Etiqueta: legislación

bookmark_borderJornada en el Instituto de Empresa

Posted on by Félix J. Haro

CRSIEsta mañana he estado en la Jornada Final de la Primera Edición de la Cátedra de Riesgos en Sistemas de Información del Instituto de Empresa. Han sido presentados los resultados de los estudios que se han realizado por su Director, Fernando Aparicio, y también han intervenido el Director de la AEPD, Artemi Rallo; Pablo Pérez, Gerente del Observatorio de Seguridad de la Información (INTECO), y cómo no, D. Jesús Rubí Navarrete, Adjunto al Director, y María José Blanco, Subdirectora Gral. del Registro de la AEPD.

El Director de la AEPD ha expuesto sucintamente los objetivos del nuevo reglamento, haciendo hincapié en que “no crea nada nuevo” y que tiene algunas novedades relevantes (consentimiento de los menores, medidas de seguridad de los ficheros no automatizados… etc.). Muy interesante su afirmación de que “a un autónomo o a una Pyme, adaptarse a la LOPD no debiera costarle ni un euro”(sic), ya que con la información que ofrece la página web de la Agencia… pues bueno, es suficiente. Si se hubiera quedado al turno final de preguntas de casi dos horas seguro que cambiaría de opinión. Hace un año, con ocasión de esta Jornada, afirmé que la mayoría de las cuestiones de los asistentes no hicieron más que demostrar la ignorancia en la que se mueven las empresas españolas, e incluso supuestos expertos que se dedican a asesorar en la materia. Y lo sigo manteniendo.

Fernando Aparicio ha resumido los resultados de un estudio realizado entre más de mil empresas. De entre las conclusiones, destacó el escaso interés por parte de las direcciones generales de las empresas en cuanto a la seguridad de la información, y las prioridades que tienen las empresas, que son fundamentalmente el cumplimiento legal y la implantación de medidas técnicas de seguridad. La falta de organización y una clara definición de responsabilidades internas también destacaba como problema, así como la no realización de las auditorías pertinentes y el desconocimiento de las diferentes metodologías, herramientas y aplicaciones prácticas de la seguridad de la información.

Pablo Pérez mostró el estado real de las Pymes españolas, que realmente es desolador. Aquí sí que bajamos a la más absoluta despreocupación en la materia. Y teniendo en cuenta que suponen más del 98% del tejido empresarial, y que son el motor de la economía…

El turno de preguntas no merece mayor comentario: más de lo mismo. Jesús Rubí y Mª José Blanco dando clases de fundamentos de protección de datos.

Las presentaciones estarán disponibles en la página de la Cátedra en breve.

bookmark_borderEl Dictamen del Consejo de Estado

Posted on by Félix J. Haro

basuraTres días faltan para que haga un mes desde que el Consejo de Ministros aprobara el Real Decreto que desarrolla la LOPD, y seguimos sin noticias del B.O.E.

Mientras lo publican, recomiendo la tranquila lectura del Dictamen del Consejo de Estado sobre el Proyecto, aprobado el 15 de noviembre de 2007, porque lo cierto es que no tiene desperdicio alguno. Ni más ni menos que afirma que el proyecto de Real Decreto sometido a consulta presenta diversas deficiencias desde la perspectiva de la técnica normativa, y recomienda realizar una revisión general del texto, pues se han observado distintas deficiencias en la redacción del reglamento.

¿Verdad que promete? Estoy deseando ver cómo lo han dejado, que no es para fiarse.

Insisto en que quien tenga tiempo se lea el Dictamen, que es muy interesante. Para muestra, el siguiente párrafo:

… se entiende por este Consejo de Estado que el Proyecto sometido a consulta debe extremar las cautelas a la hora de reproducir preceptos de la LOPD que, por razones de sistemática o claridad expositiva o de regulación de la materia, se considera preciso incorporar al mismo, pues, como se ha expuesto, el artículo 149.1.1. de la Constitución – único fundamento explicitado de la reglamentación proyectada – no puede considerarse cobertura ad hoc de las normas de la LOPD reproducidas, en la medida en que el ámbito de la mayoría de éstas (desarrollo del derecho fundamental) es distinto del plano en el que se insertan las normas que integran la reglamentación proyectada y no son mera reproducción de aquellas (establecimiento de condiciones básicas)

Hasta se luce en recordar que

… la fijación de los límites de un derecho fundamental (…) no es un lugar idóneo para la colaboración entre la Ley y las normas infralegales (fundamento jurídico 11º), y de producirse, debe quedar reducida a los casos en que, por exigencias prácticas, las regulaciones infralegales sean las idóneas para fijar aspectos de carácter secundario y auxiliar de la regulación legal del ejercicio de los derechos fundamentales, siempre con sujeción, claro está, a la ley pertinente (STC 83/1984, de 24 de julio, 137/1986, de 6 de noviembre, 254/1994, de 15 de septiembre)

El Reglamento establece limitaciones más allá de lo permitido por la Ley, utiliza términos que no son adecuados, usa definiciones que exceden lo previsto por la LOPD, tiene previsiones superfluas… y bastantes cositas más.

No menciona nada sin embargo sobre la nueva regulación del consentimiento, que estoy seguro de que traerá bastante cola. De hecho, he recibido un correo electrónico de un despacho de abogados del que ni había oído hablar donde se me concedía treinta días para oponerme a recibir su “Newsletter” amparándose en este Reglamento aún no publicado. De lo contrario me la seguirán enviando. Juzguen semejante barbaridad, y verán que se aproximan tiempos de mucha risa para todos.