Ciclo de vida de la gestión de protección de datos

Alexander Alvaro, Vicepresidente del Parlamento Europeo, y persona bastante influyente en los círculos de protección de datos en Alemania, propone lo que él mismo llama el Ciclo de vida de la gestión de protección de datos (Lifecycle DPM). El documento donde desarrolla este concepto está disponible en su página web, y contiene el siguiente diagrama, que lo resume:

neu-lifecycle300dpimedium

Alvaro considera que la propuesta de Reglamento se ha basado al redactarse en el marco existente de protección de datos, sin aspirar a una modernización en general, sin buscar un concepto congruente y realizable en la práctica. No se ha intentado desarrollar un modelo que permita a los consumidores confiar en los avances tecnológicos ni darles la capacidad de determinar y comprender cómo se tratan sus datos.

Si bien define este concepto más bien como “un mosaico de buenas ideas”, mantiene que es necesario establecer unas reglas estandarizadas que ayudarán a una lógica, fuerte y efectiva ejecución de éstas. Lo más difícil de conseguir, a mi entender, no es ya estandarizar procedimientos, sino lograr lo que Alvaro pretende: que este modelo incentive a las empresas a invertir en protección de datos a través de todo el ciclo de vida del tratamiento de estos datos.

La propuesta no contiene en sí misma muchas novedades respecto de lo que cualquier empresa que esté concienciada en la materia tendrá implementado, sino en la estandarización del modelo. Lo que sí que me resulta rompedor con el sistema europeo es que considere que las autoridades de control dispongan de un derecho a imponer a las empresas auditorías/controles periódicos en lugar de sanciones:

– si la empresa implicada dispone de procedimientos en funcionamiento, y causa un daño imprevisto, no ha de ser sancionada.

– si la empresa sólo tiene los procedimientos, y el daño se ha causado debido a su inaplicación, tampoco debería ser sancionada, sino ser sometida a unos controles periódicos

– y finalmente, en casos flagrantes de incumplimiento, donde ni existan procedimientos, es cuando se deberia sancionar.

Estoy de acuerdo en que los procedimientos u obligaciones en la materia se intenten estandarizar el máximo posible. Eso puede conseguirlo el Reglamento. Sin embargo, creo que no ha de ser el objetivo de las instituciones fomentar el cumplimiento de la norma a través de la relajación, cuando no total eliminación, en el ámbito de las sanciones. ¿No se trataba de un derecho fundamental? Trátenlo como tal. Si no se cumple ya ni con sanciones de por medio, ¿cómo va a cumplirse si además se eliminan? Les toca buscar el término medio, que es donde decía Aristóteles que estaba la virtud.

Deja un comentario

Tu dirección de correo electrónico no será publicada.