palomallaneza.com

Me escriben un par de amigos bloggers interesándose por EuroPrise, un sello llamado de calidad (ya os diré por qué no lo considero de calidad) que ha montando una autoridad de control alemana para certificar, en principio, producto y ahora también servicios.

Como aparezco en la lista como la primera experta acreditada por España (prometo que fue por estricto orden de caída) y hay confianza, me dirigen varias preguntas sobre el esquema de certificación que les contesté apresuradamente.

Una vez que he acabado el informe del cliente que he presentado al piloto y mi nuevo “examen” para ampliar mi acreditación de experto legal a experto legal-técnico, hago un hueco para compartir con vosotros esas respuestas y algunos problemas que la aplicación práctica del esquema me han generado.

La certificación se produce contra la directiva comunitaria de protección de datos y las normas nacionales en donde el producto/ servicio se distribuya/preste. Documentalmente, se trabaja con los siguientes documentos:

- EuroPriSe Evaluation Manual for Experts, que es una especie de metodología, en la que se distinguen las fases de evaluación y los documentos aplicables.

- EuroPriSe Catalogue for Experts (v0.3): organizado en cuatro areas, es un gran checklist de cumplimiento contra la Directiva y normas nacionales

- EuroPriSe Criteria Catalogue for Experts (version 0.3): contiene el catálogo y lo explica, ampliando con información útil para el evaluador.

- Por último, hay un modelo de informe (Evaluation Report Template) que ha de ser respetado.

Las entidades de certificación son las agencias que se han unido al proyecto, y los evaluadores somos los expertos, a quien nos contrata el evaluado. Este esquema tiene el riesgo de que el experto se vea abocado a hacer consultoría. La situación óptima sería la que se contempla en esquemas de certificación normativos, en las que el auditor es no sólo acreditado y seleccionado, sino también pagado, por la entidad de certificación de la que depende contractualmente.

Otra de las mejoras que incluiría en el esquema sería la de dividirlo en dos (uno de producto y otro de proceso/servicio/SI) con sus correspondientes catálogos independientes, estructurando mejor el de proceso, con inclusión, en su caso, del sistema de gestión que actualmente no contempla. Se echa de menos también una metodología de auditoría más precisa, y se echa de más la distinción entre datos primarios y secundarios, que parece que se arrastra de la certificación de producto. Esta distinción, desde la perspectiva de proceso es innecesaria, pues si se trata de datos personales, todos, primarios o no, han de ser tenidos en consideración en la evaluación.

También he detectado un problema de indefinición. Aunque se califica este sello como de calidad, la realidad es que no es un sello de calidad sino de cumplimiento legal, ya que nuestro documento normativo (esto es, el documento contra el que certificamos) no es una norma de cumplimiento voluntario tipo ISO o UNE, sino la directiva y normativa nacional de cumplimiento obligatorio. No tenemos, por tanto, un documento normativo de calidad (que es un plus sobre el cumplimiento obligatorio) sino una combinación de normas comunitarias y nacionales en forma de checklist.

Lo anterior, que es muy interesante a la hora de vender un producto compliant, es muy peligroso al vender una organización compliant. Mientras el fabricante del producto no va a ser sancionado si lo que vende no cumple, la organización sí.

Se que muchos creen que un sello de este tipo le blinda frente a inspecciones. Puede. O puede que no.