Hola de nuevo!
Tras experimentar con la historia de Paco, aquel mecánico que acabó siendo un pseudo-modelo para la web del viejo taller de su ex-jefe, y cuya historia podéis leer aquí , me apetece retomar mi vena creativa esta semana contándoos la historia de Ana y Sergio. Este post nace de la conversación absolutamente interesante y enriquecedora que tuve en twitter con una profesional del medio: Marina Brocca, en la que coincidíamos en la necesidad de concienciar sobre LOPD y privacidad hablando claro y "a calzón quitado", como ella misma dice. Os recomiendo encarecidamente darle follow inmediato en twitter; es tan encantadora como gran profesional y encontraréis cosas muy interesantes en sus tweets. Como siempre digo, este blog pretende ser una herramienta de concienciación y acercamiento a la normativa de protección de datos desde un punto de vista amable y sencillo de entender para todo el mundo, por lo que igual, con estas historias un poco raras, me es más fácil explicarme y conseguir que cualquier posible lector cierre la pestaña de este blog entendiendo algunos aspectos de la LOPD. Si consigo esto, os aseguro que estaré re-feliz!
Y ahora, vamos con la historia..
Os presento a Ana. Ana acaba de terminar sus estudios de Psicología y, tras muchos fines de semana trabajando en una conocida cadena de comida rápida, ha conseguido reunir el dinero suficiente para montar su propio gabinete psicológico. Ana tiene a su asesor de confianza que es el que le ha tramitado tanto el alta en la Seguridad Social como el alta en Hacienda e, incluso, le ha redactado el contrato de alquiler del local que ha elegido para su negocio, un local chiquitín con dos estancias: un despacho personal (con puerta con llave) en el que guardará los expedientes de sus pacientes, y la sala en la que pasará las consultas, donde sólo pondrá un diván, unas plantas para darle algo de alegría y unos cuadros. Ana cree que el dinero que ha pagado a su asesor está justificadísimo para evitar problemas con Hacienda y con la Seguridad Social, por lo que ya de inicio contaba con este gasto extra y no le ha importado pagarlo. Además, ha conseguido ahorrar bastante dinero comprando los modernos muebles para la consulta en una conocida tienda bastante barata. Lo primero que compró fue un tablón de corcho para colgarlo en la pared del despacho para organizar sus citas y un cuaderno para tomar notas durante las sesiones con sus pacientes. El asesor le comenta que tienen un servicio de LOPD que le recomienda contratar, ya que está obligada por Ley a cumplir la normativa sobre protección de datos. Ana agradece la recomendación pero la declina amablemente, ya que ya se ha gastado demasiado dinero en trámites administrativos y no cree que vaya a pasar nada por no cumplir la normativa; ninguno de sus compañeros de la carrera que tienen también consulta la cumplen y no ha pasado nada nunca, así que "relax y take it easy".
A los pocos meses, Ana ya tiene un buen número de pacientes y le va genial, pero no tiene tiempo para limpiar la consulta y el despacho, tarea que hasta ahora había hecho ella misma. Ha pensado en contratar a Sergio, un chico que está terminando sus estudios y que se saca unas pelillas limpiando la consulta de una antigua compañera de Universidad de Ana. Esta compañera es la que se lo ha recomendado a Ana, ya que, al parecer,es todo un experto en dejar la consulta como los chorros del oro. Tras ofrecerle el puesto, llama a su asesor para tramitar el contrato laboral y así proceden. El asesor le vuelve a recomendar que consulte con un profesional y se adapte a la normativa de protección de datos, pero Ana vuelve a negarse ya que no ha tenido ningún problema hasta ahora. Sergio empieza a trabajar esa misma semana; irá los viernes de 4 a 5, que es cuando hay menos pacientes y podrá realizar mejor su trabajo. Ana, mientras él limpia, estará en el despacho que hay junto a la sala de consultas, repasando los casos de la semana siguiente.
Mientras Sergio limpia, Ana le dice que tiene que salir a hacer unos recados, pero que no tardará en volver. Sergio le dice que aprovechará para pasar la aspiradora en el despacho y Ana le deja la llave. Mientras está en sus quehaceres, algo le llama la atención en el tablón del despacho de Ana: ve que el próximo jueves Ana tiene una cita con Javier XXXX, un chico al que Sergio conoce del barrio y con el que discutió hace poco por un tema de dinero. Por lo que dice en el tablón, Javier tiene problemas de ansiedad. Sergio ve que en el escritorio del despacho de Ana está el cuaderno en el que la psicóloga hace sus anotaciones durante las consultas y le entra la curiosidad tras lo visto en el tablón de Ana, así que lo abre y busca el nombre de Javier. Tras leer las anotaciones de Ana en el cuaderno, decide hacer unas fotocopias de las anotaciones sobre Javier y se las guarda en su mochila. Aprovecha también, mientras recoge los bártulos, para hacer una foto con el móvil de las anotaciones del tablón del despacho. En ese momento Ana vuelve de hacer sus recados y Sergio le informa de que ha terminado su trabajo y se va para casa. Sergio le da la llave del despacho y se despiden hasta la semana siguiente.
A las pocas semanas, Ana, mientras navega por internet, se mete en un foro en el que los vecinos del barrio comparten planes y noticias y ve que, en uno de los hilos del mismo, hay una entrada en la que pone: INFO SOBRE JAVIER XXXX . Reconoce el nombre de su paciente y decide entrar en el hilo. Lo que ve, le deja con la boca abierta: Hay una foto colgada de su tablón, en el que viene las citas que tenía programadas con este paciente y con otros para el próximo mes y, además, un archivo con las anotaciones del cuaderno que ha hecho durante las sesiones con Javier. Ana sospecha que ha sido Sergio, ya que nadie más ha tenido acceso a su despacho (que cierra con llave siempre que ella no está dentro).
Ana llama de inmediato a su asesor y le cuenta lo sucedido muy nerviosa. El asesor le recuerda que le avisó sobre la necesidad de adaptarse a la normativa LOPD pero que ella se negó. El asesor le pasa la llamada al abogado LOPD con el que trabajan, que se pone al teléfono. Ana le cuenta lo sucedido y el abogado LOPD se lleva las manos a la cabeza. Aparte de detectar que no tiene nada preparado en torno a la normativa, le avisa de que es posible que reciba noticias de la AEPD y que no será una felicitación de Navidad, precisamente. Ana, que hasta ahora no ha tenido problemas, cree que bastantes cosas tendrá la AEPD como para ocuparse de ella y decide no tomar ninguna medida para adaptarse a la LOPD; ni siquiera despedirá a Sergio para evitar "ruido" . Cuelga el teléfono y retoma las citas con sus pacientes. Al día siguiente aparece Javier muy enfadado y le avisa de que ha visto sus datos en un foro de internet y va a ir a la AEPD; además, le dice que no piensa volver a sus sesiones con ella y que va a correr el rumor de que no es buena psicóloga y que regala los datos de sus pacientes. Ana no le da importancia y vuelve a pensar que la AEPD no va a perder el tiempo con ella teniendo otras cosas más importantes que hacer, pero a los pocos días, todo cambia..
Ana tiene una mañana horrible, recibe unas 20 llamadas de pacientes que le cancelan las sesiones y le dicen que no quiere que les trate más y, además, recibe una visita inesperada que no viene, precisamente, a tener una sesión con ella. Tras la visita, Ana llama a su asesor y le pide que le ponga con el abogado LOPD. La visita le ha dicho que seguramente abran procedimiento sancionador contra ella y que ha vulnerado no sabe cuántos artículos de la LOPD. El abogado LOPD le dice que acaba antes si le dice los artículos que no ha vulnerado; pero se para específicamente en la parte que ha "levantado la manta". Le recuerda que, si hubiera hecho caso a su asesor cuando le avisó por segunda vez de que se adaptara a la normativa, habría sabido que al contratar a Sergio debió haberle trasladado, tal y como impone el art.83 del Reglamento de la LOPD: "la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio". Además, como Responsable del Fichero debería "haber adoptado las medidas adecuadas para limitar el acceso del personal a datos personales, a los soportes que los contengan o a los recursos del sistema de información, para la realización de trabajos que no impliquen el tratamiento de datos personales" (vamos, que no debió dejarle entrar en el despacho o bien, de hacerlo, debió haber quitado antes la info del tablón y el cuaderno de anotaciones y haberse asegurado de que Sergio no podía acceder a ellos metiéndolos, quizás, en un armario bajo llave que estuviera bajo su exclusiva custodia). Esto de inicio y fijándonos sólo en lo que originó la visita inesperada, pero si encima le añadimos aspectos como que ni tenía ficheros declarados, o que ni había aplicado las medidas de seguridad de nivel alto que probablemente son las correspondientes a la información que trata.. ¡Imaginad cómo acaba el cuento!
Y encima, por si fuera poco, tiene que enfrentarse a que, debido probablemente a la "mala publicidad" que le ha hecho Javier de lo sucedido, ha perdido muchísimos clientes, por lo que no sabe si podrá mantener la consulta abierta con los pocos que han quedado dispuestos a seguir su tratamiento con ella (seguramente porque el "boca a boca" no haya llegado de momento a sus oídos).
Y todo esto podría haberse evitado si hubiera reservado parte del dinero que ahorró con los muebles en adaptarse a la normativa; o igual podría haber contado con que, aparte del dinero con el que contaba para pagar a un asesor que le hiciera los trámites con Hacienda, la Seguridad Social y demás, debería haber reservado cierta parte a asesorarse con un profesional y haber empezado "la casa por los cimientos" (desde el momento 0) y no "por el tejado" (cuando ya tiene el problema).
Y hasta aquí llega el post de hoy; espero que os haya gustado y que lo hayáis encontrado interesante. Gracias por pasar este rato conmigo. ;-)
Saludos y hasta la próxima!
Ahora que estamos todos locos por ser punteros en el uso de apps y en tener la web más bonita, es bueno recordar que la comodidad no puede ser sinónimo de dejadez o irresponsabilidad.
Cuando nos olvidamos de ser Responsables (con la doble vertiente que he señalado), pasan cosas como que bajamos una aplicación para gestionar la webcam que hemos colocado en nuestro negocio sin darnos cuenta de que los servidores están, por ejemplo, en medio de la sabana africana, y estamos enviando imágenes de terceros a un terreno desconocido sin tomar ninguna medida para proteger a los pobres que salgan en las imágenes o a nosotros mismos. Y estamos dejando de ser responsables (según la primera vertiente), pero, a la vez, estamos ganando puntos para ser responsables (según la segunda vertiente). Es como si el #iurisobri deja sus juguetes en el portal y luego se pregunta que por qué han desaparecido, solo que en el caso del Responsable Irresponsable, su omisión está afectando a la privacidad de otros y, si esas imágenes que ha "malguardado" aparecen en la red de redes, podría enfrentarse a problemas más serios. 
Y hasta aquí llegó mi privilegiada charla sobre protección de datos con los Reyes Magos de Oriente. Espero que la hayáis encontrado interesante y sirva para concienciarnos un poco más sobre la importancia de nuestros datos personales. Un saludo a todos y 
