Derecho informático Derecho nuevas tecnologías


Derecho informático Derecho nuevas tecnologías
Derecho informático Derecho nuevas tecnologías
 Noticias
  • ¿SUBCONTRATACIÓN O NO? LA PROBLEMÁTICA DE LAS PYMES EN EL CUMPLIMIENTO DE LA NORMATIVA VIGENTE EN MATERIA DE PROTECCIÓN DE DATOS [03-04-06]  


    En este artículo se ponen de manifiesto los criterios que las pymes deben tener en cuenta a la hora de acometer un proyecto de adecuación en la materia por sí mismas o por medio de una subcontratación.

    A pesar de los altos porcentajes que aparecen en la estadísticas que se han venido publicando en diversos medios, en relación con el grado de cumplimento por parte de las empresas españolas de la normativa vigente en materia de protección de datos de carácter personal, lo cierto es que cada vez más las empresas españolas realizan trámites con el objeto de cumplir con la legislación en la materia, ahora bien cabe que nos planteemos las siguientes preguntas: ¿qué calidad tienen dichos trámites? ¿realmente las empresas cumplen? Se puede contestar a dichas cuestiones sosteniendo que, con carácter general, el cumplimiento de la normativa (o calidad de los trámites) por parte de las empresas es directamente proporcional a su cuenta de resultados. Este hecho viene motivado fundamentalmente por la escasez de recursos materiales, humanos y/o económicos que tienen las pequeñas empresas, lo que hace que centren todos sus esfuerzos, como por otro lado es lógico, en desarrollar su actividad principal que es la que les permite generar ingresos y mantenerse en el mercado, dejando en un segundo plano otros asuntos, entre los que suele encontrarse el cumplimiento de la normativa de protección de datos.

    Ahora bien tal y como se ha apuntado al inicio del presente artículo cada vez más las “pymes” tratan de cumplir con la normativa vigente para lo cual toman una de las siguientes decisiones, ninguna de las cuales está exenta de riesgos:

    1. Llevar a cabo por ella misma las actuaciones tendentes a garantizar el cumplimento de las exigencias en materia de protección de datos.
    2. Subcontratar el servicio, seleccionando a alguna empresa del elenco existente en el mercado.

    La realización de los trámites tendentes al cumplimiento de la normativa directamente por la empresa viene motivada fundamentalmente por el ahorro que le supone a la misma la no contratación de una consultora especializada. Esta elección trae consigo los riesgos inherentes a la falta de especialización del personal en la realización de trabajos de consultoría en dicha materia. Se debe tener en cuenta que las obligaciones en la materia implican, entre otras cosas, la redacción de cláusulas informativas, redacción de contratos, redacción de políticas y procedimientos de seguridad cuya integración compondrá el documento de seguridad, organización…etc. A esto añadir el coste que le supone a la empresa el tiempo que el personal invierte en la realización de dichos trámites dejando a un lado sus actividades principales sin que se tengan garantías reales de una correcta adecuación. Para paliar estos riesgos se recomienda la externalización de este tipo de servicios, que como se verá tampoco está exenta de riesgos, bien para la realización de una implantación completa de una política de protección de datos, bien para auditar los trabajos y/o trámites realizados por la propia pyme en el caso de que esta haya llevado a cabo las labores de adecuación.

    Como se acaba de poner de manifiesto, la segunda opción, contratar a una empresa especializada, tiene sus riesgos. El criterio de evaluación de la pymes, a la hora de seleccionar a la empresa que les acompañe en el proceso de implantación, suele ser del coste de sus honorarios profesionales, lo que no suele ser acertado en la mayor parte de los casos y habitualmente influye en la calidad de los servicios contratados. Esto se produce porque la pyme en muchos casos desconoce, al ser una materia tan específica, realmente en qué consisten sus obligaciones y por tanto no tiene verdaderos criterios de evaluación de las empresas especializadas recurriendo al del precio, lo que según nuestra experiencia le hará más tarde o más temprano tener que volver a recurrir al mercado haciendo cierta la frase “de que el dinero del pobre va dos veces al mercado”.

    Con el fin de minimizar los riesgos a la hora de externalizar el servicio y seleccionar a una empresa especializada, se recomienda tener en cuenta, como mínimo, los siguientes requisitos:

    - Especialización: empresas que se dediquen única y exclusivamente a la prestación de servicios relacionados con la seguridad de la información o que tengan un departamento especializado en la materia.
    - Referencias contrastables: evaluar la experiencia de la empresa seleccionada para lo cual es necesario contrastar las referencias que aporten, especialmente en el sector de la pyme en cuestión.
    - Experiencia en el sector de la consultoría: unido a los parámetros anteriores es necesario conocer los años que la empresa lleva en el mercado como garantía de su solvencia.
    - Único proveedor: es decir, que cuente con personal especializado en la materia (abogados e informáticos) que permita llevar a cabo una adecuada implantación sin necesidad de llevar a cabo subcontrataciones y/o colaboraciones que aumentan el riesgo de no obtener el resultado pretendido. Para lo cual será preciso la identificación de los actores así como los datos que acrediten su experiencia y buen hacer.
    - Garantías: que el contrato suscrito garantice a la pyme la calidad de los servicios contratados.
    - Responsabilidad: que la empresa especializada asuma contractualmente la responsabilidad que pudiera derivarse como consecuencia de sus actuaciones y/o recomendaciones.

    Por tanto, las pymes deben plantearse a la hora de realizar los trámites tendentes para cumplir con la normativa, si el hecho de no contar con una tercera empresa, para todo el proceso o simplemente para verificar y/o corregir el trabajo desarrollado por la misma, implica realmente un ahorro o es simplemente una solución de carácter temporal. No obstante si se adopta la otra opción, una subcontratación con garantías no debe basarse exclusivamente en el coste de la misma sino que debe llevarse a cabo exigiendo al proveedor una serie de requisitos que acrediten su fiabilidad y buen hacer, de lo contrario las pymes exclusivamente se garantizarían el cumplimiento de la normativa de una forma “moral” pero no “real”, incurriendo en riesgos con el agravante de no ser concientes de ello que podrían derivar en sanciones.

    Jesús Sánchez Echeverría



  • Noticias actuales...
    Archivo de noticias...
  •  
    Gratis Servicio de noticias
    Suscribir Borrado
    Tus Sugerencias son bienvenidas
    Pincha Aquí
    ¡¡Lista de correo!!
    Introduzca su correo: