No existen las políticas de privacidad… ¡qué disgusto!

PapelH¿Cuántas veces hemos oído utilizar el término “política de privacidad”? Que si una web tiene o no tiene política de privacidad, que si hay que indicar en la política de privacidad tal o cual cosa… Pues tengo una mala noticia: en la legislación española NO existen las políticas de privacidad tal y como se han venido entendiendo desde hace un tiempo en el gremio.

Suelen aparecer esas políticas después de llegar a ellas desde un enlace que en muchas ocasiones está escondido a pie de página de inicio. Cuando las tienes delante, te das cuenta de que se trata de un conjunto de largos párrafos de información inútil e innecesaria, la mayoría simple copia de artículos de la Ley y Reglamento. Cuantas más cosas se pongan, mejor. Cada vez que leo alguno de estos engendros, pienso que es una justificación de minuta frente al cliente, porque ¿cómo se le explica que con colocar pequeños avisos en los formularios oportunos, y poco más, ya sirve? Así hay más letras juntas, y da la sensación de horas de trabajo de gabinete. Los hay que venden servicios al peso de las letras.

Es un término importado e impostado. Ya que no está en las normas, vayamos al Diccionario de la RAE a ver si nos da una pista o nos ayuda. Entre las diversas acepciones encontramos que define política como las “orientaciones o directrices que rigen la actuación de una persona o entidad en un asunto determinado”. ¿Cuáles son las orientaciones y directrices que rigen la actuación del responsable, o de cualquier otro, que recoja y trate datos? Por esta definición parezca que la entidad puede optar o decidir qué hace o qué no, y de qué manera, nada más lejos de la realidad.  La Ley y el Reglamento, básicamente, son esas orientaciones y directrices. Nuestro ordenamiento es taxativo en este sentido, y permite poco margen de maniobra.

Si algo tiene nuestro cuerpo normativo sobre protección de datos, es que deja pocos puntos a merced de las decisiones de quien los trata. Nuestro sistema normativo es muy claro en qué información hay que aportar al titular de los datos, y cuándo hacerlo, porque de ello depende que tengamos el consentimiento necesario para tratar datos. Por eso la información al titular de los datos es esencial. La información que hay que dar viene marcada por varios artículos de la L.O.P.D.:

  • Artículo 5:información en la recogida de los datos
  • Artículo 11, punto 3:información mínima que hay que proporcionar sobre el cesionario si se tiene prevista o se realiza una cesión de datos
  • Artículo 27:información que hay de proporcionar el responsable de fichero cuando efectúa la primera cesión de datos
  • Artículo 30, punto 2:información al destinatario de comunicaciones comerciales cuyos datos han sido obtenidos de fuentes accesibles al público

Hemos de sumar a éstos los artículos dedicados por el Reglamento a la obtención del consentimiento, donde impone ciertos deberes formales que no hacen sino complementar al artículo 5 de la Ley. Y si abandonamos la L.O.P.D., puede añadirse la obligación de informar que impone la L.S.S.I.C.E., que no es más que una remisión a la anterior para el caso de que se recojan datos de carácter personal, y además, en el caso de instalación y uso de “cookies”, qué información previa ha de darse: información clara y completa, y los fines de los tratamientos de datos que se pretendan realizar. Y no hay más, el resto es pura literatura.

Ninguna de esas diversas manifestaciones del deber de información debiera catalogarse como políticas de privacidad. Para dar una muestra de cómo debe informarse en páginas web podemos leer las más que añejasRecomendaciones al Sector del Comercio Electrónico redactadas por la AEPD en el año 2000, como consecuencia de una inspección sectorial. En concreto, en su Recomendación Primera (página 10), referente a la información en la recogida de datos, dice lo siguiente:

En todas y cada una de las páginas web desde las que se recaben datosde carácter personal se incluirá claramente visible la información a la que hace referencia el artículo 5 de la LOPD, que el usuario deberá poder obtener con facilidad y de forma directa y permanente.

Podrá optarse por incorporar en todas esas páginas un texto o un botón adecuadamente etiquetado que, al ser seleccionado mediante un “click”, permita obtener la citada información. No obstante, se considera más adecuada una opción según la cual la lectura de dicha información se presente como ineludible (y no optativa) dentro del flujo de accionesque deba ejecutar el usuario para expresar la aceptación definitiva de la transmisión de sus datos a la entidad que los está recabando.

El subrayado y la negrita son míos. De verdad, qué recomendaciones aquéllas, de hace ya más de una década… Es que les pasa como a los vinos. Esto era Gran Reserva. Particularmente echo de menos en el haber de la AGPD documentos de esa claridad y utilidad, y no guías insulsas que se dedican a recopilar legislación, sus propias resoluciones y cuatro cositas más. Vino de mesa.

Es más fácil contagiarse de lo malo que imitar las virtudes ajenas. Sin embargo, hay razones para no seguir la moda de las susodichas políticas. La de más peso, que no existe obligación legal alguna, y que poco o nada aportan, salvo demostrar que el asesoramiento no es del todo correcto. La segunda, que además los titulares de los datos, en concreto los vascos, no las leen, comoayer contaban en Iurismática. Y finalmente y para colmo de males, si los usuarios las leyeran, el coste de oportunidad sería demasiado alto. Esto ya lo han demostrado en el país de las “políticas de privacidad”, e incluso comienza a haber iniciativas para acortarlas porque les empiezan a parecer inútiles.

Parece mentira que mientras ellos buscan cómo simplificar, nosotros, que tenemos algo simple, estamos intentando complicarlo.

Certificaciones varias

churras-merinasHace un año aproximadamente un grupo de profesionales fundó la Asociación Profesional Española de Privacidad. A los pocos días, y tras el abandono de esa primera iniciativa de algunas personas, se anunció la creación del “Data Privacy Institute”, en el seno de la Asociación Española para el Fomento de la Seguridad de la Información, o ISMS Forum.

Si bien parece que ambas se dedican a lo mismo, esta mañana he escrito mi opinión en un grupo de Linkedin que se llama “Profesionales Privacidad”, y pienso que es bueno que comparta mis impresiones, ya que he llegado a la conclusión de que nada tienen en común los planteamientos de ambas. Y es que hay bastante barullo y revolución, pero no pueden confundirse churras con merinas.

Mis razones son las siguientes, por supuesto siempre sujetas a mejor crítica:

1.- Especificidad

La APEP es la primera asociación creada con objetivos exclusivamente relacionados directamente con la protección de datos, o si se le quiere llamar así, con la “privacidad”. El DPI, hasta donde yo conozco, no tiene personalidad jurídica propia, sino que es un proyecto que se crea en el seno del ISMS, que está dedicado a cuestiones más relacionadas con la seguridad. En su propia página web dice que su objetivo es “fomentar la seguridad de la información en España”. Y de ahí que sea natural que tanto la certificación como los objetivos del DPI estén más dirigidos a ese campo.

2.- Acreditación de especialistas

El CDPP es un certificado no especializado. Y me explico: con un solo examen te acreditan como experto técnico-jurídico-organizativo. Sin embargo, la acreditación ACP distingue entre ámbito jurídico y técnico, incluyendo lo organizativo en ambos, y dando lugar a dos especializaciones, que llaman “auditor” y “consultor/gestor de seguridad”.

3.- Materia y tipo de examen para acreditarse

La APEP se ha centrado en la protección de datos, y le da un peso específico alto a esa normativa en su sistema de certificaciones (ACP). Primero hay que superar un examen sobre conocimientos de LOPD y normativa asociada, para luego optar por la especialización que interese. En el caso del DPI, para obtener su certificación (CDPP), hay que aprobar un examen cuya materia está compuesta por sólo un 40% de LOPD y una normativa asociada muy variopinta. El resto hasta completar el 100% está relacionado con la seguridad de la información y su gestión.

El examen para obtener el CDPP es tipo test. El de ACP también es tipo test, y además, hay que desarrollar casos prácticos. Me parece más exigente este último, porque el aspirante ha de desarrollar de su puño y letra, pudiéndose evaluar con más fiabilidad el conocimiento real de una persona sobre esa materia.

4.- Exigencia de experiencia para acreditación

Ambos piden 3 años de experiencia. La APEP permite convalidarlos por 20 proyectos realizados con el perfil que se solicite, siendo revisados por un comité. En el caso del DPI no se menciona cómo se comprobará esa experiencia.

5.- Apadrinamiento:

Tanto la APEP como el DPI tienen previstos procedimientos por los cuales se otorga la certificación a profesionales con experiencia (apadrinamiento o “granfathering”). El DPI exige estar en posesión de un máster, lo que dejará fuera del proceso a profesionales que tengan una experiencia de peso, y además exige 6 años de experiencia en “el ámbito de la privacidad, la protección de datos de carácter personal y la seguridad de la información”. Por poner un ejemplo concreto, alguien acreditado como CISA, y que ni haya tocado la LOPD jamás, podrá acceder al CDPP.

La APEP sin embargo pide 5 años de experiencia o haber realizado 40 proyectos y demostrarlo, pero siempre relacionados con la protección de datos. Poco comentario más hay que hacer: sí o sí, protección de datos, no otras materias que, sin desmerecerlas, no garantizan conocimiento y aplicación de la normativa, que es lo que a fin de cuentas ha de aplicar un profesional de la protección de datos, sea de perfil jurídico o técnico.

6.- Código ético

La APEP exige que el profesional certificado se adhiera a un código ético que supongo que garantizará cierta homogeneidad en el modo de trabajar. Cuando lo publiquen lo sabremos, pero hasta podría llegar a la retirada de la certificación o expulsión de la asociación si se quebranta. El DPI no contempla algo parecido, quizá no quieren controlar estos aspectos.

El planteamiento de la APEP me resulta novedoso porque se centra en la protección de datos, dándole el papel y la sustantividad que se merece. La iniciativa del ISMS Forum es una evolución de certificaciones relacionadas con la seguridad de la información, como el CISA, para darles un poco de contenido legal. Es un punto de vista más tradicional y cercano a lo que teníamos hasta ahora.