Paloma Llaneza

Llega el BlogDay, ese día en que los blogers hacemos de casamenteros y presentamos a nuevos amiguitos para jugar a la comba. Aparte de mis clásicos de siempre, hay algunas lecturas que no he incorporado al blogroll. Aquí van:

Security Art Work: Blog colaborativo de seguridad, interesante y bien escrito, que no es poca cosa.

Quemar las Naves: Desde Chile, Claudio Ruiz enhebra derecho y tecnología desde la perspectiva de los derechos fundamentales. Indudablemente, la nueva frontera.

Saber leyes no es saber Derecho: Ya sé que está en el Blogroll pero ¡es qué es tan bueno!.

Apuntes de seguridad de la Información: Si no fuera por Javier, no me entararía de nada.

ChiquiAds: No sólo de Derecho y TIC vive el hombre. Inteligentísima recopilación de la publicidad más creativa. Un “must have” que diría el Vogue.

Todos sabemos que la publicidad de Google hace cosas raras, como anunciar cursos de auxiliar de vuelo al pie de la noticia del accidente de la semana pasada.

Pero esto que apareció ayer en mi blog me toca la fibra.

De todo me han llamao, pero plaga… me duele.

Veo la noticia “Decenas de abogados ofrecen sus servicios a los familiares de los fallecidos en el accidente aéreo de Barajas” y me avergüenzo de pertenecer a este gremio.

Nadie después de haber perdido a toda su familia está en condiciones de elegir la mejor y más independiente defensa legal, sólo de llorar a sus muertos. Aunque precisamente es en este estado de aturdimiento cuando conviene engancharlos y prometerles venganza, sangre e indemnizaciones millonarias.

De pena.

Leo en el interesantísimo blog de David Maeztu un comentario de asunto BSA v. Calatrava v. BSA, por infracción de derechos de autor por el uso de un Autocad sin licencia y posterior acción por atentado a la intimidad de Calatrava a raíz de la publicación de los hechos.

Llama la atención que alguien que registra sus edificios para evitar que publiquen fotos sin su permiso, o que se enzarza en pleitos por quítame-allá-esa-barandilla no tenga el mismo respeto por otros intelectos dignos de protección.

Curiosa, en todo caso, la extraña defensa por vía del honor herido de este hacedor de puentes iguales.

Por cierto, David, enhorabuena por tu nuevo blog sobre las leyes y los blogs .

Me escriben un par de amigos bloggers interesándose por EuroPrise, un sello llamado de calidad (ya os diré por qué no lo considero de calidad) que ha montando una autoridad de control alemana para certificar, en principio, producto y ahora también servicios.

Como aparezco en la lista como la primera experta acreditada por España (prometo que fue por estricto orden de caída) y hay confianza, me dirigen varias preguntas sobre el esquema de certificación que les contesté apresuradamente.

Una vez que he acabado el informe del cliente que he presentado al piloto y mi nuevo “examen” para ampliar mi acreditación de experto legal a experto legal-técnico, hago un hueco para compartir con vosotros esas respuestas y algunos problemas que la aplicación práctica del esquema me han generado.

La certificación se produce contra la directiva comunitaria de protección de datos y las normas nacionales en donde el producto/ servicio se distribuya/preste. Documentalmente, se trabaja con los siguientes documentos:

- EuroPriSe Evaluation Manual for Experts, que es una especie de metodología, en la que se distinguen las fases de evaluación y los documentos aplicables.

- EuroPriSe Catalogue for Experts (v0.3): organizado en cuatro areas, es un gran checklist de cumplimiento contra la Directiva y normas nacionales

- EuroPriSe Criteria Catalogue for Experts (version 0.3): contiene el catálogo y lo explica, ampliando con información útil para el evaluador.

- Por último, hay un modelo de informe (Evaluation Report Template) que ha de ser respetado.

Las entidades de certificación son las agencias que se han unido al proyecto, y los evaluadores somos los expertos, a quien nos contrata el evaluado. Este esquema tiene el riesgo de que el experto se vea abocado a hacer consultoría. La situación óptima sería la que se contempla en esquemas de certificación normativos, en las que el auditor es no sólo acreditado y seleccionado, sino también pagado, por la entidad de certificación de la que depende contractualmente.

Otra de las mejoras que incluiría en el esquema sería la de dividirlo en dos (uno de producto y otro de proceso/servicio/SI) con sus correspondientes catálogos independientes, estructurando mejor el de proceso, con inclusión, en su caso, del sistema de gestión que actualmente no contempla. Se echa de menos también una metodología de auditoría más precisa, y se echa de más la distinción entre datos primarios y secundarios, que parece que se arrastra de la certificación de producto. Esta distinción, desde la perspectiva de proceso es innecesaria, pues si se trata de datos personales, todos, primarios o no, han de ser tenidos en consideración en la evaluación.

También he detectado un problema de indefinición. Aunque se califica este sello como de calidad, la realidad es que no es un sello de calidad sino de cumplimiento legal, ya que nuestro documento normativo (esto es, el documento contra el que certificamos) no es una norma de cumplimiento voluntario tipo ISO o UNE, sino la directiva y normativa nacional de cumplimiento obligatorio. No tenemos, por tanto, un documento normativo de calidad (que es un plus sobre el cumplimiento obligatorio) sino una combinación de normas comunitarias y nacionales en forma de checklist.

Lo anterior, que es muy interesante a la hora de vender un producto compliant, es muy peligroso al vender una organización compliant. Mientras el fabricante del producto no va a ser sancionado si lo que vende no cumple, la organización sí.

Se que muchos creen que un sello de este tipo le blinda frente a inspecciones. Puede. O puede que no.

Ya me lo barruntaba yo, pero aquí está la prueba. El concepto de Internet lo inventó un abogado, bueno dos, los belgas Paul Otlet y Henri La Fontaine. El primero describió un mundo interconectado en el que “cualquier persona desde su sillón será capaz de contemplar el conjunto de la creación”.

No es el Aleph, pero se le parece mucho.