Aquí os dejamos otro magnífico artículo de nuestros colegas de Privacidad Lógica sobre las “otras” ventajas de cumplir con la LOPD

Publicado el 30 de julio de 2013 por Luis Salvador:

“… Para cumplir no hay que buscar motivos: hay que cumplir. El motivo fundamental, en mi opinión, es que las leyes, son de obligado cumplimiento y punto. En cambio, lo que sí que se produce en muchos casos, o se pueden producir, son lo que yo llamo “ventajas colaterales”. Es decir, aspectos de gestión empresarial –por ejemplo- que se mejoran o se pueden mejorar (las oportunidades, en la empresa como en la vida, no basta con detectarlas, sino que hay que saber aprovecharlas) al realizar –también por ejemplo- un análisis de los flujos de datos que se producen en la empresa, como la eliminación de procesos que originan duplicidades de tratamientos o exigen mayores esfuerzos o recursos en la forma en que se están realizando, u otros… Y otra de esas ventajas colaterales, puede ser la que les voy a contar hoy.

Recientemente he trabajado con una empresa (de las de aquí de mi pueblo, pequeñita, vamos, de las que no van a necesitar implementar un DPO cuando se apruebe el reglamento europeo… para que nos entendamos) en la adaptación de sus procesos empresariales para el cumplimiento de la normativa en protección de datos. Opera en el sector comercial, y depende totalmente de “LA GRAN EMPRESA”, una multinacional que, bajo un contrato de agencia, provee (es una forma coloquial de hablar, puesto que no le transmite la propiedad) del producto principal que mi cliente comercializa en su establecimiento. Pero no sólo eso, sino que además de ese contrato de agencia, mantiene, también con “LA GRAN EMPRESA”, otro contrato, este  de franquicia, por el cual, mi cliente, también comercializa otros productos y/o servicios suministrados por “LA GRAN EMPRESA” en el mismo establecimiento, pero como digo, en este caso, bajo una relación mercantil de franquicia.

El primer problema con el que me encontré[i] es que, al analizar los flujos de datos personales que se producen en la actividad, y al examinar y contrastar el análisis anterior con el contrato de agencia y dentro del análisis de documentación aportada por mi cliente, en su clausulado me encuentro lo siguiente:

“La información y datos contenidos en los ficheros son de exclusiva titularidad de LA GRAN EMPRESA, como responsable de los ficheros, y tienen carácter personal y confidencial y, consecuentemente, de acuerdo con los artículos 9 y 12 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, el TITULAR, únicamente, tratará los datos conforme a las instrucciones de LA GRAN EMPRESA, no podrá aplicarlos o utilizarlos con fines distintos a los del objeto del presente Contrato, ni comunicarlos, bajo ningún concepto, ni siquiera para su conservación a otras personas.

El TITULAR –se refiere a mi cliente- adoptará las medidas de índole técnica y organizativa necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o, acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. Asimismo se compromete a no registrar datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a la de los centros de tratamiento, locales, equipos, sistemas y programas.

(…)

Es decir, el TITULAR es un encargado de tratamiento (nótese referencia al art.12) y por esto, el responsable (al igual que la propia normativa), le impone que adopte las oportunas medidas de seguridad. Hasta aquí, nada nuevo bajo el sol.

Pues bien, a cumplir se ha dicho… En relación a tratamientos no automatizados, mi cliente puede adoptar (y adoptó)  cuantas medidas organizativas y técnicas son precisas para cumplir lo establecido reglamentariamente, pero a la hora de hablar de medidas que afectan a tratamientos automatizados, se encuentra con que no puede hacerlo; me explicaré: mi cliente, como ya he dicho, mantiene otro contrato, este de franquicia, con otra sociedad del grupo de LA GRAN EMPRESA, por el cual, mi cliente recibe en cesión de uso el mobiliario, enseres, EQUIPOS INFORMÁTICOS y APLICACIONES para la gestión, tanto de la tienda, como de todas las ventas de productos que se realicen en el establecimiento (así reza en el contrato de franquicia), o sea, tanto de las que se venden dentro de la relación de franquiciado, pero también las que se intermedian como agente.

En este mismo contrato, se establece que, el servicio de parametrización y mantenimiento de los equipos y aplicaciones cedidos es prestado por la franquiciadora (que ocupa –en mi opinión, y en relación al contrato de agencia- una posición de “subencargado de tratamiento” por prestar un servicio a mi cliente para que él pueda realizar los tratamientos por cuenta de LA GRAN EMPRESA en relación a ese contrato de agencia).

Entre las medidas de seguridad que mi cliente debería adoptar en función de la naturaleza de los datos y de los riesgos a los que están expuestos, en relación a los tratamientos automatizados que por cuenta de LA GRAN EMPRESA lleva a cabo, estarían la adopción de sistemas de autenticación de usuarios (por ejemplo de contraseñas de acceso), disponer de tantos usuarios del aplicativo como personas en el establecimiento acceden al mismo (y no uno por establecimiento, como ocurre actualmente), de poder variar con una periodicidad recomendable dichos mecanismos de autenticación (al menos una vez al año, y no como ahora, que no se cambia ni se ha cambiado nunca) o de poder definir, por ejemplo, que quiere realizar una copia de seguridad en una unidad extraíble cifrada para poder guardarla custodiada en un lugar diferente de aquél en el que están los equipos. Pero todas estas medidas, no puede adoptarlas si no lo hace por él la franquiciadora de LA GRAN EMPRESA, que es la única que tiene el control oportuno y privilegios para ello en SU sistema (cuyo uso cede, eso sí, al franquiciado, pero con privilegios de “mero usuario”). Por tanto, mi cliente “se ve obligado” a adoptar unas medidas que sólo la fanquiciadora (del grupo empresarial) puede implementar y que hasta el día de hoy, no ha implementado.

Y para colmo de mis males (o mejor dicho, de los males de mi cliente), el contrato de agencia se cierra con una velada amenaza de posibilidad de rescisión del mismo si se incumplen las obligaciones impuestas. Textualmente cito:

“La eventual vulneración por el TITULAR de los compromisos anteriores, será causa de extinción automática del presente Contrato, y tendrá también entre otras consecuencias, la imposición de una indemnización que permita compensar todos los daños y perjuicios ocasionados a LA GRAN EMPRESA a causa del antedicho incumplimiento, siendo considerado el TITULAR asimismo responsable de las infracciones en que hubiera incurrido”

O sea que el incumplimiento de estas imposiciones, puede ocasionar la extinción del propio contrato de agencia, amén de poder repercutirle los daños y perjuicios que se pudieran producir (y justificar, entiendo y añado yo).

Termina de leer el artículo original aquí

Fuente: Privacidad Lógica