Como dijo un paisano nuestro en un medio de comunicación, en dos palabras, im-presionante. Este es el calificativo que emplearía para referirme al artículo que se podía leer en la edición de Expansión del martes 26 de abril de 2011 con el titular “Los registros se aseguran ante las multas de protección de datos”. (Por cierto en la edición digital de orbyt de Expansión que está francamente bien).
Si analizamos en detalle el contenido del artículo resulta que el Colegio de Registradores de España ha suscrito una póliza de seguros para cubrir las multas impuestas por la Agencia de Protección de Datos por reclamaciones que les puedan presentar derivadas de incumplimientos de la Ley Orgánica de Protección de Datos y del Reglamento que la desarrolla con un tope de 5 millones de euros anuales, una franquicia de 5.000 euros y un límite superior de 600.000 euros por siniestro y ojo, según se puede leer literalmente en el artículo “La póliza garantiza las consecuencias de actuaciones negligentes, errores u omisiones cometidas en el curso de la actividad profesional y que den lugar a actuaciones por posible incumplimiento de la Ley de Protección de Datos”.
Vamos, que analizado el caso, resulta más barato pagar el correspondiente seguro que implantar las medidas necesarias que posibiliten el cumplimiento de la ley y garanticen, de paso, un “pequeño detalle”, la cobertura de un derecho fundamental de los ciudadanos como es el cuidado de sus datos de carácter personal.
No soy abogado y no sé si este tipo de conductas es o no lícito. En el mismo artículo podemos leer opiniones contrapuestas de dos abogados expertos en la materia. Desde luego no es muy tranquilizador para un ciudadano ver cómo instituciones como “El Colegio de Registradores de España” (entiendo que ilustre) se quedan tan “panchos” declarando que han asegurado un riesgo porque entiende que hay una probabilidad determinada de que “incumplan” una ley que garantiza un derecho fundamental, refiriéndose a este tipo de incidentes como un siniestro. ¿Siniestro? No se trata de siniestros, puede haber fallos de seguridad o accidentes, en cuyo caso no tengo nada que decir al respecto, pero de lo que se está hablando aquí no es de eso. En muchos casos parece que resulte más fácil pagar el seguro que aplicar las medidas de seguridad que exige la ley. ¿Creen ustedes que esto es serio?
Es cierto que cuando se trata de gestionar los riesgos de una organización, en función del tipo de riesgo, debemos definir una estrategia para mitigarlo, para lo cual nos encontramos con cuatro alternativas:
- Asumir el riesgo: La organización acepta el riesgo y sigue operando de la misma forma. Únicamente es recomendable si el riesgo calculado es bajo o muy bajo.
- Eliminar el riesgo. Eliminación de la causa o consecuencia del riesgo. No siempre es factible.
- Reducir el riesgo. Implantación de controles técnicos u organizativos necesarios que mitiguen los niveles de vulnerabilidad o los impactos asociados, dejando un riesgo residual que la organización asuma.
- Transferir el riesgo. Compensación, en caso de que se materialicen los riesgos, a través por ejemplo de Aseguradoras. También podríamos considerar en esta categoría la transferencias del riesgo a través de la subcontratación de determinadas actividades.
Es posible que en algunos casos no se pueda optar por hacer desaparecer el riesgo totalmente porque, por decirlo de una forma coloquial, “resulta más caro el collar que el perro”. Asumiremos, en este caso, un riesgo residual después de haber hecho todo lo posible. El problema es que “hacer lo posible” en materia de protección de datos exige un trabajo de fondo, bien hecho, por parte de profesionales y, a veces, parece que resulta más interesante, o sencillo, atacar la “consecuencia” o resolver el incidente, en este caso la sanción ante una posible denuncia, que impedir que se produzca trabajando en el terreno de la “causa”.
¿Asistiremos al nacimiento de otro tipo de pólizas de seguros que cubran otros incumplimientos de leyes? ¿Será la solución al desarrollo legislativo en esta y otras materias el desarrollo en paralelo de pólizas de seguro específicas que cubran estos riesgos? ¿Dónde está el límite de este tipo de actuaciones? Creo que es una cuestión interesante que requiere tanto un análisis legal como un análisis ético por parte de la sociedad y desde luego creo que los ciudadanos tenemos derecho a saber las entidades que se están asegurando para dar cobertura a incumplimientos de las leyes que nos protegen porque esto, sea o no legal, dice mucho en cuanto al “cuidado” que van a tener con nuestras cosas.