La figura del Responsable de Protección de Datos, un gran impulso para la profesión (1ª parte)

En el Congreso de Protección de Datos de IAPP Europa el 29 de noviembre, antes de la intervención de la Comisaria europea de Justicia, Derechos Fundamentales y Ciudadanía, ya se rumoreaba que tendríamos un Reglamento y no una Directiva. Viviane Reding se limitó a indicar que el Parlamento Europeo tendría “un regalo tardío de Navidad” de la Comisión, y a leer un corto discurso sin admitir preguntas. Unos días después, se filtró en Internet lo que se conoce como la versión 56 de la Propuesta de Reglamento General de Protección de Datos.

El revuelco que el Reglamento le da a la legislación es de aúpa. Pero creo que lo más interesante para los profesionales es el reconocimiento de la figura del Responsable de Protección de Datos, “Data Privacy Officer” para los aficionados al inglés. Nada tiene que ver con el Responsable de Seguridad que regula nuestro Reglamento, que sólo está dedicado a coordinar/controlar las medidas de seguridad que se adoptan para los ficheros. La nueva figura se ocupará de bastantes más asuntos, y tendrá que asumir unos roles más amplios y diversos.

Me resulta bastante curioso que la Unión Europea termine adoptando una figura con denominación de origen norteamericano. La empresa IBM fue pionera en designar en el año 2000 un “Chief Privacy Officer”, Harriet Pearson. Tenía los cometidos de unificar la privacidad en los proyectos y programas en IBM, incluyendo investigación y desarrollo, marketing, ventas, estrategia web y tecnología; coordinar la privacidad en la oferta tecnológica y de servicios; asegurar el liderazgo de IBM adoptando las mejores prácticas para con los empleados, clientes y consumidores, y que la empresa cumpliera con la legislación y estándares aplicables.

Por si en el mundo de los “eleopedianos” no teníamos bastantes divisiones ya (tecnólogos, juristas y otras diversas faunas), ahora vienen desde Europa a exigirnos un poquito más. No solo tecnología y derecho, sino también organización, análisis de productos y servicios… De todo un poco, pero fundamentalmente, en todos sus desempeños, ha de entender el negocio de la empresa donde está trabajando y su funcionamiento. Esto es fundamental, lo llevo diciendo unos años: ¿cómo vas a asesorar sobre algo que desconoces?

El Reglamento dedica tres artículos a regular esta figura (32 a 34). Será obligatorio contar con un Responsable de Protección de datos en las administraciones públicas (ver post de Francisco Javier Sempere, El Responsable de Protección de Datos (DPO) en las AAPP), en empresas de más de 250 empleados, y en aquéllas donde se lleven a cabo operaciones con datos que por su naturaleza, alcance y/o finalidades requieran supervisión regular y sistemática. Nada impide que cualquier organización, sin que esté dentro de estos supuestos, pueda nombrar también a alguien para que cumpla estas funciones.

Es posible tanto nombrar a un empleado para el puesto, como contratar a personal externo. Sin embargo, por la redacción de la propuesta de Reglamento, no parece que pueda contratarse a una empresa, sino que siempre habrá de ser una persona física quien lleve a cabo las funciones.

Han de tenerse en cuenta las cualidades profesionales del Responsable, y en particular, conocimiento experto de la legislación sobre protección de datos. Queda claro que todo ello estará determinado también por los tratamientos de datos que lleve a cabo la empresa que lo nombra. Subrayo la exigencia de conocimiento de la legislación. Al fin y al cabo, el mayor componente de esta figura es velar porque se cumpla la normativa, y quién mejor que alguien que la conoce para que conozca qué puede exigir. ¿Hasta dónde ha de llegar ese conocimiento? Para mí, el ideal es, en origen, un licenciado en derecho con especialización en protección de datos. Antes podía incluso ser discutible, porque el rol del Responsable de Seguridad primero estuvo ceñido a seguridad informática, luego se añadió la seguridad en ficheros automatizados y no automatizados, pero con esta ampliación de funciones junto con la afirmación del Reglamento queda despejada cualquier duda, a mi parecer.

Algo que va a combatir el consabido “pluriempleo” de los profesionales del sector es que se impone a la empresa que se asegure de que si el Responsable de Protección de Datos tiene otras tareas, sean compatibles con sus obligaciones como tal, y nunca se provoque conflicto de intereses. Pensemos por un segundo en cuántos responsables de informática son a la vez Responsables de Seguridad conforme al Reglamento LOPD actual… ¿no supone conflicto de intereses?

Será nombrado para un período de 2 años, pudiendo renovarse por el mismo tiempo. No puede ser apartado del puesto si no es porque deje de reunir los requisitos para cumplir con sus obligaciones. La empresa tendrá que comunicar su identificación a la autoridad supervisora (Agencia Española de Protección de Datos) y al público en general, que tendrá derecho a contactar con él para todas las cuestiones relativas tanto al ejercicio de derechos, como a los tratamientos de datos que se realicen. Así que los Responsables de Protección de Datos tendrán que lidiar con los clientes/usuarios, nueva e interesante atribución que va a exigir la coordinación con el departamento de comunicación, en caso de que exista en la empresa.

(Mañana, último día del año, la segunda parte…)

Amazon y la privacidad en Kindle Fire


Todos los días voy al trabajo en metro, y cada vez veo más gente que utiliza libros electrónicos. También pasa en las cafeterías, paradas de bus y en general en cualquier lugar que se preste a hacer esperas. Estos cachivaches van comiéndole terreno poco a poco al libro tradicional, al que se le augura incluso una pronta extinción. Ya se ha debatido sobre lo que van a sufrir los autores por la piratería, sobre el IVA que se les aplica, sobre la conveniencia de que su precio sea menor que el de los libros de papel… Pero ahora pienso que hay que añadir un debate no poco interesante: ¿qué pasa con la  privacidad de los usuarios de esos lectores?

Amazon lanzó en septiembre su nuevo modelo de lector, el Kindle Fire. Más aproximado a un iPad que a un lector de los que ya conocemos, lleva incorporado un navegador que se llama Silk que sirve para visitar páginas web en Internet, igual que permiten Explorer, Firefox o Chrome. Pero este navegador tiene una peculiaridad: Amazon enruta todo el tráfico web del lector a través del Amazon Web Services (AWS), utilizando un protocolo más rápido que el http, el SPDY. Con esto, todas las visitas a páginas web que hagan los usuarios pasarán por la “nube” de Amazon. En las condiciones y términos del navegador Amazon nos avisa de que almacenará las URL de las páginas web que visitemos, y las direcciones IP o MAC durante 30 días. Eso sí, sólo para “cuestiones técnicas”.

¿Cuál es su objetivo? El principal, dar un buen y rápido servicio al usuario apoyándose en sus propios servidores. Y el secundario, por no decir el primordial para la empresa, adquirir información sobre los hábitos de navegación de los propietarios de un Kindle. Pensemos que, en cuestión de 2 años, con unos cuantos millones de navegadores Silk por el mundo, Amazon tendrá una cantidad de información sobre sus usuarios nada desdeñable, y muy, muy aprovechable. Si añadimos también en un futuro algo de geolocalización, ya tendremos algo con casi la misma potencia perfiladora que un iPhone, que hasta de noche está llamando a “su casa”, como el extraterrestre de Spielberg.

En Estados Unidos ya han saltado las voces de alarma. Tanto los técnicos, como los juristas, han puesto el grito en el cielo. Incluso un Senador ha pedido información a la empresa. Y el caso es que algo han empezado a hacer: en California aprobaron a primeros de octubre una ley que protege a los usuarios de lectores de libros electrónicos. Tanto nos quejamos de que la privacidad allí no se protege, pero en este caso quizá nos están dando lecciones.

Me pregunto qué va a ocurrir cuando estos libros ya se vendan en España. El libro con el navegador serán medios situados en España mediante los que Amazon recogerá datos personales, perfiles de navegación. Además, para activar el libro tienes que registrarte, por lo que quedas perfectamente identificado. A buen entendedor…