Paloma Llaneza

Trás agónicas discusiones para que me ampliaran la acreditación de experto legal a legal/técnico y tras recibir una amabilísima invitación de la APDCM en la persona de Emilio Aced, la semana que viene me voy a Estocolmo de speaker a hacer patria en el Proyecto EuroPriSe, en plan grupo de autoayuda, contando mi experiencia como evaluador de un cliente pendiente de certificación en este esquema.

El Workshop es gratis aunque con lo que cuesta el viaje a Estocolmo no es lo mismo que si quedara aquí al lado. Pero en medio de esta crisis pelona, he decidido que un poco de frío nórdico siempre viene bien para aclarar las ideas paseando por sus estupendos mercados navideños.

En fin, lo sobrellevaremos dignamente a base de Aquavit con los que vengais. Los que no, ya os lo contaremos a la vuelta.

Compartiendo página con el Cuéntame y el coñazo de Rajoy, e ilustrado con una foto absurda de unos kuwaities más preocupados de la bajada del petroleo que de lo que haga Google con sus datos, El País me publica un humilde articulillo. Y además en el día de las Pilares, que como sabéis, es mi otra identidad.

En fin, que pido perdón por la autoreferencia. A ver si Google me indexa rapidito y deja de ponerme anuncios de control de plagas.

Por una vez en mi vida de Letrado desastre me ha dado por leerme las condiciones de privacidad y protección de datos que me obligo a aceptar antes de la descarga del navegador Google Chrome. Teniendo en cuenta que me remite a las generales del buscador, no me deja muy tranquila. Si los datos de mis búsquedas que comparte con otros, como dice, de manera desagregada les añade ahora no sólo la IP sino también los datos de mi registro, la cosa se complica.

Además, con la LOPD española en la mano, el consentimiento sobre el tratamiento de datos susceptibles de ser personales, ha de otorgarse de manera separada que el que se dá a la licencia de uso del software, debiendo de informarme de manera específica de las cesiones y los tratamientos. Aunque esté en EEUU, Google tiene muchos usuarios españoles dignos de la protección que la LOPD y la constitución nos otorga.

Al final Google, con sede en Montain View una ciudad que, doy fe, es lo más aburrido que le ha pasado a mi vida en muchos años, va a saber más de mí que mi madre. Y no me gusta nada.

Así que aparco la descarga hasta que actualicen sus condiciones de privacidad. Mientras, y mira que lo siento, que no cuenten conmigo.

Me escriben un par de amigos bloggers interesándose por EuroPrise, un sello llamado de calidad (ya os diré por qué no lo considero de calidad) que ha montando una autoridad de control alemana para certificar, en principio, producto y ahora también servicios.

Como aparezco en la lista como la primera experta acreditada por España (prometo que fue por estricto orden de caída) y hay confianza, me dirigen varias preguntas sobre el esquema de certificación que les contesté apresuradamente.

Una vez que he acabado el informe del cliente que he presentado al piloto y mi nuevo “examen” para ampliar mi acreditación de experto legal a experto legal-técnico, hago un hueco para compartir con vosotros esas respuestas y algunos problemas que la aplicación práctica del esquema me han generado.

La certificación se produce contra la directiva comunitaria de protección de datos y las normas nacionales en donde el producto/ servicio se distribuya/preste. Documentalmente, se trabaja con los siguientes documentos:

- EuroPriSe Evaluation Manual for Experts, que es una especie de metodología, en la que se distinguen las fases de evaluación y los documentos aplicables.

- EuroPriSe Catalogue for Experts (v0.3): organizado en cuatro areas, es un gran checklist de cumplimiento contra la Directiva y normas nacionales

- EuroPriSe Criteria Catalogue for Experts (version 0.3): contiene el catálogo y lo explica, ampliando con información útil para el evaluador.

- Por último, hay un modelo de informe (Evaluation Report Template) que ha de ser respetado.

Las entidades de certificación son las agencias que se han unido al proyecto, y los evaluadores somos los expertos, a quien nos contrata el evaluado. Este esquema tiene el riesgo de que el experto se vea abocado a hacer consultoría. La situación óptima sería la que se contempla en esquemas de certificación normativos, en las que el auditor es no sólo acreditado y seleccionado, sino también pagado, por la entidad de certificación de la que depende contractualmente.

Otra de las mejoras que incluiría en el esquema sería la de dividirlo en dos (uno de producto y otro de proceso/servicio/SI) con sus correspondientes catálogos independientes, estructurando mejor el de proceso, con inclusión, en su caso, del sistema de gestión que actualmente no contempla. Se echa de menos también una metodología de auditoría más precisa, y se echa de más la distinción entre datos primarios y secundarios, que parece que se arrastra de la certificación de producto. Esta distinción, desde la perspectiva de proceso es innecesaria, pues si se trata de datos personales, todos, primarios o no, han de ser tenidos en consideración en la evaluación.

También he detectado un problema de indefinición. Aunque se califica este sello como de calidad, la realidad es que no es un sello de calidad sino de cumplimiento legal, ya que nuestro documento normativo (esto es, el documento contra el que certificamos) no es una norma de cumplimiento voluntario tipo ISO o UNE, sino la directiva y normativa nacional de cumplimiento obligatorio. No tenemos, por tanto, un documento normativo de calidad (que es un plus sobre el cumplimiento obligatorio) sino una combinación de normas comunitarias y nacionales en forma de checklist.

Lo anterior, que es muy interesante a la hora de vender un producto compliant, es muy peligroso al vender una organización compliant. Mientras el fabricante del producto no va a ser sancionado si lo que vende no cumple, la organización sí.

Se que muchos creen que un sello de este tipo le blinda frente a inspecciones. Puede. O puede que no.

El pasado 22 de abril (sí, ya sé que llego con un poquito de retraso) se celebró una jornada multitudinaria sobre el desarrollo reglamentario organizado por la Agencia de Protección de Datos nacional.

En el Palacio de Congresos de Madrid, el del Paseo de la Castellana, se plantificaron “cienes y cienes” de profesionales interesados en que les aclararan las dudas que el nuevo Reglamento les suscita. Con las preguntas previamente remitdas por los asistentes, los técnicos de la Agencia las agruparon y las contestaron.

Tanto las ponencias como la documentación están accesibles en la página de la Agencia.

La mañana de 24 de abril, en mi función de moderadora-presentadora de Securmática con la que me honran los amigos de la revista SIC, me tocó torear con las prisas del Director de la Agencia de Proteción de Datos nacional, Artemi Rallo.

Mientras el desgranaba los aspectos de seguridad del nuevo reglamento, yo me he quedado con el titular de la jornada: ojito con “la mula” y su uso en las organizaciones. La gente cree que está compartiendo la tercera temporada de Prison Break, y resulta que ponen en el fichero de compartir los historiales médicos de los enfermos y tal. También los hay que se llevan el trabajo a casa y le echan la culpa a su hijo por no saber configurar el cacharro.

El Director confirmó la sanción impuesta a CCOO pero se reservó las que serían noticia en un par de días en los periódicos. Aquí van las referencias de las resoluciones:

- La del becario del despacho de abogados (¡dónde le habrán puesto al pobre!);

- La de los chicos de formación de CCOO;

- Y la de uno que se ha librao.

Y todo gracias a un Chuck Norris orensano que “apatrulla” la web en sus ratos libres en busca de manuales para hacer bombas con polvos para los pies. ¡Qué hace la BIT que no lo recluta!!!

Antes de que un troll de guardia la tome conmigo de manera inmisericorde, adelanto que esta no es una entrada política ni dice ni deja de decir sobre lo que opino de los candidatos en liza. Me reservo, pues, el sentido de mi voto.

Lo que no me puedo reservar es el cabreo que me ha producido recibir una mañana de sábado a tempranas horas una llamada del Candidato Rajoy. Aparte de que creo que a Mariano como al Príncipe y familia Dios no les ha llamado por el camino de la telegenia, es que no acabo de entender la utilidad de esta campaña.

Lo que sí me gustaría saber es quien ha sido el capullo que ha introducido los datos de mi móvil y mi nombre en tupropuestaen30segundos.com para que me spamearan de buena mañana. La identidad que sí conozco es la de quien ha puesto a disposición de los lelos de España un sistema que permite, pasándose por el forro la legislación de protección de datos personales, hacer la gracia a troche y moche.

Por lo pronto, se permite facilitar datos de terceros sin identificar quien los facilita; generar una base de datos en  la que se me incluye sin consentimiento con un perfilado de opción ideológica; y lo mismo una transferencia internacional de datos, que la llamada te la hacen desde Francia (+33 170957800). No hace falta decir que la base de datos que estén generando ni cumplirá el principio de calidad del dato (¿a saber que datos estará metiendo la gente?) ni  nadie ofrece los derechos de acceso, rectificación, oposición ni cancelación.

Ya sé que mi nombre y mi móvil están en una fuente de acceso público, pero eso no excluye mi derecho a cancelar mi dato de un fichero en el que no he querido entrar. Además, por si la LOPD no fuera suficiente, la Ley General de Telecomunicaciones me protege frente a las llamadas de publicidad no deseada.

En fin, que alguien ha hecho de la necesidad virtud y a cambio de que le tuesten la oreja llamándole a la reuníón de “maitines”, encontró como llamar por la patilla a través del servicio contratado por Mariano (parece que ya lo han arreglado).

Está claro que tengo un mal despertar.