Falta de iniciativa

He estado digitalizando apuntes y artículos sobre protección de datos que conservaba en papel. Entre éstos, he encontrado documentación de un seminario sobre el régimen jurídico de los datos de tráfico en Internet que se hizo en la Universitat de les Illes Balears en febrero de 2005. Andaba por aquél entonces viviendo en Palma de Mallorca, con la suerte de que existía allí el CEDIB, Centro de Estudios de Derecho e Informática de Baleares. Una de las investigadoras me invitó a asitir como oyente, y lo cierto es que fue de lo más interesante, porque entonces estaba en el candelero el asunto de la conservación de datos en telecomunicaciones.

Invito a navegar por la web, todavía activa, del CEDIB. La última actualización es del 22 de enero del 2008. Puede comprobarse lo numerosas que son los seminarios, cursos, publicaciones… Esto me ha hecho reflexionar sobre el estado no sólo de la investigación en general, sino de la referida a la privacidad. ¿Qué tenemos en España digno de mención?¿existe alguna institución, sea pública o privada, donde se investigue la materia, y lo más importante, que produzca resultados que sean útiles para el sector empresarial, profesional, o la sociedad en general?

Basta con intentar profundizar para encontrarse con que existe un vacío tremendo. Por dar un ejemplo, el reciente asociacionismo no está pasando de un ejercicio endémico de onanismo "eleopediano". Los mismos asistentes a los mismos foros donde repiten los mismos ponentes hablando de lo mismo. Mucha teoría, muchísima, pero poca práctica y pocos resultados palpables.

Si nos vamos al mundo de la empresa, para qué hablar. España, aunque nos pese, todavía no se ha subido a lo digital nada más que como consumidora, no tiene una masa crítica de empresas cuya materia prima esencial de trabajo sean los datos de las personas. Sí, alguno estará pensando en Tuenti, pero es una rara excepción. Como muchos otros, somos un país receptor y usuario de tecnología extranjera (Facebook, Google, Apple…) que sí que tiene como centro los datos. No producimos tecnología que ponga a prueba la privacidad, y no tenemos más remedio que entretenernos filosofando con los problemas que nos aporta esa otra concepción del derecho a la privacidad. El concepto casi puramente mercantil norteamericano choca con el eterno y fracasado proteccionismo europeo. Y de ahí el único acicate que mueve los artículos, ponencias y demás en los que anda paseándose el sector profesional por aquí. Sin los retos de la tecnología foránea, no habría tertulia.

Y finalmente, ¿asociaciones civiles que defiendan y promuevan los derechos de los ciudadanos? Ni están, ni se les espera.

El panorama es bien diferente al otro lado del Atlántico. Estados Unidos inventa, tiene la iniciativa tecnológica (¿qué fue de Japón…?), y disfruta de una brillante actividad dedicada a la privacidad en todos sus ámbitos. Pueden verse multitud de empresas que han surgido de las necesidades que plantea la gestión de la privacidad (Truste, Nymity, Abine, Safetyweb, MyID, Personal…); florecen las asociaciones civiles que defienden al ciudadano (EFF, ACLU, EPIC, CDT…); existen universidades con proyectos de investigación sólidos (el Berkman Center de Harvard, el Berkeley Center for Law & Technology, el Center for Internet and Society de Stanford, el CUPS de la Carnegie Mellon…).

Y para qué hablar del sector profesional, donde también se han implicado las empresas en bloque. Son ellas mismas las que impulsaron y fomentaron el asociacionismo. La International Association of Privacy Professionals (IAPP) se creó en el año 2000 (¡…!), y cuenta ya con más de 10.000 miembros en 70 países. La actividad que desarrolla es muy enriquecedora: congresos, seminarios, webinars, publicaciones… Desde hace tiempo tiene ya presencia en Europa, y desde el 2011 hasta ofrece certificación profesional sobre legislación europea (CIPP/E). Y este año ha comenzado a preparar su desembarco en la zona Asia/Pacífico.

En el primer Knowledgenet de la IAPP en Madrid tuve ocasión de compartir con otro asistente cómo el "lobby" americano había logrado sus frutos en Bruselas. Basta con leer el proyecto de Reglamento europeo de protección de datos para darse cuenta de cuánta influencia han tenido. Es lo que tiene trabajar en la misma dirección, con un proyecto común y teniendo claros los objetivos. 

Pienso que existe una grave falta de iniciativa. ¿Compartís esta visión? ¿Alguna opinión optimista?

La figura del Responsable de Protección de Datos, un gran impulso para la profesión (2ª parte)

El Responsable de Protección de Datos ha de poder llevar a cabo su trabajo de forma independiente, sin que pueda recibir instrucciones en el ejercicio de sus funciones. La empresa ha de preocuparse por que se cuente con él en tiempo y forma en cualquier cuestión que lleve parejo el tratamiento de datos de carácter personal. Tiene que ser apoyado en el desarrollo de sus trabajos, y han de proporcionársele el personal, instalaciones, equipos y cualquier recurso necesario para que trabaje.

El Responsable de Protección de Datos ha de informar directamente a la dirección de la empresa. Imaginémonos la alteración que esto supone en el organigrama de cualquier empresa. Creo que el esfuerzo va a ser mayúsculo. Si la empresa en cuestión no tiene ya arraigada una cultura de protección de datos, a toda la estructura le costará bastante asumir este nuevo puesto con sus roles, y la primera tarea del Responsable pasará por justificar y explicar la necesidad de su propia existencia. Como siempre, si la dirección no está convencida de la necesidad de la existencia del Responsable de Protección de Datos, será bastante difícil que pueda trabajar y cumplir con sus cometidos convenientemente, al faltarle apoyo.

Las funciones que el borrador de Reglamento enuncia para el Responsable son la siguientes:

- informar y asesorar a la empresa acerca de las obligaciones que le impone el Reglamento, y documentar esta actividad y las respuestas que se han dado a sus peticiones,

- controlar la implementación y aplicación de las políticas de la empresa en relación con la protección de datos personales, incluyendo la asignación de responsabilidades, la capacitación del personal involucrado en los tratamientos, y la realización de auditorias periódicas

- controlar la implementación y aplicación del Reglamento, en particular los requisitos relativos a la protección de datos por diseño, protección de datos por defecto, la seguridad de los datos y las solicitudes de ejercicio de derechos,

- asegurarse de mantener la documentación que exige el Reglamento; y controlar la documentación, notificación y comunicación de fugas de datos personales,

- controlar la aplicación por la empresa de lo establecido en los análisis de impacto sobre protección de datos, y la solicitud de autorización o consulta previa,

- actuar como contacto con la autoridad supervisora, y controlar las respuestas que se le ofrezcan, así como colaborar con ésta dentro de su esfera de competencias, ya sea a su solicitud, o por iniciativa propia

Como puede verse, sus funciones son bastante más extensas que las del Responsable de Seguridad. Nada tiene que ver una figura con otra. Es más, la competencia de supervisar “la seguridad de los datos” es una más, por lo que las funciones del Responsable de Seguridad actual quedaría controladas/supervisadas por el Responsable de Protección de Datos.

David González me planteó ayer a través de twitter que echaba de menos la regulación de ciertas incompatibilidades que pueden darse, pensando en un Responsable de Protección de Datos en su modalidad de contratado externo… con el conocimiento que adquirirá sobre el negocio de las empresas a las que preste servicio, ¿no debieran haberse regulado? Quizá por lo compleja que puede ser esa regulación se ha obviado, ya que las mismas empresas se cuidarán muy bien de prestar atención al asunto. Por dar un ejemplo concreto, a una empresa de software no se le pasará por la cabeza contratar al mismo Responsable que también ejerce en una empresa competidora. Al menos yo no lo haría.

¿Están preparadas las empresas españolas para asumir esta figura? Pienso que todavía no, pero no les quedará más remedio. Es un revulsivo que puede ayudar bastante a pasar del mero cumplimiento en protección de datos, a la utilización de la cuestión como ventaja competitiva, como diferenciación con la competencia… Las empresas tendrán que pasar de estar acostumbradas a tratar la LOPD como amenaza, como algo externo que se puede obviar, a tener en cuenta la opinión de estos especialistas en todos los procesos en los que haya tratamiento de datos. Puede pensarse que es una exageración que se exija desde la UE, pero si realmente se quiere que se respete un derecho fundamental que está tan, tan impactado por las nuevas tecnologías, la mejor solución es obligar a las empresas a incluir especialistas en el campo en su funcionamiento. En este sentido prefiero una regulación quizá muy atrevida e influida por los “useños”, a una “no regulación” o una regulación muy coja, como la que tenemos ahora con la figura del Responsable de Seguridad.

Como cuestión de cierre y para reflexión, ¿de qué calibre es la responsabilidad que asumirán estos trabajadores? ¿hasta qué punto serán responsables de que su empresa cumpla o no con la legislación? Es un tema que merece análisis, y quizá es más complejo de lo que puede parecer. Pero no puedo evitar pensar en el ejemplo de la condena por un juzgado de Milán a Peter Fleischer, responsable global de privacidad de Google. En 2006, una pandilla de impresentables grabó en vídeo los abusos a un compañero de colegio autista, y lo subió a Google Video. Fleischer y dos ejecutivos más fueron condenados por no cumplir con la legislación sobre privacidad italiana.

Con todo, de ser aprobada esta versión del borrador de Reglamento, constituye un gran impulso para nuestra profesión. Sería un grave error que Europa no lo regulara, quedando en un breve plazo de tiempo por detrás de su eterno competidor, EE.UU. Es imposible que en pleno siglo XXI, donde la materia prima esencial que usan las empresas para trabajar es la información sobre las personas, el profesional de la privacidad todavía sea visto como algo raro y exótico. Esta regulación es más que necesaria.

Buena entrada en 2012 a todos.