Profesionales de la privacidad

APEPAprovecho mi comentario anterior, donde hacía referencia al documento del G29 sobre el futuro de la privacidad (WP 168-02356/09/EN), para hacer una pequeña reflexión sobre lo que se está configurando poco a poco como una profesión. Entre las recomendaciones de ese Documento hay en particular algunas dirigidas a las organizaciones respecto de una figura a la que se debería encargar este asuntillo nuestro de la protección de datos. Sí, ya se que da igual, pero es que nos lo están diciendo desde Europa. Y estamos viendo cómo otros países tienen cierta ventaja a pesar de, como dicen algunos conocidos míos, “no tener legislación de privacidad”, o la justa.

Veamos qué dice ese Documento en su página 19:

Inclusión de la protección de datos en las organizaciones

74. (…) Sin embargo, el cumplimiento con las obligaciones legales existentes a menudo no está apropiadamente en las prácticas internas de ls organizaciones. Frecuentemente, la privacidad no está embebida en las tecnologías y sistemas de proceso de la información. Es más, los gestores, incluidos los directores de alto nivel, no son suficientemente conscientes del asunto y sin embargo son activamente responsables de las prácticas de procesamiento de datos en sus propias organizaciones.

75. A no ser que la protección de datos se convierta en parte de los valores y prácticas comunes en una organización,  a menos que las responsabilidades para ello sean expresamente asignadas, el cumplimiento efectivo estará en riesgo y continuará habiendo percances […]

76. Los principios y obligaciones de la Directiva (…) deberían extenderse por la estructura cultural de las organizaciones, a todos los niveles, más que ser vistos como una serie de requerimientos legales del departamento legal. Los requerimientos de la Directiva deberían concretarse en planes de protección de datos que se apliquen en el día a día. Los controles de privacidad debieran integrarse en el diseño de las tecnologías de la información y en los sistemas. Además, en las organizaciones, en el sector público y privado, la responsabilidad interna sobre la protección de datos debiera estar adecuadamente reconocida, reforzada y específicamente asignada.

77. La efectividad de las provisiones de la Directiva (…) depende de los esfuerzos de los responsables dirigidos a la consecución de esos objetivos. Esto requiere las siguientes medidas proactivas:

[…] Asignación de la responsabilidad sobre protección de datos apersonas designadas con responsabilidad directa sobre el cumplimiento de sus organizaciones de la legislación de protección de datos

Esto de la protección de datos se sigue viendo como una obligación legal más, como algo que puede venir a instalarte una consultora cualquiera, rápida e indoloramente, y que consiste en enviar algunos papeles a la Agencia, colocar cuatro clausulitas, hacer que tus proveedores te firmen todos el mismo “copy and paste”, y ya está. Y… ¡ay, amigos!, de momento en eso consiste en muchas empresas,  e incluso en las de de gran tamaño, por mucho que nos empeñemos en decir lo contrario.

No solo son responsables de esto las empresas: nosotros, los profesionales del gremio, también somos culpables en gran parte de lo que sucede. No hemos ayudado lo bastante a dar a entender en qué consiste, en que esto de la privacidad como se ha dado en llamar ahora tiene más profundidad de la que parece. Además es un sector en el que hay mucho “paracaidista”, como yo les llamo. Está invadido de gente que pasaba por ahí y se apuntó a la moda.

Desde hace un tiempo soy socio de la International Association of Privacy Professionals (IAPP) y de la Association Française des Correspondants à la Protection des Données a Caractère Personel (AFCDP), porque creo que es bueno conocer cómo hacen las cosas ahí fuera, y de paso viajo un poco. Representan dos modos de entender las cosas, la europea y la norteamericana, pero las dos tienen claro que defienden los intereres de los profesionales que están asociados, e intentan llevar a todos los ámbitos sociales nuestra profesión, especialmente al mundo empresarial. En Francia existe la figura delCIL, “Correspondant Informatique et Libertés”, de designación facultativa y que se dedica a hacer cumplir la ley en las organizaciones, estando presente ya en muchas empresas. Están organizados en grupos de trabajo relativos a temas de interés (datos de salud, geolocalización, transferencias internacionales…), y mediante reuniones periódicas no solo realizan un seguimiento de la actualidad legislativa, sino que también elaboran documentos de trabajo que son muy útiles a los socios. En la asociación norteamericana se sigue otra filosofía en donde las empresas tienen un papel muy activo. Es la asociación que más profesionales tiene afiliados, unos 6.000… es que son 10 años ya funcionando. Muchas empresas con sede en EE.UU. tienen nombrado un CPO, “Chief Privacy Officer”, desde que lo hicieran AllAdvantage e IBM, personaje que es quien coordina todo lo relacionado con la gestión de la privacidad en la organización. Ofrecen una gama de certificaciones con una base común de conocimientos, y tienen una actividad frenética dirigida a sus socios: talleres y cursos de formación impartidos por profesionales de prestigio, encuentros por todo el mundo para hacer “networking”, un congreso anual sobre privacidad de cuatro días de duración…

Los españoles, a pesar de presumir de que tenemos una de las legislaciones de protección de datos “más duras del universo” (o eso pensamos), llegamos un poco tarde a la fiesta, como en otras muchas cosas. Pero por fin en junio del 2009 un grupo bastante numeroso de profesionales fundó lo que hoy ya es una realidad, la Asociación Profesional Española de Privacidad (APEP). Al principio se formó un grupo en la red para profesionales Linkedin con ese objetivo, y tras alguna autoexclusión necesaria y purificadora de “paracaidistas” llenos de ego, ahora es la primera asociación de profesionales de España.  En la Directiva hay profesionales históricos “del club del dato”, con conocimientos y experiencia más que probados, y de muy diversos sectores. No pasaban por allí y se apuntaron, no; basta con dar un vistazo a su web para comprobarlo. Y esto empieza a notarse. Ya han tomado iniciativas reales: reunión con el Director de la AEPD, comunicación junto a ASIMELEC a la AEAT sobre el fraude “LOPD a coste cero”, reunión con los dos partidos políticos mayoritarios,participación en la 31ª Conferencia Internacional de Datos, firma de Convenio con la Agencia de Protección de Datos de la Comunidad de Madrid

Con iniciativas como la APEP, tomando nota de lo bueno que se hace fuera, y con empeño profesional, quizá con el paso del tiempo lograremos que las empresas españolas tomen conciencia de lo que Europa dice en el documento citado. No porque lo diga Europa, sino porque se lo crean y lo aprovechen. Que existan profesionales suficientemente reconocidos y con las atribuciones necesarias para que las organizaciones no solo cumplan con la normativa, sino que vean en ésta un factor más para dar valor añadido. Y que perciban que  dependen entre otras cosas de los datos de carácter personal que manejan y que eso está regulado en unas normas que marcan su actividad diaria, que entiendan que quien mejor maneje esta información, mejor podrá competir. ¿Es una utopía? A día de hoy, sí, salvo rarísimas excepciones.

El futuro de la privacidad en Europa

boladecristalEl 9 de julio del año pasado la Comisión Europea lanzó una consulta sobre el marco legal del derecho fundamental a la protección de datos, preguntando por los nuevos retos a los que se enfrenta, tales como las nuevas tecnologías y la globalización.

Las declaraciones de la todavía Comisaria para la Sociedad de la Información, Viviane Reding, de que “el mundo ha cambiado mucho desde 1995″, son ciertas. Pero más cierto es que lo que ha presionado han sido los diferentes servicios que han aparecido en Internet, sobre todo las llamadas redes sociales. Innovaciones que nos vienen dadas desde el otro lado del Atlántico, para variar.

Tampoco es que “la Era de la Privacidad” haya terminado, como ha dicho hace poco el fundador de Facebook; es que Europa, aunque le cueste, tiene que terminar rindiéndose a la evidencia, que es que Estados Unidos está imponiendo su ritmo.

Puede verse un esbozo de los cambios que se avecinan en el documento donde el G29 y el Grupo de Trabajo sobre Policía y Justicia muestran su reacción a la consulta antes mencionada (WP 168-02356/09/EN). Nos cuenta hacia dónde va a ir Europa, y a mi modo de ver, empieza a converger con el sistema norteamericano. Por mencionar algunos de los puntos que más interesantes me han resultado:

1.- Se da el mensaje de que los principios fundamentales de la protección de datos son todavía válidos a pesar de las nuevas tecnologías y la globalización; sin embargo, se reconoce que son necesarios cambios legislativos.

2.- Se propone la introducción de un marco legal global, pero afirmando a su vez que son necesarias reglas específicas… lo que nos lleva a normativas sectoriales y regímenes específicos que han de cumplir con los principios generales (¡…!)

3.- En cuanto a la globalización, se afirma que la UE ha de garantizar el derecho fundamental a la protección de datos para todos, lo que significa que los individuos pueden pedir protección incluso si sus datos se procesan fuera de la UE. El G29 está elaborando una Opinión sobre el concepto de “ley aplicable” que verá la luz a lo largo de 2010. También se reconoce que las transferencias internacionales se están convirtiendo en la regla más que en la excepción. Hay que rediseñar el proceso de declaración de “adecuación” de terceros países.

4.- Se quiere introducir el concepto de “privacidad por defecto” (privacy by design), con lo que se implica de lleno a los fabricantes de hardware , software y en general proveedores de servicios, y también a los agentes que traten datos y adquieran aquéllos.

5.- Realza el papel del titular de los datos, recomendando que se le den más opciones para ejecutar y exigir el respeto a sus derechos; se habla de las “class actions”, nuestras acciones colectivas, para hacer más fácil y efectivas las reclamaciones. Se va a dar más fuerza al principio de transparencia, y se aconseja la introducción de la notificación en caso de violaciones de privacidad (“data/privacy breach notifications”). Se hará un esfuerzo especial en clarificar la posición del titular de los datos en Internet.

6.- Han de reforzarse las exigencias a quienes traten datos, introduciéndose el principio de responsabilidad (“accountability”), lo que les requerirá tener los mecanismos internos necesarios para demostrar su cumplimiento. Hace una enumeración bastante jugosa de las medidas que debieran tomar, pero me las dejo para otro post…

Finalmente se hacen referencias a una necesaria aclaración del rol de las autoridades de protección de datos, a los retos en el campo de la policía y de la exigencia en la aplicación de la ley.

Se avecinan tiempos interesantes. Habrá que estar al tanto de lo que se vaya decidiendo, ya que toda nuestra normativa sufrirá cambios a medio plazo. Es la globalización.