El delegado de protección de datos, en el punto de mira

A partir de mayo, ciertas empresas están obligadas a nombrar un delegado de protección de datos. Hay bastantes comentarios hechos ya por internet con sus funciones, el problema de su independencia, formación y un largo etcétera. Pero no he visto ningún comentario relativo a la exposición pública a la que se van a ver sometidos los individuos que ocupen esta posición.

Tanto los responsables como los encargados tienen que publicar los datos de contacto de este sujeto, tal y como se dice en el artículo 37.7 del Reglamento:

El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control

Además hay que comunicárselos a la autoridad de control. En nuestro caso, a la Agencia Española de Protección de Datos.

El proyecto de Ley Orgánica de protección de datos dice en el apartado IV de su exposición de motivos que “La designación del delegado de protección de datos ha de comunicarse a la autoridad de protección de datos competente. La Agencia Española de Protección de Datos mantendrá una relación pública y actualizada de los delegados de protección de datos, accesible por cualquier persona. Y así lo establece en el punto 4 de su artículo 34:

La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos mantendrán, en el ámbito de sus respectivas competencias, una lista actualizada de delegados de protección de datos que será accesible por medios electrónicos.

No cabe duda de que es un buen ejercicio de transparencia, a primera vista suena muy bien esto de conocer al sujeto que es el responsable del sistema de protección de datos que tiene en marcha una empresa.

Ahora enlacemos esta bondad del nuevo sistema con la también transparente publicación de las resoluciones sancionadoras por parte de la Agencia Española de Protección de Datos. Como resultado, nuestro afortunado delegado se verá expuesta su competencia o incompetencia profesional ante la opinión pública cuando la empresa en la que desempeña sus funciones sea sancionada.

Cuando este sistema lleve funcionando un tiempo, cualquier departamento de recursos humanos tendrá un elemento más de juicio sobre la eficacia profesional de estos individuos solo con mirar en una página web.

Sí, ya sé que soy muy retorcido; ya sé que hay sanciones que no serán atribuibles directamente al mal ejercicio de la profesión, y que juegan muchas circunstancias… Pero es una situación que se va a presentar,  y creo que debiéramos reflexionar sobre ella.

Por cierto, ¿dónde se dice en el Reglamento que la autoridad de control tenga que publicar los datos del delegado de protección de datos? Porque solo menciona los datos de contacto, que no tienen por qué ser los datos personales del delegado… ¿No está yendo el legislador más allá de lo que toca?

Nuevas pistas

NewClues

Hace un año y medio que sigo el blog de Doc Searls. El post por el que llegué a él fue “Thoughts on privacy“, donde hace una exposición bastante interesante del estado de lo que llamamos privacidad. Doc es un conocido periodista, miembro del “Center for Information Technology and Society” de la Universidad de California. Su obra más conocida es el Manifiesto Cluetrain (1999), donde con otros autores hizo una descripción sobre qué era Internet entonces, y cómo evolucionaría, habiendo acertado en la mayoría de sus planteamientos.

Este mes ha publicado una revisión del Manifiesto. La ha llamado “New Clues”. Mucho más corta, ya que tiene 121 sentencias agrupadas en temáticas, se ocupa de hacer un repaso de los diferentes problemas a los que se en enfrenta la Red, y a proponer soluciones. De todas ellas, cómo no, una de las que más me ha interesado es la que habla sobre la privacidad:

Privacidad en una era de comadrejas

88. La privacidad personal está bien para quienes la quieren. Y todos trazamos la línea en alguna parte.

89. Pregunta, ¿cuánto tiempo crees que le llevó averiguar a la cultura pre-Web dónde dibujar las líneas? Respuesta, ¿qué edad tiene la cultura?

90. La Web apenas es adolescente. Estamos al principio, no al final, de la historia de la privacidad.

91. Solo podemos averiguar lo que significa ser privado una vez que averigüemos lo que significa ser social. Y apenas hemos comenzado a reinventarlo.

92. Los incentivos económicos y políticos para desnudarse son tan fuertes que sería más inteligente invertir en ropa interior de aluminio.

93. Los hackers nos metieron en esto, y los hackers tendrán que sacarnos.

Hay algún punto fuera de este grupo: “parad de reventar nuestras vidas para extraer datos que no os importan y que malinterpretáis” (58); “personalizar algo es espeluznante, es una señal de que no entendéis lo que significa ser una persona” (61). Para los interesados, no falta otra sobre espionaje y privacidad, donde dibuja las líneas generales en las que se mueven las relaciones de los gobiernos con los ciudadanos.

Doc está convencido de que la solución pasa por la tecnología (92, 93). Pero si la tecnología va a ser la solución a los problemas de privacidad, quien la maneje y disponga de ella tendrá todo en su mano, lo que nos conduce a hacernos la pregunta de siempre, al punto de inicio… qui custodiet custodes ipsos?

CIPM, Certified Information Privacy Manager

La IAPP nos trae una nueva certificación dirigida a profesionales. Con más de una década de experiencia, la asociación ha desarrollado una amplia gama de certificaciones para profesionales de privacidad donde lo primordial es acreditar el conocimiento de normativa y prácticas del sector. Ahora se da un paso más, y es posible examinarse del CIPM (Certified Information Privacy Manager), que permitirá acreditar destrezas para establecer y mantener un programa de cumplimiento de normativa en una organización.

¿Qué utilidad tienen las certificaciones de IAPP? Muchas empresas las han reconocido, y ofrecen puestos de trabajo para profesionales donde se exigen. Esto se ha logrado con la implicación directa de reconocidas empresas que están interesadas en disponer de profesionales cualificados. Algo que, en mi opinión, es impensable en España.

Aquí está el enlace donde se da información sobre la certificación. Y éste es el vídeo promocional, donde también se anuncia la creación del Master en Privacidad de la Información para finales de 2013: