Etiqueta: Unión Europea

bookmark_borderProfesionales de la privacidad

Posted on by Félix J. Haro

APEPAprovecho mi comentario anterior, donde hacía referencia al documento del G29 sobre el futuro de la privacidad (WP 168-02356/09/EN), para hacer una pequeña reflexión sobre lo que se está configurando poco a poco como una profesión. Entre las recomendaciones de ese Documento hay en particular algunas dirigidas a las organizaciones respecto de una figura a la que se debería encargar este asuntillo nuestro de la protección de datos. Sí, ya se que da igual, pero es que nos lo están diciendo desde Europa. Y estamos viendo cómo otros países tienen cierta ventaja a pesar de, como dicen algunos conocidos míos, “no tener legislación de privacidad”, o la justa.

Veamos qué dice ese Documento en su página 19:

Inclusión de la protección de datos en las organizaciones

74. (…) Sin embargo, el cumplimiento con las obligaciones legales existentes a menudo no está apropiadamente en las prácticas internas de ls organizaciones. Frecuentemente, la privacidad no está embebida en las tecnologías y sistemas de proceso de la información. Es más, los gestores, incluidos los directores de alto nivel, no son suficientemente conscientes del asunto y sin embargo son activamente responsables de las prácticas de procesamiento de datos en sus propias organizaciones.

75. A no ser que la protección de datos se convierta en parte de los valores y prácticas comunes en una organización,  a menos que las responsabilidades para ello sean expresamente asignadas, el cumplimiento efectivo estará en riesgo y continuará habiendo percances […]

76. Los principios y obligaciones de la Directiva (…) deberían extenderse por la estructura cultural de las organizaciones, a todos los niveles, más que ser vistos como una serie de requerimientos legales del departamento legal. Los requerimientos de la Directiva deberían concretarse en planes de protección de datos que se apliquen en el día a día. Los controles de privacidad debieran integrarse en el diseño de las tecnologías de la información y en los sistemas. Además, en las organizaciones, en el sector público y privado, la responsabilidad interna sobre la protección de datos debiera estar adecuadamente reconocida, reforzada y específicamente asignada.

77. La efectividad de las provisiones de la Directiva (…) depende de los esfuerzos de los responsables dirigidos a la consecución de esos objetivos. Esto requiere las siguientes medidas proactivas:

[…] Asignación de la responsabilidad sobre protección de datos apersonas designadas con responsabilidad directa sobre el cumplimiento de sus organizaciones de la legislación de protección de datos

Esto de la protección de datos se sigue viendo como una obligación legal más, como algo que puede venir a instalarte una consultora cualquiera, rápida e indoloramente, y que consiste en enviar algunos papeles a la Agencia, colocar cuatro clausulitas, hacer que tus proveedores te firmen todos el mismo “copy and paste”, y ya está. Y… ¡ay, amigos!, de momento en eso consiste en muchas empresas,  e incluso en las de de gran tamaño, por mucho que nos empeñemos en decir lo contrario.

No solo son responsables de esto las empresas: nosotros, los profesionales del gremio, también somos culpables en gran parte de lo que sucede. No hemos ayudado lo bastante a dar a entender en qué consiste, en que esto de la privacidad como se ha dado en llamar ahora tiene más profundidad de la que parece. Además es un sector en el que hay mucho “paracaidista”, como yo les llamo. Está invadido de gente que pasaba por ahí y se apuntó a la moda.

Desde hace un tiempo soy socio de la International Association of Privacy Professionals (IAPP) y de la Association Française des Correspondants à la Protection des Données a Caractère Personel (AFCDP), porque creo que es bueno conocer cómo hacen las cosas ahí fuera, y de paso viajo un poco. Representan dos modos de entender las cosas, la europea y la norteamericana, pero las dos tienen claro que defienden los intereres de los profesionales que están asociados, e intentan llevar a todos los ámbitos sociales nuestra profesión, especialmente al mundo empresarial. En Francia existe la figura delCIL, “Correspondant Informatique et Libertés”, de designación facultativa y que se dedica a hacer cumplir la ley en las organizaciones, estando presente ya en muchas empresas. Están organizados en grupos de trabajo relativos a temas de interés (datos de salud, geolocalización, transferencias internacionales…), y mediante reuniones periódicas no solo realizan un seguimiento de la actualidad legislativa, sino que también elaboran documentos de trabajo que son muy útiles a los socios. En la asociación norteamericana se sigue otra filosofía en donde las empresas tienen un papel muy activo. Es la asociación que más profesionales tiene afiliados, unos 6.000… es que son 10 años ya funcionando. Muchas empresas con sede en EE.UU. tienen nombrado un CPO, “Chief Privacy Officer”, desde que lo hicieran AllAdvantage e IBM, personaje que es quien coordina todo lo relacionado con la gestión de la privacidad en la organización. Ofrecen una gama de certificaciones con una base común de conocimientos, y tienen una actividad frenética dirigida a sus socios: talleres y cursos de formación impartidos por profesionales de prestigio, encuentros por todo el mundo para hacer “networking”, un congreso anual sobre privacidad de cuatro días de duración…

Los españoles, a pesar de presumir de que tenemos una de las legislaciones de protección de datos “más duras del universo” (o eso pensamos), llegamos un poco tarde a la fiesta, como en otras muchas cosas. Pero por fin en junio del 2009 un grupo bastante numeroso de profesionales fundó lo que hoy ya es una realidad, la Asociación Profesional Española de Privacidad (APEP). Al principio se formó un grupo en la red para profesionales Linkedin con ese objetivo, y tras alguna autoexclusión necesaria y purificadora de “paracaidistas” llenos de ego, ahora es la primera asociación de profesionales de España.  En la Directiva hay profesionales históricos “del club del dato”, con conocimientos y experiencia más que probados, y de muy diversos sectores. No pasaban por allí y se apuntaron, no; basta con dar un vistazo a su web para comprobarlo. Y esto empieza a notarse. Ya han tomado iniciativas reales: reunión con el Director de la AEPD, comunicación junto a ASIMELEC a la AEAT sobre el fraude “LOPD a coste cero”, reunión con los dos partidos políticos mayoritarios,participación en la 31ª Conferencia Internacional de Datos, firma de Convenio con la Agencia de Protección de Datos de la Comunidad de Madrid

Con iniciativas como la APEP, tomando nota de lo bueno que se hace fuera, y con empeño profesional, quizá con el paso del tiempo lograremos que las empresas españolas tomen conciencia de lo que Europa dice en el documento citado. No porque lo diga Europa, sino porque se lo crean y lo aprovechen. Que existan profesionales suficientemente reconocidos y con las atribuciones necesarias para que las organizaciones no solo cumplan con la normativa, sino que vean en ésta un factor más para dar valor añadido. Y que perciban que  dependen entre otras cosas de los datos de carácter personal que manejan y que eso está regulado en unas normas que marcan su actividad diaria, que entiendan que quien mejor maneje esta información, mejor podrá competir. ¿Es una utopía? A día de hoy, sí, salvo rarísimas excepciones.

bookmark_borderCambios en la regulación de las «cookies»

Posted on by Félix J. Haro

GalletasEste viernes pasado el DOCE ha publicado la Directiva 2009/136/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, por la que se modifican la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas y el Reglamento (CE) no 2006/2004 sobre la cooperación en materia de protección de los consumidores.

De entre las novedades que trae la que más me llama la atención es la nueva redacción que se da en su artículo 2.5) al artículo 5.3 de la Directiva 2002/58/CE (Directiva sobre la privacidad y las comunicaciones electrónicas):

  1. Los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimientodespuésde que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario.

Me quedo con el matiz de que la redacción anterior no incluía la palabradespués; ahora las “cookies” han de ser colocadas una vez que el usuario ha sido informado sobre las finalidades del tratamiento de datos.

Nuestra LSSICE tendrá que ser retocada, porque cuando habla de los derechos de los destinatarios de servicios de la sociedad de la información, dice lo siguiente (artículo 22.2):

Cuando los prestadores de servicios empleen dispositivos de almacenamiento y recuperación de datos en equipos terminales, informarán de manera clara y completa sobre su utilización y finalidad, ofreciéndoles la posibilidad de rechazar el tratamiento de datos mediante un procedimiento sencillo y gratuito

Hasta ahora tenemos la costumbre de incluir un aviso en las páginas web que en ningún caso es previo, y en cuanto aparece el visitante, se le coloca la “cookie” si no lo impide mediante la configuración del navegador o con otro medio.

Aunque la nueva Directiva ha de ser traspuesta por los Estados miembros a más tardar el 25 de mayo de 2011, ya toca empezar a pensar en cómo vamos a implementar esto en las páginas web. Creo que cambia bastante la filosofía de trabajo, y si tenemos en cuenta que las “cookies” son unos de los instrumentos fundamentales para analizar el comportamiento de los visitantes (pensemos en el tan de moda “behavioral marketing”), supone todo un reto, porque el usuario va a ser más consciente de que se le está analizando.