Perdieron un documento en un aeropuerto con los datos de unos cuantos pasajeros que habían perdido su equipaje. Recientemente, el Supremo les condenó a pagar 361.208 euros. Otros, en cambio, dejaron al descubierto en su web los datos personales de millones de personas. No pagarán ni un duro.
¿A qué se debe esta diferencia entre un caso y otro? Sencillamente, a que el primero es una empresa privada, Iberia, y el segundo un organismo público, el INEM. La Ley Orgánica de Protección de Datos incluye dos regímenes completamente separados de sanciones, uno para empresas y otro para las administraciones públicas. En el primer caso, puede imponer sanciones de hasta un millón de euros. En el segundo, un tirón de orejas.
La lógica detrás de este doble rasero es el llamado criterio de caja única. Dado que todo el dinero que reciben todas las administraciones viene de un mismo bolsillo, el nuestro, no tiene mucho sentido mover la pasta de un departamento a otro. Mejor que se quede donde está y nos ahorramos los costes de transferirlos, rehacer presupuestos, etc. Suena lógico, y hasta cierto punto lo es. Pero crea un incentivo perverso: mientras que las empresas se han ido poniendo las pilas en cuanto a la protección de sus datos, las administraciones se lo toman con una pachorra que pa qué.
Vean si no el caso del INEM. Tenían noticia desde diciembre de 2008 de un error que permitía obtener los datos de todas las personas que hubieran estado alguna vez apuntadas a las listas del paro. Un error, además, que todo el que sepa un poco de programación web sabe que es debido a un descuido y que cuesta bien poco corregirlo. ¿Hicieron algo? Naturalmente que no. Cuando fueron "condenados" por la Agencia Española de Protección de Datos finalmente movieron un dedo, o dos. Y ya está. No se tienen noticias de que nadie haya perdido su trabajo por esto.
De hecho, ni siquiera políticamente han sufrido daño alguno por esto. Resulta que cuando se emitió la resolución, la misma agencia que mueve Roma con Santiago para informarnos de los más mínimos detalles de las reuniones de su director, Artemi Rallo, con la red social de moteros de Cuenca para asegurarse de que los menores de 14 años no pueden entrar en ella no tuvo a bien sacar una nota de prensa para informar a los periodistas, y a través de ellos a los españoles, del caso más grave de desprotección de datos que ha tenido lugar en España. ¿Por qué? No se consideró noticia, parece ser. Yo por mi parte pienso mal. ¿Y ustedes?
Dado que es un problema de incentivos, no es sólo el INEM el que se toma con cierta tranquilidad este problema, naturalmente. Samuel Parra, el mismo experto que descubrió y denunció el caso, ha criticado la inacción de la DGT ante una reciente "condena" de Protección de Datos. Resulta que la web nos permitiría con cierta facilidad averiguar los puntos que tiene en el carnet cualquier conductor que conozcamos. Basta con tener el NIF y la fecha de expedición del primer carnet, y aún sin saber lo segundo la cosa es relativamente fácil, pues no hay límite de intentos, así que puede probar todas las fechas que estimo oportuno automáticamente. Suponga que es usted una compañía de seguros. ¿Verdad que es una noticia como para frotarse las manos?
Pues bien, el responsable de informática de la DGT, un tal Luis de Eusebio, ha dicho que como hasta ahora no han detectado ningún intento de aprovecharse del sistema, pues que no lo cambian. ¡Y que no lo cambian, oiga! Naturalmente, el mes que viene cobrará íntegro su sueldo, y el que viene, y al otro. De nuestro dinero. Luego habrá quien se pregunte por qué soy liberal.