidente es que terceros pueden colgar en las redes sociales información sobre nosotros que no queremos que cuelguen (v. gr. una determinada fotografía o un comentario). Es bueno comunicar a los demás usuarios qué no queremos que publiquen y –en un momento dado- tener la posibilidad de bloquear el acceso a ese contenido.
En el caso de los menores de edad, es muy recomendable que los padres aprendan a usar las herramientas antes que sus hijos. Y que no les dejen usarlas sin estar ellos delante. ¿Nos dejaban a nosotros solos delante de la tele? Colocar el ordenador en un “lugar público” de la casa, limitar el horario de uso y limitar técnicamente el acceso se me antoja como imprescindible. También recomendaría a los padres la lectura del estudio recientemente elaborado por el INTECO y la Agencia Española de Protección de Datos.
Estamos ante potentísimas herramientas sin las que no concebiremos Internet en pocos años o meses. Herramientas buenas. No las demonicemos. Lo malo puede ser el uso que se haga de las mismas. Conozcámoslas y aprendamos a usarlas. Si no, estaremos ante el fin de nuestra intimidad.
Por último, ¿qué solución ve al problema de la justicia en nuestro país?
Ninguna. Se me ocurren varias líneas de actuación a seguir para mejorar la situación y solucionarla a medio y largo plazo pero a corto plazo, lo que se dice ver, no veo ninguna solución. Para empezar, no hay voluntad política para encontrarla. El caso es que pasados determinados límites la justicia deja de ser justicia.
Me encantaría que se abriese un debate serio sobre este tema y poder aportar mis ideas. Mientras, a corto plazo, creo que se debe trabajar en aras a aumentar la productividad (esa famosa de la que todos hablan y casi nadie conoce). Si bien los órganos jurisdiccionales no cuentan con todos los medios deseables (y hablo tanto de medios humanos como técnicos) creo que los medios de los que actualmente disponemos no son todo lo productivos que deberían. Cuando me licencié, hice prácticas en un juzgado de primera instancia e instrucción. Su señoría escribía las sentencias a mano cuando encima de su mesa tenía un ordenador de última generación. A estrenar. No sabía usarlo. Supongo que algún político se puso una medalla por haber informatizado los juzgados cuando no se previeron los recursos suficientes para formar en el uso de dichos sistemas, ni se previó que un PC per se no vale para nada, ni se previó una correcta gestión del conocimiento, ni se previó…, ni se previó… Termino invitando a la reflexión ¿por qué un juez (y me invento las cifras) saca doscientas sentencias en un año y el titular del juzgado de al lado sólo saca cuarenta?
