Tened en cuenta que las opiniones que expreso en TICMALION las hago exclusivamente a título personal, y solo pueden ser utilizadas indicando la fuente.

jueves, 1 de marzo de 2012

Reforma de la protección de datos: de los formalismos a la gestión

Ha pasado mucho tiempo desde mi primera entrada en “TICMALION”, en mi defensa solo puedo alegar que desde entonces ha llovido poco; aunque en estos meses si que han pasado cosas de interés, al menos para aquellos que nos dedicamos intensivamente al derecho a la protección de datos personales.

El pasado 25 de enero se hacía público el primer borrador oficial de la propuesta de reglamento europeo de protección de datos -versión resumida del título-, aquí http://ec.europa.eu/justice/newsroom/data-protection/ toda la información que al respecto va publicando la Comisión Europea.

El documento no ha sido ajeno a algo muy vinculado a la seguridad de la información, la fuga de información, aunque en este caso no de carácter personal, y ni tan solo privilegiada, pero si con cierto sabor a “WikiLeaks”, ya que en diciembre de 2011 “Statewatch” filtró un borrador.

Ya en ese momento se empezó a analizar su contenido, y como primera referencia me quedo con los tempranos y detallados comentarios que en el número de enero de 2012 de http://datospersonales.org hizo @fjavier_sempere (entre los del ramo nos tenemos que promocionar, digo yo, nunca se sabe), por cierto muy recomendable su “Winchester 73” en http://fjaviersempere.wordpress.com/, un blog que desde luego está mucho más rollizo que el mío.

Confieso que ayer terminé de leer la propuesta de reglamento, antes de que hagáis valoraciones respecto a lo que he tardado, que conste que me he leído la exposición de motivos y los considerandos en inglés, y eso tiene su mérito, por suerte para cuando me tocaba leer la parte dispositiva ya estaba traducido al castellano.

No pretendo hacer aquí y ahora un análisis exhaustivo del contenido de la propuesta de reglamento, soy consciente de mis limitaciones, pero si que quería compartir (si es que alguien lee esto) algunas reflexiones que me ha sugerido la primera lectura del reglamento; sin más pretensiones que si lo estuviéramos comentando delante de un café, o de algo más fuerte.

Y empezaré por las conclusiones, un recurso, que algunos de los que me conocen y han tenido oportunidad de compartir mesa conmigo en eventos varios, saben que utilizo en ocasiones para romper el hielo con el auditorio, preguntad a @paGonzalez o a @eaced (hay que seguir haciendo promoción de los compañeros del ramo, igual habrá que montar una asociación).

A mi lo que de entrada me llama la atención es un evidente giro hacía la gestión de la protección de datos; es un reglamento en el que parece que por fin vamos a superar los puros formalismos en lo que respecta al tratamiento de los datos personales -si bien es cierto que veo mucho formulario suelto por el texto-, pero lo importante es que se intuye que la gestión responsable y organizada de la información personal va a ser el eje central de los tratamientos.

Parece ser que nos quedamos sin registro de protección de datos (muchos ya saben mi opinión, de hace años, al respecto), el documento de seguridad y los informes de auditoria dejarán de ser elementos decorativos, cogiendo polvo en las estanterías de los responsables de los ficheros o tratamientos, perdón, de los responsables de los tratamientos, por fin ...

La seguridad dejará de tener una orientación paternalista: “tienes que hacer copia de seguridad cada semana”, “cada uno tiene que tener su usuario y su contraseña”, “no me tires los papeles a la papelera”, “lo de la seguridad me lo pones por escrito”, etc.

El principio de seguridad queda casi intacto, pero nos vienen a decir: “hágame usted un análisis de riegos, y ya verá usted que medidas de seguridad debe implantar”. En este punto si que va a tener relevancia la familia de buenas prácticas ISO27000, o incluso para nuestro sector público la adecuación al Esquema Nacional de Seguridad.

Por cierto, hablando del sector público, el reglamento no hace diferencias ostensibles entre ficheros públicos y privados, y si, parece que las administraciones públicas también podrán ser sancionadas económicamente si cometen infracciones.

Y sobre todo, el hecho de que se prevea la existencia de un “delegado de protección de datos”, en la actual versión castellana así se le llama (personalmente a mi me suena al delegado de clase, que tiene unas ciertas connotaciones de chivato o confidente, disculpas a los que lo hayan sido en su día); a mi me dió en algún momento por llamarle coordinador de protección de datos, en cualquier caso el nombre no hace la cosa, y un poco chivato si que va a ser.

Lo importante es que alguien, con nombre y apellidos y peso en la organización, va a tener que ocuparse de que los tratamientos de datos personales realizados por empresas y sector público cumplan con las normas de protección de datos, y además va a mantener una estrecha relación con las autoridades de control y con los interesados.

Hay una cosa que me tiene intrigado, y que iremos viendo como se configura, y es la constatación de una cierta “fuerza centrípeta” -lo he tenido que buscar en la Wikipedia, que no estaba seguro del significado, vamos que la fuerza se dirige al centro-, que transpira en general el reglamento, en relación a la arquitectura de las autoridades de control en aquellos casos en que existan autoridades territoriales (autonómicas en nuestro caso), supuesto que me temo que ahora solo se da en Alemania y España.

Todo dependerá de un desarrollo legislativo que deberán llevar a cabo los estados miembros, en el que se establecerá como se distribuye ex-novo el “trabajo” entre las diferentes autoridades de control que puedan coexistir en el territorio de un estado miembro, cuestión que debe ponerse en conexión con el mecanismo de coherencia en la aplicación del reglamento.

Ya no me queda espacio para ahondar en esta cuestión (me he autoimpuesto un máximo de palabras), pero la coyuntura influye –caso del “superregulador” del mercado-, y todo y que veo oportunidades en la reforma, no es menos cierto que también veo riesgos, pero esto ya da para otros debates.