Aprovecho mi comentario anterior, donde hacía referencia al documento del G29 sobre el futuro de la privacidad (WP 168-02356/09/EN), para hacer una pequeña reflexión sobre lo que se está configurando poco a poco como una profesión. Entre las recomendaciones de ese Documento hay en particular algunas dirigidas a las organizaciones respecto de una figura a la que se debería encargar este asuntillo nuestro de la protección de datos. Sí, ya se que da igual, pero es que nos lo están diciendo desde Europa. Y estamos viendo cómo otros países tienen cierta ventaja a pesar de, como dicen algunos conocidos míos, “no tener legislación de privacidad”, o la justa.
Veamos qué dice ese Documento en su página 19:
Inclusión de la protección de datos en las organizaciones
74. (…) Sin embargo, el cumplimiento con las obligaciones legales existentes a menudo no está apropiadamente en las prácticas internas de ls organizaciones. Frecuentemente, la privacidad no está embebida en las tecnologías y sistemas de proceso de la información. Es más, los gestores, incluidos los directores de alto nivel, no son suficientemente conscientes del asunto y sin embargo son activamente responsables de las prácticas de procesamiento de datos en sus propias organizaciones.
75. A no ser que la protección de datos se convierta en parte de los valores y prácticas comunes en una organización, a menos que las responsabilidades para ello sean expresamente asignadas, el cumplimiento efectivo estará en riesgo y continuará habiendo percances [...]
76. Los principios y obligaciones de la Directiva (…) deberían extenderse por la estructura cultural de las organizaciones, a todos los niveles, más que ser vistos como una serie de requerimientos legales del departamento legal. Los requerimientos de la Directiva deberían concretarse en planes de protección de datos que se apliquen en el día a día. Los controles de privacidad debieran integrarse en el diseño de las tecnologías de la información y en los sistemas. Además, en las organizaciones, en el sector público y privado, la responsabilidad interna sobre la protección de datos debiera estar adecuadamente reconocida, reforzada y específicamente asignada.
77. La efectividad de las provisiones de la Directiva (…) depende de los esfuerzos de los responsables dirigidos a la consecución de esos objetivos. Esto requiere las siguientes medidas proactivas:
[...] Asignación de la responsabilidad sobre protección de datos a personas designadas con responsabilidad directa sobre el cumplimiento de sus organizaciones de la legislación de protección de datos
Esto de la protección de datos se sigue viendo como una obligación legal más, como algo que puede venir a instalarte una consultora cualquiera, rápida e indoloramente, y que consiste en enviar algunos papeles a la Agencia, colocar cuatro clausulitas, hacer que tus proveedores te firmen todos el mismo “copy and paste”, y ya está. Y… ¡ay, amigos!, de momento en eso consiste en muchas empresas, e incluso en las de de gran tamaño, por mucho que nos empeñemos en decir lo contrario.
No solo son responsables de esto las empresas: nosotros, los profesionales del gremio, también somos culpables en gran parte de lo que sucede. No hemos ayudado lo bastante a dar a entender en qué consiste, en que esto de la privacidad como se ha dado en llamar ahora tiene más profundidad de la que parece. Además es un sector en el que hay mucho “paracaidista”, como yo les llamo. Está invadido de gente que pasaba por ahí y se apuntó a la moda.
Desde hace un tiempo soy socio de la International Association of Privacy Professionals (IAPP) y de la Association Française des Correspondants à la Protection des Données a Caractère Personel (AFCDP), porque creo que es bueno conocer cómo hacen las cosas ahí fuera, y de paso viajo un poco. Representan dos modos de entender las cosas, la europea y la norteamericana, pero las dos tienen claro que defienden los intereres de los profesionales que están asociados, e intentan llevar a todos los ámbitos sociales nuestra profesión, especialmente al mundo empresarial. En Francia existe la figura del CIL, “Correspondant Informatique et Libertés”, de designación facultativa y que se dedica a hacer cumplir la ley en las organizaciones, estando presente ya en muchas empresas. Están organizados en grupos de trabajo relativos a temas de interés (datos de salud, geolocalización, transferencias internacionales…), y mediante reuniones periódicas no solo realizan un seguimiento de la actualidad legislativa, sino que también elaboran documentos de trabajo que son muy útiles a los socios. En la asociación norteamericana se sigue otra filosofía en donde las empresas tienen un papel muy activo. Es la asociación que más profesionales tiene afiliados, unos 6.000… es que son 10 años ya funcionando. Muchas empresas con sede en EE.UU. tienen nombrado un CPO, “Chief Privacy Officer”, desde que lo hicieran AllAdvantage e IBM, personaje que es quien coordina todo lo relacionado con la gestión de la privacidad en la organización. Ofrecen una gama de certificaciones con una base común de conocimientos, y tienen una actividad frenética dirigida a sus socios: talleres y cursos de formación impartidos por profesionales de prestigio, encuentros por todo el mundo para hacer “networking”, un congreso anual sobre privacidad de cuatro días de duración…
Los españoles, a pesar de presumir de que tenemos una de las legislaciones de protección de datos “más duras del universo” (o eso pensamos), llegamos un poco tarde a la fiesta, como en otras muchas cosas. Pero por fin en junio del 2009 un grupo bastante numeroso de profesionales fundó lo que hoy ya es una realidad, la Asociación Profesional Española de Privacidad (APEP). Al principio se formó un grupo en la red para profesionales Linkedin con ese objetivo, y tras alguna autoexclusión necesaria y purificadora de “paracaidistas” llenos de ego, ahora es la primera asociación de profesionales de España. En la Directiva hay profesionales históricos “del club del dato”, con conocimientos y experiencia más que probados, y de muy diversos sectores. No pasaban por allí y se apuntaron, no; basta con dar un vistazo a su web para comprobarlo. Y esto empieza a notarse. Ya han tomado iniciativas reales: reunión con el Director de la AEPD, comunicación junto a ASIMELEC a la AEAT sobre el fraude “LOPD a coste cero”, reunión con los dos partidos políticos mayoritarios, participación en la 31ª Conferencia Internacional de Datos, firma de Convenio con la Agencia de Protección de Datos de la Comunidad de Madrid…
Con iniciativas como la APEP, tomando nota de lo bueno que se hace fuera, y con empeño profesional, quizá con el paso del tiempo lograremos que las empresas españolas tomen conciencia de lo que Europa dice en el documento citado. No porque lo diga Europa, sino porque se lo crean y lo aprovechen. Que existan profesionales suficientemente reconocidos y con las atribuciones necesarias para que las organizaciones no solo cumplan con la normativa, sino que vean en ésta un factor más para dar valor añadido. Y que perciban que dependen entre otras cosas de los datos de carácter personal que manejan y que eso está regulado en unas normas que marcan su actividad diaria, que entiendan que quien mejor maneje esta información, mejor podrá competir. ¿Es una utopía? A día de hoy, sí, salvo rarísimas excepciones.
Buenas, Félix
Totalmente de acuerdo, si bien creo que esto ya lo tenemos en el RLOPD y lo teníamos en el RMS, pero mucho me temo que la implantación real de esto, como de casi todo asunto LOPD, se queda en eso de que “me han hecho la LOPD y ya estoy conforme” como dices.
Y lo peor de los paracaidistas es que son también “fotocopistas” que se ven en la obligación de editar y claro entonces…
Ya llevo un par de auditorías en las que me he revisado a mi mismo con las “correcciones” pertinentes. No digo nada a los clientes porque no me sale y no me apetece entar en follones. Me basta con limar las asperezas que les generan las “recomendaciones” de cómo adecuarse a la normativa para que al menos se queden más tranquilos cuando no repiten.
Por cierto, ¿además de ser socio de la IAPP te has certificado o estás en proceso de ello? Yo estoy pensando en ir a la conferencia de Whashington y apuntarme al examen en esas fechas..si no recuerdo mal en abril.
No solicité aceptación en la APEP porque soy un ermitaño de las redes sociales, o bueno de algunas incluida Linkedin, pero ya veo que la cosa ha cambiado.
Un saludo
Buenos días, Álvaro
La figura del responsable de seguridad del Reglamento está a años luz de esas dos figuras, no pasa de ser un vigilante de seguridad informática, la gestión de los datos es más cosas que la seguridad.
El 21 de abril estaré en Washington para el CIPP; ya estuve en octubre y pasé solo el “foundation”. Así que toca volver. Es capricho, pero al menos entiendo cómo piensan
La APEP está empezando a andar, merece la pena asociarse. En cuanto esté a pleno funcionamiento se notará más aún que quien la dirige es gente “del dato”.
Saludos,
Félix,
Creo que el Responsable de Seguridad que tenemos es el que debe, si bien no lo estamos sabiendo entender bien o nos agarramos demasiado al principio de mínimos y a una interpretación muy literal.
El art. 9 LOPD nos habla de gestionar los riesgos para la seguridad, pero luego el RLOPD nos limita a un catálogo de requisitos, con carácter de mínimos, pero como la AN ha dicho que estamos ante una obligación de resultado, es entonces cuando si queremos hacer las cosas realmente bien es cuando debemos pensar en un verdadero sistema de gestión de la seguridad, por ejemplo basándonos en la ISO 27001. ¿Has visto el Esquema Nacional de Seguridad?¿Cómo ves al RS en una Administración Pública, sólo en gestión de seguridad LOPD o de la información administrativa en general?
Nada nos limita a que sea así, y como digo a mis clientes se ha de empezar por gestionar la conformidad con los principios de consentimiento y cesión de datos, siguiendo por la seguridad haciendo enfásis en aquéllas que ayuden a reducir el riesgo de incumplir el deber de secreto cuando se tratan datos de carácter personal especialmente protegidos, las transferencias internacionales de datos,…, es decir, gestionar dando prioridad a los mayores riesgos e ir poco a poco hasta llegar al principio de seguridad, acceso a datos por cuenta de terceros, el principio de calidad de los datos, deber de información, inscripción de ficheros,…
Es cierto que el RS debe ser quien coordine y supervise las medidas de seguridad -nada nos dice el RLOPD sobre el cumplimiento de los principios-, haga los informes mensuales de registros de accesos y alguna pijada más, pero para poder hacerlo debe ser una persona o varias con perfil multidisciplinar, pues es necesario saber un poco de todo: recursos humanos, marketing, finanzas, tecnología, protección de datos,… y sobre todo tener bastante sentido común.
Otra cosa es que por lo general se está muy lejos de que la figura del Responsable de Seguridad se acerque a la figura del CISO del mundo anglosajón que debe saber cuáles son los activos de información de la entidad, cómo se trata ésta por efecto de los procesos de gestión, en los que intervienen personas de dentro, pero también clientes, proveedores,…, procesos de gestión con los que se ha de integrar el proceso de seguridad, gestionando los riesgos en los tratamientos de la información. Y digo información, que no sólo datos personales.
Pues lo mismo nos vemos en el evento de la IAPP. Todavía no puedo confirmarlo, pero me temo que también vaya por Washinghton. Será un placer poder coincidir.
Un saludo
Buenas,
Te refieres a un responsable de seguridad informática, y repito, la LOPD es mucho más. Si quieres añadir gestión de riesgos, añádelo. Con cumplir lo que dice el RD, ya pasamos, no hay que cumplir con más.
Lo que echo en falta es una figura que aglutine no sólo la seguridad, sino que controle/supervise/dibuje los procesos de datos en una empresa. Esto va más allá de la seguridad. El ejemplo que pones me sirve: ¿ves al responsable de seguridad redactando cláusulas o contratos?¿o trabajando con recursos humanos para informar al trabajador de un nuevo tratamiento? Yo no. Otro más, ¿quién les cuenta, por ejemplo, a los de marketing, cómo recoger los datos, qué pueden hacer con ellos…? ¿Quién coordina un proceso de cesión de datos a terceras empresas? ¿El responsable de seguridad del reglamento? Más bien no.
El CISO es todo seguridad de (toda) la información, no cumple los roles que menciono en el post.
Mi correo está colgado por ahí, si vas avísame y nos conocemos allí mismo…
No estoy seguro de que responsabilizar a una o varias personas de este tema vaya a dar buen resultado.
Debería ser algo asumido por todas las personas de la empresa, igual que saben que no deben romper un equipo o escupir al jefe… pero claro… son datos personales… y a muy poca gente les importa.
Hola,
En otras partes sí que está funcionando bien. Ahí está la figura del CPO, o la francesa, el CIL. Son responsables de que funcione todo el engranaje de protección (gestión) de datos dentro de una organización, no solo seguridad.
En España es donde lo que tenemos es un Responsable de Seguridad, sólo para ciertos casos, y delimitado a la seguridad informática. Dejamos de lado otros aspectos, cuando la gestión de los datos personales es bastante más amplia.
Saludos,
Félix,
Estamos de acuerdo, pero no acabamos de entendernos.
Cuando hablo de gestión de seguridad de la información hablo de la información en su más amplio concepto: información oral, escrita en papel o recogida en soportes informáticos.
Hablo de un responsable de seguridad no sólo informático. Un CIO es un responsable de identificar todos los activos de información de una organización, información en su más amplio concepto. El CSO es el responsable de la seguridad, sea ésta física o lógica. Y un CISO es ambas figuras en una, que si bien tiene sentido tener una única personas para ambas funciones, también puede ser conveniente segregar estas funciones precisamente por seguridad.
Para mí el concepto de seguridad, como para la ISO 27001 y otros estándares de seguridad, incluye la falta de conformidad legal en el tratamiento de información, es decir, es un riesgo, pues puede traer consigo incidentes que impactan en el valor de la compañía, sea porque hay que gestionar el incidente (costes de abogados, tiempo invertido por personal,…), por el importe de sanciones (multas, pero también perder un directivo que sea condenado penalmente habiendo imposibilidad de ejercer el cargo en tal caso), coste intangible en la reputación, campaña de comunicación para restablecer la imagen).
Espero que ahora hayas visto que estábamos diciendo lo mismo aunque no nos entendiéramos.
Un saludo