Nace Evalúa. La herramienta de la AEPD para evaluación del grado de cumplimiento LOPD
Esta mañana, en el marco de la celebración del Día Europeo de Protección de Datos, la AEPD ha presentado una herramienta accesible desde su página web para que las empresas y autónomos puedan evaluar el nivel de cumplimiento actual de la normativa vigente en protección de datos que tienen en sus procesos de tratamiento de datos.
El programa se llama Evalúa y, en el test básico de cumplimiento, guía al usuario por una serie de encuestas acerca de los procedimientos que ha utilizado para el recabo de datos personales, la forma en que se informa a los interesados, qué se hace con los datos una vez dejan de ser útiles, forma de ejercicio de los derechos ARCO, cesiones de datos a terceros, medidas de seguridad y demás requisitos de la LOPD.
Al finalizar el Programa genera un Informe en Pdf con la información que estima conveniente que el usuario debe conocer en función de las respuestas emitidas. No tengo claro aún si el informe es igual para todos los usuarios ya que me parece que toca todos los puntos del test, incluso aquellos que he respondido correctamente en la prueba ficticia que he realizado.
La herramienta dispone asimismo de un segundo test que evalúa la corecta implantación de las medidas de seguridad que se exigen en la normativa, desde el Documento de Seguridad, funciones y obligaciones del personal, controles de acceso, registros de incidencias, gestión de soportes, formas de acceso al fichero y así hasta 13 secciones que hacen la cumplimentación bastante larga y tediosa. La AEPD, en su nota de prensa, ya avanza que rellenarlo lleva entre 45 y 60 minutos…
Me parece que tiene un gran valor didáctico la herramienta, pero no creo que muchas de las empresas, en su mayoría PYMES, que aún faltan por adecuar sus procedimientos a la LOPD estén por la labor de completar ambos formularios en su totalidad. Más aún, a pesar de que los completen y reciban el informe generado, la mayoría tendrán que seguir acudiendo a un experto en la materia para adecuar sus procedimiento, ya que, ante tal magnitud de cuestiones, imposible me parece que una empresa conteste correctamente al “examen” planteado y no necesite modificar algo.
Relacionado:
Ley Omnibus y Videovigilancia. Implicaciones LOPD
El pasado 27 de diciembre entró en vigor la Ley 25/2009, conocida como Ley Omnibus, por la cual se modifican 47 leyes estatales de sectores como el de la energía, el transporte, las comunicaciones, la agricultura o la sanidad y liberaliza la prestación de determinadas actividades y servicios.
Esta ley supone la modificación de 116 decretos leyes y normas autonómicas y municipales y elimina 16 regímenes de autorización previa, otros 32 los sustituye por comunicaciones previas, y suprime 111 requisitos. Introduce una Disposición Adicional a la Ley de Seguridad Privada, 23/1992 de 30 de julio, que modifica su artículo 5.1 e), por la cual permite la instalación y mantenimiento de sistemas de videovigilancia por empresas distintas a las de seguridad privada. Así, cualquier empresa o particular podrá “vender, entregar, instalar y mantener equipos técnicos de seguridad” sin necesidad de cumplir las exigencias previstas en la Ley de Seguridad Privada para tales empresas, siempre que dichas instalaciones de videovigilancia no estén conectadas a una central de alarmas, en cuyo caso sí que deben estar realizadas por una empresa autorizada y registrada en el Ministerio del Interior.
En el campo de la protección de datos personales se mantienen las obligaciones del Responsable del Fichero, de informar a los interesados (carteles y hojas informativas), inscribir los ficheros ante la AEPD e implantar las medidas de seguridad en el tratamiento de las imágenes, estipuladas en la Ley Orgánica 15/1999 y, en concreto, en la Instrucción 1/2006 específica sobre videovigilancia. Si bien, lo que no se exige con este cambio de normativa es la comentada necesidad de que la instalación fuera realizada por una empresa autorizada de seguridad si la instalación no está conectada a una central de alarmas.
En mi opinión, esto puede hacer proliferar la instalación de sistemas de videovigilancia sin mayor control que el presumible buen hacer de las empresas instaladoras, lo que puede dar lugar a instalaciones que conculquen ciertos derechos de las personas que sean grabadas por no cumplir con los requisitos mínimos que establece la LOPD en materia de tratamiento de datos por sistemas de videovigilancia.
En la Memoria de 2008 de la AEPD, las reclamaciones relativas a videovigilancia ocuparon el tercer lugar, por detrás de telecomunicaciones y entidades financieras. Consuela, al menos, saber que el primer puesto en el ranking de ficheros inscritos lo ocupaban altas de ficheros de videovigilancia. No es descabellado pensar que a medida que la población vaya conociendo sus derechos en esta materia, el número de reclamaciones y ejercicio de derechos se dispare en los proximos años con motivo del control a posteriori de las instalaciones que se ha de realizar por el ciudadano y la AEPD.
Relacionado:
Áreas de Práctica Abanlex Abogados
Nota: La imagen que ilustra la entrada es un claro ejemplo de cartel que NO cumple los requisitos de la Instrucción 1/2006