Profesionales – Página 4

En el Congreso de Protección de Datos de IAPP Europa el 29 de noviembre, antes de la intervención de la Comisaria europea de Justicia, Derechos Fundamentales y Ciudadanía, ya se rumoreaba que tendríamos un Reglamento y no una Directiva. Viviane Reding se limitó a indicar que el Parlamento Europeo tendría “un regalo tardío de Navidad” de la Comisión, y a leer un corto discurso sin admitir preguntas. Unos días después, se filtró en Internet lo que se conoce como la versión 56 de la Propuesta de Reglamento General de Protección de Datos.

El revuelco que el Reglamento le da a la legislación es de aúpa. Pero creo que lo más interesante para los profesionales es el reconocimiento de la figura del Responsable de Protección de Datos, “Data Privacy Officer” para los aficionados al inglés. Nada tiene que ver con el Responsable de Seguridad que regula nuestro Reglamento, que sólo está dedicado a coordinar/controlar las medidas de seguridad que se adoptan para los ficheros. La nueva figura se ocupará de bastantes más asuntos, y tendrá que asumir unos roles más amplios y diversos.

Me resulta bastante curioso que la Unión Europea termine adoptando una figura con denominación de origen norteamericano. La empresa IBM fue pionera en designar en el año 2000 un “Chief Privacy Officer”, Harriet Pearson. Tenía los cometidos de unificar la privacidad en los proyectos y programas en IBM, incluyendo investigación y desarrollo, marketing, ventas, estrategia web y tecnología; coordinar la privacidad en la oferta tecnológica y de servicios; asegurar el liderazgo de IBM adoptando las mejores prácticas para con los empleados, clientes y consumidores, y que la empresa cumpliera con la legislación y estándares aplicables.

Por si en el mundo de los “eleopedianos” no teníamos bastantes divisiones ya (tecnólogos, juristas y otras diversas faunas), ahora vienen desde Europa a exigirnos un poquito más. No solo tecnología y derecho, sino también organización, análisis de productos y servicios… De todo un poco, pero fundamentalmente, en todos sus desempeños, ha de entender el negocio de la empresa donde está trabajando y su funcionamiento. Esto es fundamental, lo llevo diciendo unos años: ¿cómo vas a asesorar sobre algo que desconoces?

El Reglamento dedica tres artículos a regular esta figura (32 a 34). Será obligatorio contar con un Responsable de Protección de datos en lasadministraciones públicas (ver post de Francisco Javier Sempere, El Responsable de Protección de Datos (DPO) en las AAPP), en empresas de más de 250 empleados, y en aquéllas donde se lleven a cabo operaciones con datos que por su naturaleza, alcance y/o finalidades requieran supervisión regular y sistemática. Nada impide que cualquier organización, sin que esté dentro de estos supuestos, pueda nombrar también a alguien para que cumpla estas funciones.

Es posible tanto nombrar a un empleado para el puesto, como contratar a personal externo. Sin embargo, por la redacción de la propuesta de Reglamento, no parece que pueda contratarse a una empresa, sino que siempre habrá de ser una persona física quien lleve a cabo las funciones.

Han de tenerse en cuenta las cualidades profesionales del Responsable, y en particular, conocimiento experto de la legislación sobre protección de datos. Queda claro que todo ello estará determinado también por los tratamientos de datos que lleve a cabo la empresa que lo nombra. Subrayo la exigencia de conocimiento de la legislación. Al fin y al cabo, el mayor componente de esta figura es velar porque se cumpla la normativa, y quién mejor que alguien que la conoce para que conozca qué puede exigir. ¿Hasta dónde ha de llegar ese conocimiento? Para mí, el ideal es, en origen, un licenciado en derecho con especialización en protección de datos. Antes podía incluso ser discutible, porque el rol del Responsable de Seguridad primero estuvo ceñido a seguridad informática, luego se añadió la seguridad en ficheros automatizados y no automatizados, pero con esta ampliación de funciones junto con la afirmación del Reglamento queda despejada cualquier duda, a mi parecer.

Algo que va a combatir el consabido “pluriempleo” de los profesionales del sector es que se impone a la empresa que se asegure de que si el Responsable de Protección de Datos tiene otras tareas, sean compatibles con sus obligaciones como tal, y nunca se provoque conflicto de intereses. Pensemos por un segundo en cuántos responsables de informática son a la vez Responsables de Seguridad conforme al Reglamento LOPD actual… ¿no supone conflicto de intereses?

Será nombrado para un período de 2 años, pudiendo renovarse por el mismo tiempo. No puede ser apartado del puesto si no es porque deje de reunir los requisitos para cumplir con sus obligaciones. La empresa tendrá que comunicar su identificación a la autoridad supervisora (Agencia Española de Protección de Datos) y al público en general, que tendrá derecho a contactar con él para todas las cuestiones relativas tanto al ejercicio de derechos, como a los tratamientos de datos que se realicen. Así que los Responsables de Protección de Datos tendrán que lidiar con los clientes/usuarios, nueva e interesante atribución que va a exigir la coordinación con el departamento de comunicación, en caso de que exista en la empresa.

(Mañana, último día del año, la segunda parte…)

churras-merinas Hace un año aproximadamente un grupo de profesionales fundó la Asociación Profesional Española de Privacidad. A los pocos días, y tras el abandono de esa primera iniciativa de algunas personas, se anunció la creación del “Data Privacy Institute”, en el seno de la Asociación Española para el Fomento de la Seguridad de la Información, o ISMS Forum.

Si bien parece que ambas se dedican a lo mismo, esta mañana he escrito mi opinión en un grupo de Linkedin que se llama “Profesionales Privacidad”, y pienso que es bueno que comparta mis impresiones, ya que he llegado a la conclusión de que nada tienen en común los planteamientos de ambas. Y es que hay bastante barullo y revolución, pero no pueden confundirse churras con merinas.

Mis razones son las siguientes, por supuesto siempre sujetas a mejor crítica:

1.- Especificidad

La APEP es la primera asociación creada con objetivos exclusivamente relacionados directamente con la protección de datos, o si se le quiere llamar así, con la “privacidad”. El DPI, hasta donde yo conozco, no tiene personalidad jurídica propia, sino que es un proyecto que se crea en el seno del ISMS, que está dedicado a cuestiones más relacionadas con la seguridad. En su propia página web dice que su objetivo es “fomentar la seguridad de la información en España”. Y de ahí que sea natural que tanto la certificación como los objetivos del DPI estén más dirigidos a ese campo.

2.- Acreditación de especialistas

El CDPP es un certificado no especializado. Y me explico: con un solo examen te acreditan como experto técnico-jurídico-organizativo. Sin embargo, la acreditación ACP distingue entre ámbito jurídico y técnico, incluyendo lo organizativo en ambos, y dando lugar a dos especializaciones, que llaman “auditor” y “consultor/gestor de seguridad”.

3.- Materia y tipo de examen para acreditarse

La APEP se ha centrado en la protección de datos, y le da un peso específico alto a esa normativa en su sistema de certificaciones (ACP). Primero hay que superar un examen sobre conocimientos de LOPD y normativa asociada, para luego optar por la especialización que interese. En el caso del DPI, para obtener su certificación (CDPP), hay que aprobar un examen cuya materia está compuesta por sólo un 40% de LOPD y una normativa asociada muy variopinta. El resto hasta completar el 100% está relacionado con la seguridad de la información y su gestión.

El examen para obtener el CDPP es tipo test. El de ACP también es tipo test, y además, hay que desarrollar casos prácticos. Me parece más exigente este último, porque el aspirante ha de desarrollar de su puño y letra, pudiéndose evaluar con más fiabilidad el conocimiento real de una persona sobre esa materia.

4.- Exigencia de experiencia para acreditación

Ambos piden 3 años de experiencia. La APEP permite convalidarlos por 20 proyectos realizados con el perfil que se solicite, siendo revisados por un comité. En el caso del DPI no se menciona cómo se comprobará esa experiencia.

5.- Apadrinamiento:

Tanto la APEP como el DPI tienen previstos procedimientos por los cuales se otorga la certificación a profesionales con experiencia (apadrinamiento o “granfathering”). El DPI exige estar en posesión de un máster, lo que dejará fuera del proceso a profesionales que tengan una experiencia de peso, y además exige 6 años de experiencia en “el ámbito de la privacidad, la protección de datos de carácter personal y la seguridad de la información”. Por poner un ejemplo concreto, alguien acreditado como CISA, y que ni haya tocado la LOPD jamás, podrá acceder al CDPP.

La APEP sin embargo pide 5 años de experiencia o haber realizado 40 proyectos y demostrarlo, pero siempre relacionados con la protección de datos. Poco comentario más hay que hacer: sí o sí, protección de datos, no otras materias que, sin desmerecerlas, no garantizan conocimiento y aplicación de la normativa, que es lo que a fin de cuentas ha de aplicar un profesional de la protección de datos, sea de perfil jurídico o técnico.

6.- Código ético

La APEP exige que el profesional certificado se adhiera a un código ético que supongo que garantizará cierta homogeneidad en el modo de trabajar. Cuando lo publiquen lo sabremos, pero hasta podría llegar a la retirada de la certificación o expulsión de la asociación si se quebranta. El DPI no contempla algo parecido, quizá no quieren controlar estos aspectos.

El planteamiento de la APEP me resulta novedoso porque se centra en la protección de datos, dándole el papel y la sustantividad que se merece. La iniciativa del ISMS Forum es una evolución de certificaciones relacionadas con la seguridad de la información, como el CISA, para darles un poco de contenido legal. Es un punto de vista más tradicional y cercano a lo que teníamos hasta ahora.

Categoría: Profesionales

La figura del Responsable de Protección de Datos, un gran impulso para la profesión (1ª parte)

Certificaciones varias