Inteco apunta que el 80,4% de las pymes cumplen la norma de protección de datos

El Instituto Nacional de Tecnologías de la Comunicación (INTECO) acaba de publicar el “Estudio sobre la protección de datos en las empresas españolas” http://observatorio.inteco.es en el que se detecta una mejora de protección de datos en las empresas españolas. Para llevar a cabo este estudio, se ha seguido una doble metodología cuantitativa y cualitativa. Se ha realizado una encuesta en todo el territorio español a 1.109 empresas de menos de 250 empleados, y se ha contado con la colaboración de un grupo de expertos y profesionales pertenecientes al ámbito jurídico, académico, a la Administración y al sector de la seguridad de la información, cuyas aportaciones han sido esenciales para contrastar las opiniones recogidas. El estudio recoge un incremento del conocimiento de la LOPD por parte de las pequeñas y medianas empresas, merced, entre otras cosas a la intensa labor divulgativa de las autoridades de protección de datos y al creciente eco en los medios de comunicación de cuestiones como la privacidad y los derechos de los ciudadanos a la protección de sus datos personales. Mejora la protección de datos en las empresas españolas Un 86,4 por ciento de las empresas españolas conoce la Ley Orgánica de Protección de Datos (LOPD) cifra que contrasta con los datos del año 2008, cuando el porcentaje era de un 34 por ciento. Asimismo, el 80,4 por ciento de las empresas encuestadas manifiesta ser consciente de estar sujetas a la normativa sobre protección de datos. La mayoría de las empresas, especialmente las de mayor tamaño, trabaja habitualmente con ficheros con datos personales. Entre las microempresas (sin asalariados o con menos de 10 empleados) el porcentaje es de 73,4 por ciento, mientras que en el segmento de medianas empresas (de entre 50 y 249 empleados) este porcentaje alcanza al 94,3 por ciento. Los ficheros más frecuentes son los habituales en el tráfico empresarial: clientes (94,5 por ciento) y proveedores (80,2 por ciento). También adquieren cierta relevancia los ficheros de nóminas (42,4 por ciento), los archivos para la Seguridad Social (32,6 por ciento) y los currículos de candidatos (32,1 por ciento). En este punto, el grupo de expertos consultados matiza los datos proporcionados por las empresas. Consideran que la lógica empresarial actual haría razonable pensar que toda empresa trabaja, en mayor o menor medida, con datos personales. El hecho de que las empresas consultadas no lo reconozcan así puede ser debido a que estos ficheros sean manejados por asesores fiscales o laborales, que actuarían como encargados del tratamiento. Cumplimiento de las obligaciones de la LOPD La mitad de las empresas españolas manifiesta cumplir con todas las obligaciones que contempla la normativa sobre protección de datos. No obstante, el grupo de expertos considera que el nivel de cumplimiento real de la LOPD es, en la mayoría de los casos, inferior al manifestado por las empresas participantes en la encuesta. En concreto, el 57,5 por ciento de las empresas españolas con ficheros con datos de carácter personal afirma haber realizado la inscripción de los mismos en el Registro General de Protección de Datos. No obstante, teniendo en cuenta el número de entidades de titularidad privada que han registrado ficheros ante la AEPD, se estima que tan solo un 31,8 por ciento de las empresas españolas habría inscrito sus ficheros en la Agencia Española de Protección de Datos. En cualquier caso, se aprecia una mejora importante en el grado de cumplimiento de esta obligación. En 2008, aunque también se apuntaba un desfase entre lo declarado en encuesta y el dato real obtenido en el Registro – frente al 30,3% de las empresas que afirmaba haber inscrito sus ficheros en la AEPD, solo un 16% lo había hecho realmente – este porcentaje, como se observa, era mucho menor. La percepción de la empresa española en cuanto al cumplimiento normativo es optimista: un 72,7 por ciento declara cumplir con el deber de información, un 70,6 por ciento afirma solicitar el consentimiento del interesado, y un 51 por ciento manifiesta adoptar procedimientos para facilitar y garantizar el ejercicio de los derechos ARCO. Los datos de adopción real podrían ser inferiores a los datos declarados en la encuesta. Así, los expertos participantes en el estudio mencionan que las empresas tienden a sobre-declarar su nivel de cumplimiento normativo. Del análisis global de las respuestas obtenidas se evidencia un cierto grado de desconocimiento de las obligaciones reales que tienen las empresas con respecto a la LOPD, que puede hacer que juzguen equivocadamente su grado de cumplimiento. Medidas de seguridad para la protección de datos La percepción de adopción de las medidas de seguridad previstas en el Reglamento de Desarrollo de la LOPD es irregular entre las empresas españolas. Así, coexisten medidas que han sido implantadas de manera generalizada (por ejemplo, el control de acceso a los datos de carácter personal), con otras adoptadas por una minoría de empresas (creación de un registro de incidencias o establecimiento de un protocolo de destrucción de ficheros, por ejemplo). Un 56,9 por ciento de las pequeñas y medianas empresas españolas con ficheros con datos personales manifiesta disponer de un Documento de Seguridad. Además, el 48,6 por ciento de las empresas manifiesta haber organizado sesiones de formación específica sobre protección de datos personales. Otros datos importantes en este capítulo son: el 65,4 por ciento de las empresas españolas manifiesta disponer de un sistema de identificación de los usuarios con acceso a los datos de carácter personal; el 77,2 por ciento afirma haber establecido un sistema de contraseñas para el acceso a los equipos y aplicaciones, el 53,9 por ciento declara disponer de un inventario de todos los soportes, electrónicos y en papel, que contienen datos de carácter personal; y un 61,8 por ciento realiza copias de respaldo con periodicidad semanal. Por el contrario, resulta infrecuente el establecimiento de protocolos de actuación para la destrucción de ficheros; declarado solo por el 37 por ciento de las empresas españolas. También en este caso, los expertos recomiendan cautela a la hora de interpretar los datos, y refieren que el nivel de adopción real de medidas de seguridad es, probablemente, inferior al que declaran las empresas encuestadas. Recomendaciones desde Inteco El análisis concluye con una serie de recomendaciones que buscan aumentar tanto el conocimiento como el cumplimiento normativo en materia de protección de datos por parte de las empresas en España. Entre las propuestas en materia de concienciación y formación: incrementar la intensidad de las acciones de sensibilización, abordar la concienciación desde un enfoque didáctico, no impositivo; adecuar el lenguaje técnico de las disposiciones normativas a una terminología más cercana a las empresas; así como poner en valor el papel de la AEPD. Del mismo modo, como propuestas en materia de diagnóstico e información se plantea: realizar un diagnóstico periódico del tratamiento y la seguridad de los datos de carácter personal en las empresas; y elaborar un sistema de medición y seguimiento de indicadores sobre el estado de la protección de datos en las empresas. Finalmente, en relación al proceso de adecuación y la gestión del tratamiento se propone: facilitar el proceso de adaptación, ofreciendo pautas y herramientas, y asesorar a las empresas con mayores dificultades; establecer requisitos y exigencias acordes al tamaño de la empresa y su actividad; poner mayor énfasis en los aspectos más relevantes, rebajando las exigencias de carácter formal; contar con el apoyo de un tercero en el proceso de adecuación y tratamiento; favorecer la autorregulación de las empresas prescriptoras y facilitadoras; y finalmente, establecer un sello ad hoc para las empresas cumplidoras con la LOPD e impulsar la certificación de la seguridad de la información y confianza digital. Fuente: Leonoticias Fecha: 09/10/2012