Aprovecho mi comentario anterior, donde hacía referencia al documento del G29 sobre el futuro de la privacidad (WP 168-02356/09/EN), para hacer una pequeña reflexión sobre lo que se está configurando poco a poco como una profesión. Entre las recomendaciones de ese Documento hay en particular algunas dirigidas a las organizaciones respecto de una figura a la que se debería encargar este asuntillo nuestro de la protección de datos. Sí, ya se que da igual, pero es que nos lo están diciendo desde Europa. Y estamos viendo cómo otros países tienen cierta ventaja a pesar de, como dicen algunos conocidos míos, “no tener legislación de privacidad”, o la justa.
Veamos qué dice ese Documento en su página 19:
Inclusión de la protección de datos en las organizaciones
74. (…) Sin embargo, el cumplimiento con las obligaciones legales existentes a menudo no está apropiadamente en las prácticas internas de ls organizaciones. Frecuentemente, la privacidad no está embebida en las tecnologías y sistemas de proceso de la información. Es más, los gestores, incluidos los directores de alto nivel, no son suficientemente conscientes del asunto y sin embargo son activamente responsables de las prácticas de procesamiento de datos en sus propias organizaciones.
75. A no ser que la protección de datos se convierta en parte de los valores y prácticas comunes en una organización, a menos que las responsabilidades para ello sean expresamente asignadas, el cumplimiento efectivo estará en riesgo y continuará habiendo percances […]
76. Los principios y obligaciones de la Directiva (…) deberían extenderse por la estructura cultural de las organizaciones, a todos los niveles, más que ser vistos como una serie de requerimientos legales del departamento legal. Los requerimientos de la Directiva deberían concretarse en planes de protección de datos que se apliquen en el día a día. Los controles de privacidad debieran integrarse en el diseño de las tecnologías de la información y en los sistemas. Además, en las organizaciones, en el sector público y privado, la responsabilidad interna sobre la protección de datos debiera estar adecuadamente reconocida, reforzada y específicamente asignada.
77. La efectividad de las provisiones de la Directiva (…) depende de los esfuerzos de los responsables dirigidos a la consecución de esos objetivos. Esto requiere las siguientes medidas proactivas:
[…] Asignación de la responsabilidad sobre protección de datos apersonas designadas con responsabilidad directa sobre el cumplimiento de sus organizaciones de la legislación de protección de datos
Esto de la protección de datos se sigue viendo como una obligación legal más, como algo que puede venir a instalarte una consultora cualquiera, rápida e indoloramente, y que consiste en enviar algunos papeles a la Agencia, colocar cuatro clausulitas, hacer que tus proveedores te firmen todos el mismo “copy and paste”, y ya está. Y… ¡ay, amigos!, de momento en eso consiste en muchas empresas, e incluso en las de de gran tamaño, por mucho que nos empeñemos en decir lo contrario.
No solo son responsables de esto las empresas: nosotros, los profesionales del gremio, también somos culpables en gran parte de lo que sucede. No hemos ayudado lo bastante a dar a entender en qué consiste, en que esto de la privacidad como se ha dado en llamar ahora tiene más profundidad de la que parece. Además es un sector en el que hay mucho “paracaidista”, como yo les llamo. Está invadido de gente que pasaba por ahí y se apuntó a la moda.
Desde hace un tiempo soy socio de la International Association of Privacy Professionals (IAPP) y de la Association Française des Correspondants à la Protection des Données a Caractère Personel (AFCDP), porque creo que es bueno conocer cómo hacen las cosas ahí fuera, y de paso viajo un poco. Representan dos modos de entender las cosas, la europea y la norteamericana, pero las dos tienen claro que defienden los intereres de los profesionales que están asociados, e intentan llevar a todos los ámbitos sociales nuestra profesión, especialmente al mundo empresarial. En Francia existe la figura delCIL, “Correspondant Informatique et Libertés”, de designación facultativa y que se dedica a hacer cumplir la ley en las organizaciones, estando presente ya en muchas empresas. Están organizados en grupos de trabajo relativos a temas de interés (datos de salud, geolocalización, transferencias internacionales…), y mediante reuniones periódicas no solo realizan un seguimiento de la actualidad legislativa, sino que también elaboran documentos de trabajo que son muy útiles a los socios. En la asociación norteamericana se sigue otra filosofía en donde las empresas tienen un papel muy activo. Es la asociación que más profesionales tiene afiliados, unos 6.000… es que son 10 años ya funcionando. Muchas empresas con sede en EE.UU. tienen nombrado un CPO, “Chief Privacy Officer”, desde que lo hicieran AllAdvantage e IBM, personaje que es quien coordina todo lo relacionado con la gestión de la privacidad en la organización. Ofrecen una gama de certificaciones con una base común de conocimientos, y tienen una actividad frenética dirigida a sus socios: talleres y cursos de formación impartidos por profesionales de prestigio, encuentros por todo el mundo para hacer “networking”, un congreso anual sobre privacidad de cuatro días de duración…
Los españoles, a pesar de presumir de que tenemos una de las legislaciones de protección de datos “más duras del universo” (o eso pensamos), llegamos un poco tarde a la fiesta, como en otras muchas cosas. Pero por fin en junio del 2009 un grupo bastante numeroso de profesionales fundó lo que hoy ya es una realidad, la Asociación Profesional Española de Privacidad (APEP). Al principio se formó un grupo en la red para profesionales Linkedin con ese objetivo, y tras alguna autoexclusión necesaria y purificadora de “paracaidistas” llenos de ego, ahora es la primera asociación de profesionales de España. En la Directiva hay profesionales históricos “del club del dato”, con conocimientos y experiencia más que probados, y de muy diversos sectores. No pasaban por allí y se apuntaron, no; basta con dar un vistazo a su web para comprobarlo. Y esto empieza a notarse. Ya han tomado iniciativas reales: reunión con el Director de la AEPD, comunicación junto a ASIMELEC a la AEAT sobre el fraude “LOPD a coste cero”, reunión con los dos partidos políticos mayoritarios,participación en la 31ª Conferencia Internacional de Datos, firma de Convenio con la Agencia de Protección de Datos de la Comunidad de Madrid…
Con iniciativas como la APEP, tomando nota de lo bueno que se hace fuera, y con empeño profesional, quizá con el paso del tiempo lograremos que las empresas españolas tomen conciencia de lo que Europa dice en el documento citado. No porque lo diga Europa, sino porque se lo crean y lo aprovechen. Que existan profesionales suficientemente reconocidos y con las atribuciones necesarias para que las organizaciones no solo cumplan con la normativa, sino que vean en ésta un factor más para dar valor añadido. Y que perciban que dependen entre otras cosas de los datos de carácter personal que manejan y que eso está regulado en unas normas que marcan su actividad diaria, que entiendan que quien mejor maneje esta información, mejor podrá competir. ¿Es una utopía? A día de hoy, sí, salvo rarísimas excepciones.
El 19 de abril un grupo de representantes de autoridades de protección de datos envió una carta al CEO de Google, Eric Schmidt, expresándole su malestar por la forma en la que gestiona la privacidad, mencionando en concreto los incidentes ocurridos con dos de sus servicios, Buzz y Street View.