martes, 29 de mayo de 2012

Un Torrente de Burocracia

El consejero global de privacidad de Google, Peter Fleischer, con su habitual agudeza y sencillez, nos aporta su visión “global” sobre el rumbo actual de la regulación de la Privacidad.
Traducción libre del post de Peter Fleischer  20120525.

Mientras Europa se desliza hacia la recesión y el declive económico, ¿cómo se está cambiando la normativa de privacidad en Europa? Lamentablemente, el debate sobre privacidad aquí, al igual que los otros debates políticos en Europa, no versa sobre cómo impulsar la economía digital, sino sobre cómo regularla. Tributación y regulación: ¿es ese el plan europeo para construir su economía digital?

Mientras los legisladores a lo largo y ancho del mundo están cultivando frenéticamente sus economías digitales, ¿qué está pasando en Europa?

Montones y más montones de papeleo están por venir. Los políticos andan por ahí dando ruedas de prensa furiosamente sobre cómo esto va a meter en cintura a Facebook o a Google, como si todas las leyes europeas de privacidad tuvieran que ser redactadas para una o dos empresas. Los bromistas han empezado a denominar a las nuevas propuestas legislativas europeas “Lex Google” o “Lex Facebook”. Pero intentar redactar una ley de privacidad para “meter en cintura” a Google o a Facebook es una receta segura para redactar una mala ley de privacidad que se va a aplicar a todas las compañías en Europa.
Pocas personas han observado realmente cómo está Europa planeando cambiar las leyes fundamentales sobre privacidad. Mientras los politicos están adoptando la postura de que esto es una reducción de los trámites burocráticos, la realidad es que está en camino de convertirse en el mayor aumento del papeleo y de las obligaciones del proceso de cumplimiento en toda la historia del derecho de privacidad de todo el planeta. Más aún, aquí va un juicio que puede que sorprenda a algunos: yo pienso que Facebook y empresas similares podrían arreglárselas muy bien con las nuevas propuestas, de una u otra manera. Pero no hay la menor oportunidad de que la Pequeñas y Medianas Empresas de Europa puedan arreglárselas.

Las PYMES ya son un grupo acosado en Europa, que soportan los mayores costes impositivos laborales y regulatorios de todo el mundo. Los Oficiales de Protección de Datos en las grandes empresas generalmente tienen un montón de recursos, y pueden resolver la burocracia y el papeleo, por más que esto cueste unos cuantos millones de euros más. Para las grandes compañías no es cosa grave si el “impuesto de cumplimiento de protección de datos” se eleva unos pocos de millones de “nuevas pesetas” o de “nuevas liras”. Francamente, me pregunto cómo una PYME podría arreglárselas con este torrente de papeleo y de procesos, y de dónde podrían sacar para pagarlo.
  
 Considera los detalles de este torrente regulatorio y hazte la pregunta de cómo impactarían sobre una PYME las nuevas obligaciones legales como estas a continuación:
  • 1)  Multas aterradoras por descuidos rutinarios en el papeleo de protección de datos.  Se proponen grandes multas para violaciones de protección de datos, algunas de las cuales no son más que descuidos formales o “faltas de pie” [tenis] en la documentación. ¿Alguien piensa en serio que las PYMES europeas están preparadas para ser capaces de informar una brecha de seguridad de datos en menos de 24 horas? Me conmociona ver cómo los legisladores pueden proponer imposición de multas de 1 o 2% de la facturación global de una empresa por no rellenar “adecuadamente” el papeleo, como por ejemplo las “evaluaciones de impacto de privacidad” o “documentación de procesamiento de datos”, especialmente por cuanto ni siquiera existe ningún acuerdo sobre el aspecto que debería tener ese papeleo.
  • 2)  Delegados de Protección de Datos.  ¿Qué pasa si obligamos a todas las empresas de más de 250 trabajadores a nombrar a un Delegado de Protección de Datos? En términos prácticos, ¿de dónde van a salir todas estas personas, por cuanto hoy en día sólo hay un puñado? ¿Pueden las PYMES permitirse el coste de estos nuevos empleados, o externalizar esta función en caras firmas de abogados? ¿O sobrecargar a otros empleados, como el encargado de Recursos Humanos, para que intente llevar este puesto también? Y, no hace falta decirlo, algunas compañías con 250 trabajadores (como empresas de Internet o de salud) tienen pero que muy diferentes impactos en la privacidad que otras (como las empresas de construcción); así que las leyes con reglas fijadas arbitrariamente raramente se adaptan bien a las diferentes realidades del mundo real.
  • 3)  Evaluaciones obligatorias de impacto de privacidad.  ¿Qué tendrán que hacer las PYMES si se las obliga a elaborar informes de impacto de privacidad en todo nuevo proyecto? Por más que yo pienso que tales evaluaciones de impacto de privacidad pueden ser una una valiosa herramienta de cumplimiento de privacidad para algunos proyectos, también sé que resultan costosas en tiempo y dinero. ¿Pueden manejar las PYMES este coste adicional? Aunque las “evaluaciones de impacto de privacidad” todavía no están definidas, yo estimo que hacer una costaría, a groso modo, entre 10.000 y 100.000 euros. Me imagino que la mayoría de las PYMES tendrán varios proyectos, y las empresas grandes muchos de ellos, que requerirían tales evaluaciones de impacto de privacidad.
  • 4)  Documentación obligatoria de proceso de datos.  Documentar tales procesos de manejo de datos es difícil y consume tiempo. ¿Cuánto costaría a las PYMES documentar sus prácticas de proceso de datos? Así por lo alto yo diría que la carga de cumplir con este requisito sería comparable al tiempo/dinero empleado en cumplir con las leyes tributarias. Nadie sabe lo que significa documentar “adecuadamente” un proceso de datos, pero sin embargo, estas confusas normativas de privacidad que se proponen amenazan con multas gigantescas el incumplimiento de un estándar no definido.
Confío en que se escuche la voz de las PYMES en el venidero proceso político. En tanto en cuanto las leyes se aprueben para “meter en cintura” a Google y a Facebook, puedes estar seguro de que las PYMES van a quedar atrapadas en unas reglas que no tienen sentido para ellas. Pero me pregunto si los políticos pueden limitar un sobrepeso regulatorio que sería mortífero para las PYMES. Me preocupa el impacto de una excesiva regulación de la economía digital en Europa; la cual sin duda va a ser la más prometedora del mundo para crear los trabajos del futuro. Toda empresa tecnológica de éxito comienza como PYME. Europa está cometiendo un crimen contra su juventud, cuando el 50% de los jóvenes de muchos países aquí están sin trabajo. Las PYMES crean trabajo, especialmente para los jóvenes. Aunque los políticos pueden revolotear por ahí y sacar titulares sobre cómo estas nuevas multas propuestas van a meter en cintura a Facebook y similares compañías, la realidad es que toda Ley se aplica a todas las empresas, incluyendo a las PYMES. Sin duda podemos resolver cómo aplicar las obligaciones documentales de protección de datos de una manera más sensata, más adaptada a la sensibilidad y a la escala de los procesamientos de datos, que la que se incluye en la actual propuesta de ley. No asfixiemos a las pymes europeas como daño colateral desafortunado al tratar de “meter mano” a las grandes empresas americanas de Internet.
¿Está Europa a punto de amenazar a las empresas con unas multas tan elevadas que las va a poner en quiebra por nimios errores burocráticos y de documentación?  Cuando países de todo el mundo comienzan la competitiva carrera para construir sus economías digitales, ¿nosotros en Europa estamos comenzando la carrera pegándonos un tiro en el pie? Es posible estar profundamente comprometido hacia la privacidad sin tener que ahogarse en un torrente de burocracia de privacidad.
o0o
Publicado por en No hay comentarios:
Etiquetas: , , , , , , ,

jueves, 10 de mayo de 2012

La Tentación de Internet

El evento de la Asociación Española de Privacidad sobre Cloud Computing del pasado miércoles celebrado en la Universidad Complutense de Madrid ha sido brillantemente resumido por el compañero David González Calleja.

 La computación "en nube" implica que las empresas cada vez más van a ir economizando sus costes mediante la contratacion de espacios de alojamiento y de servicios de software y de utilización de plataformas, etc, situadas "en Internet".

 El principal problema y su gran ventaja, es que Internet borra las fronteras nacionales hasta un punto en que ni los propios proveedores de servicios pueden declarar dónde se encontrarán los archivos en un momento dado.
Por lo tanto, ¿cómo cumplir con la ley europea de protección de datos personales?

 El compañero Leandro Núñez aportó una idea espeluznante: La legislación sobre protección de datos, que nos parecía tan "modernilla" hace quince años, ahora ha sido arrollada y adelantada a toda velocidad por la evolución de internet hasta un punto que se puede dudar de su posibilidad de cumplimiento.

 Las respuestas "institucionales" de los ponentes Manuel García y Jesús Rubí consisten en asegurarse de que los proveedores emplean medidas de seguridad y ser nosotros diligentes en la elección de proveedor. Pero que la responsabilidad seguirá siendo del titular del fichero español. Y como se produce una "exportación" de los datos, seguiremos el procedimiento de declarar la transferencia internacional de datos en la casilla 10 del formulario NOTA, como explicó el ponente Leandro.

 Estas soluciones, planteadas delante de un grupo de asociados de APEP, especialistas en Privacidad que lidian día a día con empresarios "normales", provocaban sonrisas de desdén e incredulidad entre algunos de los asistentes.
Jesús Pérez Serna, en el turno de preguntas, dejó clara la postura de muchos de nosotros:
El representante de la Agencia, D. Jesús Rubí, que había sido presentado por Ricard como que "no requiere presentación, pues es conocido por su larga trayectoria en la Agencia", en realidad sólo es conocido en la Agencia, y puede que por alguno de los presentes, pero la sociedad en general, que es la que tiene que cumplir la Ley, ni conoce al Sr. Rubí, ni conoce a la Agencia, ni conoce la Ley que han sido incapaces de difundir en todos estos años, ni conoce los entresijos de la Computación en la Nube.
Otro de nuestros compañeros, ligeramente enfurecido, preguntó: "O sea que ahora, ¿qué es lo que le tenemos que preguntar a nuestros clientes para prepararles su adaptación, ¿que si suben archivos al DropBox; que si suben vídeos al YouTube...?

 Y es que... la tentación vive en Internet.
o0o

Publicado por en No hay comentarios:
Etiquetas: , , , , , ,

¡No Hay Crisis que Valga!

LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS CONTINÚA OBLIGANDO AL CUMPLIMIENTO DE LA LEY A GOLPE DE MULTAS MILLONARIAS

 A pesar de que la Ley Orgánica de Protección de Datos Personales (LOPD) data de 1999 todavía hay una inmensa mayoría de empresas que ni siquiera han cumplido la obligación de declarar sus ficheros ante la Agencia. Esto les hace presa fácil de un complicado sistema legal en que las sanciones “leves” pueden llegar a los 40.000€ de multa.

 La solución no puede ser otra que adaptarse a la Ley. Estas son las ventajas:

 1.- Nos pondremos a salvo de este sistema sancionatorio;
2.- Aprovecharemos el impulso para enorgullecernos de respetar el derecho constitucional de la privacidad de nuestros clientes; y
3.- Reorganizaremos nuestro sistema de información, con lo que rápidamente amortizaremos la inversión hecha en la adaptación.
1.000 € (IVA incluido)
LA MEJOR INVERSIÓN EN TIEMPOS DE CRISIS

En DATACLEAR por este precio podemos realizar una adaptación a la LOPD a los autónomos y pequeñas empresas que no manejen datos de salud u otros temas más delicados.

 Nuestra Carpeta Básica de Protección de Datos se hace a partir de una observación individualizada de cada empresa, incluyendo la revisión de su página web (si la tuviera).

 • Incluye los Ficheros de Clientes y Proveedores, Nóminas y Recursos Humanos, y Videovigilancia.
• Redacción de Documento de Seguridad personalizado para cada empresa.
• Copia de la Ley y del Reglamento, para referencia del Encargado de Seguridad.
• Copia de las cláusulas personalizadas y contratos que debe utilizar la empresa.
• Incluye una copia de todos los archivos en un DVD regrabable, para su uso y actualización por el Encargado de Seguridad.
• Incluye también la suscripción a nuestros Boletines Informativos, y acceso a las guías y materiales formativos acumulados en nuestro archivo de formación.

 Todo ello en una práctica carpeta con un logotipo personalizado para cada compañía, que se convertirá en un completo manual de uso, y un documento valioso de la empresa.

 Como Abogados o Asesores, no solo debemos cumplir nosotros mismos la ley, sino ser conscientes de su importancia y aconsejar a nuestros clientes que se adapten a la LOPD.
Ellos ganan, por las razones arriba mencionadas, y nosotros también tendremos unos clientes que han sido informados y que ahora cumplen la normativa. Cuántas veces hemos tenido que oir: —¡Pero cómo no me avisaste de que esto era así!

 En DATACLEAR compartimos nuestra expansión: Concedemos un 25% de comisión sobre el total cobrado de un cliente a quien nos lo procure. Simple y efectivo.
¡No lo dudes, ponte a ello!
Llámame o escríbeme para saber más; o directamente para ponerme en contacto ¡con tu primer cliente!

 Un cordial saludo,
Fernando García-Mauriño Bulnes
http://www.dataclear.es/

o0o
Publicado por en No hay comentarios:
Etiquetas: , ,

Delegados de Protección de Datos

El Consejero Global de Privacidad de Google, Peter Fleischer, reflexiona en su post sobre la nueva ola que nos viene de Europa.
Como siempre, me impresiona la sencillez y la potencia expositiva de este personaje, así que me tomado la molestia de traducirlo para aquellos de vosotros que no lo podais leer en inglés:
http://peterfleischer.blogspot.com/

 Traducción libre del post de Peter Fleischer  20120312

 Delegados de Protección de Datos: obligatorios según la ley en Europa
Europa ha liderado al mundo desde hace mucho en la creación de normas de privacidad. Dentro de poco, Europa seguramente va a hacer obligatorio que las empresas de más de 250 empleados nombren un Delegado de Protección de Datos [DPO=Data Protection Officer]. A continuación expongo unas pocas ideas prácticas sobre los DPO en las corporaciones modernas.

 1) Necesitamos entrenar más DPOs. El universo de los profesionales de privacidad todavía es bantante pequeño, a día de hoy. Sencillamente no hay bastantes DPOs con experiencia para cubrir el inminente requisito legal. Pronto, muchos miles de empresas operando en Europa se verán buscando DPOs para nombrarlos en cumplimiento de las obligaciones legales; y puesto que no existe una reserva de tales personas, las empresas tienen que empezar a pensar ahora sobre cómo van a reclutar, entrenar y dotar a un DPO o a todo un equipo de DPOs en  las grandes empresas.
2) Las empresas deberían dictaminar si su tratamiento de datos es sencillo o complicado, y reclutar a sus DPO en función de ello. Dependiendo del tipo de empresa que seas, podrías adoptar libremente tres distintos enfoques:
A) La función del DPO se añade a las funciones ya existentes. Algunas empresas pueden tener operaciones de procesamiento de datos que sean bastante simples y sin problemas. Para ellas, pudiera ser perfectamente razonable pedirle a alguien del Departamento de Recursos Humanos o de Marketing que se entrenase y llevase este puesto también.
B) La función de DPO está externalizada. Algunas empresas pueden decidir externalizar esta función a Consultores-DPO que proporcionen servicios a muchos clientes. Aviso para profesionales de privacidad empresarial: crear tales servicios de consultoría-DPO seguramente va a ser una boyante oportunidad de negocio en el futuro. De una manera realista, pienso que externalizar la función de DPO solamente es una opción para empresas con operaciones de tratamiento de datos que sean sencillas, si bien hay millones en esta categoría.
C) DPOs de gran calibre. Algunas compañías tienen procesos complicados y sensibles de  tratamientos de datos. Estas van a necesitar que sus DPOS sean administradores estratégicos de los datos, guiando a sus empresas en el uso y la protección de los datos de modo responsable, navegando entre la maraña de normativas reguladoras, y representándolas ante los tribunales y organismos de control. Pienso que los empresas grandes y complicadas van a tener que tener DPOs senior y experimentados o equipos completos de ellos, en el caso de las grandes compañías. Pero a día de hoy, asombrosamente, algunas de las más grandes compañías de procesamiento de datos del mundo, con mega bases de datos de billones de piezas de datos personales, no tienen ni un solo DPO de gran calibre en su plantilla.

 3) Las empresas tienen que dar autoridad a sus DPOs y unos recursos adecuados. Me parece obvio, a mi que llevo mucho en esto, que la privacidad será bien servida por una creciente profesión de DPOs en la empresas. Para tener éxito los DPOs necesitarán dos cosas, que son esenciales para hacer que se hagan las cosas en las grandes organizaciones: recursos y autoridad. Hace falta considerables recursos para vigilar/asesorar/documentar las operaciones de tratamiento de datos en una gran corporación (como seguramente se hará obligatorio bajo las nuevas normativas europeas) y hace falta gente con auténtica autoridad para implementar las metas del puesto de DPO, como las proyectan las leyes. En cuanto a la autoridad, no creo que la autoridad siempre fluya de las líneas de mando corporativas (superemos esa visión simplista de que cada DPO debería estar al mando del Director de la compañía). Yo pienso que la autoridad se deriva de un conocimiento sustantivo de las leyes de privacidad y de las metas del negocio; del criterio; de la persuasión; credibilidad, y quizás lo más importante de todo: resolución para defender la preciada meta de la privacidad. Las propuestas legales europeas van incluso más allá al intentar proteger la independencia del DPO, proporcionándole algunas protecciones legales frente a despidos injustos.
Europa, una vez más, lidera al mundo en la creación de normas sobre privacidad. Europa propone que se lleven a efecto muchas reglas que son unas chaladuras: por ejemplo, que los riesgos de seguridad se notifiquen obligatoriamente a los consumidores ¡en el plazo de 24 horas!, como se  está proponiendo en estos momentos. Pero Europa a veces lidera al mundo al crear normas que con todo sentido mejoran las protecciones de privacidad. En esta década por delante, trabajemos juntos para reforzar y difundir el papel del Delegado de Protección de Datos.
o0o
Publicado por en No hay comentarios:
Etiquetas: , , ,

La Guerra de los Mundos

El consejero global de privacidad de Google, Peter Fleischer, con su habitual agudeza y sencillez, nos revela la causa de la guerra de los mundos en torno a la Privacidad.

 Traducción libre del post de Peter Fleischer  20120319

 El Puerto Seguro
Periódicamente, y hoy mismo otra vez, hay una conferencia para tratar sobre asuntos de privacidad transatlántica y evaluar el sistema de Puerto Seguro. Como americano que soy, trabajando con base en París, me he ocupado más que la mayoría de la gente desde hace mucho tiempo sobre los temas de privacidad transatlántica.

 ¿Por qué es todavía relevante el sistema de Puerto Seguro? Recapitulemos: el acuerdo de Puerto Seguro se creó a causa de una peculiaridad de la ley europea que databa de 1995 la cual dividía a los países del mundo en “adecuados” y “no adecuados”, en términos de tener una protección de datos al estilo europeo. Actualmente no se considera que países como Estados Unidos y Japón tengan una protección adecuada conforme a la ley europea, pero otros países como Argentina y México e Israel sí lo tienen. No es impertinente la pregunta de si los criterios para determinar la “adecuación” son realistas o están desfasados. Esencialmente, el criterio de las áreas es formalista: esto es, ¿tiene el país en cuestión una autoridad independiente de protección de datos” y una “amplia” legislación de privacidad? De este modo, países en los que no es así, como Japón y Estados Unidos, no se considera que tengan una “adecuada” protección de datos, pero países como México, Argentina e Israel sí se considera que lo tienen. El esquema de Puerto Seguro constituye un régimen de “adecuación” para empresas con base en Estados Unidos que cumplan con él. Por tanto, el sistema de Puerto Seguro es una solución parcial a un problema mayor de “adecuación”.

 En vez de debatir sobre el sistema de Puerto Seguro deberíamos estar debatiendo sobre el régimen de adecuación. En el mundo real, nadie pensaría ni por un minuto que los datos estén menos protegidos en Japón o en Estados Unidos que en Méjico, Argentina o Israel. Pero esta ficción burocrática tiene unas consecuencias muy tangibles en el mundo real. Convierte en “ilegal” la transferencia de datos personales desde Europa hacia estos países “no adecuados”. Sin duda, tales transferencias rutinarias globales de datos desde Europa a Japón, por poner un ejemplo de entre los muchos en la nube, ¿no pueden todos ellos ser “ilegales”?

 ¿Por qué lucha Europa tan denodadamente para mantener estas reglas tan alejadas de la realidad, y por qué está Europa prefiriendo no modernizarlas dentro de su profunda revisión de la ley de protección de datos? Hay una razón muy sencilla, y tiene muy poco que ver con la autenticidad de las protecciones de privacidad. Los llamados tests de “adecuación” son una potente herramienta usada por los legisladores europeos para engatusar a otros países para que adopten leyes y regulaciones de protección de datos al estilo europeo. Solo en 2011, 6 países latinoamericanos adoptaron leyes de protección de datos de estilo europeo. La motivación de estos países es desvergonzadamente comercial; esto es, la transferencia sin ataduras de datos personales desde Europa a estos países que albergan la esperanza de montar industrias basadas en la información y dedicadas a la externalización de servicios. Europa utiliza el truco de la zanahoria ante las empresas, diciendo básicamente: “Si copias mi estructura legal de privacidad, te recompensaremos con comercio basado en la información”. Por esto, en dos palabras, es por lo que Europa está ganando la competición global para influenciar las leyes de privacidad en países de todo el mundo.

 Desde hace mucho he abogado por la visión de los estándares globales de privacidad. En vez de eso, lo que el mundo está teniendo es la globalización de los estándares de privacidad europeos.
o0o
Publicado por en No hay comentarios:
Etiquetas: , , , , ,

Ignorantia Legis Non Excusat

Viernes, febrero 17th, 2012
Ya desde tiempos de los romanos y seguramente desde muchísimo antes, desde que los poderosos se alzaron sobre el común de los mortales, sus leyes se impusieron, por las buenas o por las malas, ya fuera que uno las conociera o no.

A veces las leyes nos parecen palmariamente injustas y exageradas; por ejemplo: Multa de 40.000€ a El Corte Inglés por felicitar la Navidad a un ex-empleado.
¿En qué mundo vivimos? Se pregunta uno, abrumado por la existencia de todas estas leyes que desconoce.
¿Qué leyes me obligan en este tema de la Protección de Datos Personales? Constitución, Sentencia TC, LORTAD, Directivas, LOPD, Reglamento, LSSICE, la llamada Ley Sinde, etc, etc.
Es demasiado; ¿me lo resumes?
Vale, lo iremos viendo poco a poco.
Por ahora, se puede consultar la página de Enlaces de Dataclear:
o0o
Publicado por en No hay comentarios:
Etiquetas: , ,

Aclarando el Título

Me Priva la Privacidad

privar.
(Del lat. privāre).
5. tr. Complacer o gustar extraordinariamente. A Fulano le priva este género de pasteles.

privacidad.
1. f. Ámbito de la vida privada que se tiene derecho a proteger de cualquier intromisión.

intromisión.
(Formado sobre el lat. intromissus).
1. f. Acción y efecto de entremeter o entremeterse.


entremeter.
3. prnl. Dicho de una persona: Meterse donde no la llaman, inmiscuirse en lo que no le toca.

entremetido, da.
(Del part. de entremeter).
1. adj. Dicho de una persona: Que tiene costumbre de meterse donde no la llaman.
(Del lat. intermittĕre).
o0o
Publicado por en No hay comentarios:
Etiquetas: ,
Ubicación: 28791 Soto del Real, España
Suscribirse a: Entradas (Atom)