Sellos y Certificados de calidad en privacidad: ¿A favor o en contra?

La Propuesta de Reglamento de Protección de Datos de la Unión Europea (todavía en fase de tramitación) contempla que:

 Los Estados miembros y la Comisión promoverán, en particular a nivel europeo, la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcados de protección de datos que permitan a los interesados evaluar rápidamente el nivel de protección de datos que ofrecen los responsables y los encargados del tratamiento. “

 En otras palabras, certificar que un producto, servicio o incluso los procedimientos de una organización se adecúan a la normativa de protección de datos. En este caso, al futuro nuevo Reglamento.

 Un ejemplo de ello lo tenemos con Europrise (European Privacy Seal) que en la actualidad lleva a cabo la Autoridad de Protección de Datos de Schleswig-Holstein (Alemania).

 ¿Cómo funciona Europrise?

 Con carácter previo a certificar, uno debe estar acreditado como experto (jurídico, tecnológico o ambos perfiles). Esto se consigue pasando un “pequeño proceso selectivo” que convoca esa Autoridad, donde te explican cómo funciona el sello y luego haces una práctica como si estuvieses evaluando un producto o servicio en la realidad.

 Una vez conseguido el “título” (publicándose en la web de Europrise el nombre, apellidos y perfil del experto que ha obtenido el citado título) ya puede uno evaluar productos o servicios, de manera que uno se busca su cliente, se reúne con dicha autoridad y se fija el llamado TOE (Target of Evaluation).

 Se firma un acuerdo sobre lo que se va a querer certificar y los expertos realizan la evaluación usando para ello el manual de europrise, que no es más que un documento –bastante denso- para auditar el producto o servicio de conformidad con la Directiva 95/46.

 Después, realizada la auditoría con toda la documentación se envía a esa Autoridad y comienza un intercambio de información (aclaraciones…etc). Si se consigue el Sello, pues perfecto. No obstante, si se produce un cambio en el producto o servicio, ese cambio habrá que proceder a evaluarlo de nuevo.

 Asimismo, un extracto de la evaluación es publicado en la página web del sello Europrise para dar transparencia.

 El cliente paga a los expertos, y también una tasa por obtener el sello. Esta tasa depende de si el producto o servicio es pequeño, medio o alto. En cuanto a la cuantía a los expertos, pues libre mercado.

 Por cierto, la CNIL (Autoridad Francesa de Protección de Datos) también está otorgando certificaciones de esta índole ya que esta función está contemplada en su Ley.

 Certificamos en protección de datos, ¿Sí o no?

 A partir de aquí, y siguiendo el texto copiado al empiece de este “post” nos podemos hacer las siguientes preguntas sobre una futura certificación de productos y servicios:

 ¿Este tipo de certificaciones puede utilizarse para integrar la protección de datos como un elemento de valor añadido, dejando de un lado el dichoso “cumplimiento?

 ¿Está el mercado lo suficientemente maduro para ello?

 Si tenemos un producto o servicio que pueda ser utilizado en toda la Unión Europea ¿A qué país nos dirigimos para obtener el sello?

 Aparte de cumplir con la normativa europea, ¿Qué hacemos con la normativa nacional? Por ejemplo, un sistema de gestión de historia clínica ¿Tenemos que cumplir 27 normas europeas al respecto?

 ¿Los usuarios apreciarían este sello prefiriendo un producto o servicio certificado de otro que no lo esté?

 ¿Puede una Agencia usar el “doble gorro” sancionador y certificador aunque sea en diferentes Departamentos? Si es legal, ¿Sería ético?

 ¿La sanción a una empresa que hubiese obtenido la certificación supondría retirar la misma?

 Como dicen en Europa, “The room is yours”.

Anuncios

4 Responses to “Sellos y Certificados de calidad en privacidad: ¿A favor o en contra?”


  1. 1 salmonsa septiembre 5, 2012 en 5:19 pm

    Hola Javier y lectores de este blog…
    Interesante entrada… en tu línea 😉
    Dices: “¿Este tipo de certificaciones puede utilizarse para integrar la protección de datos como un elemento de valor añadido, dejando de un lado el dichoso “cumplimiento?”
    Y yo pregunto: ¿pero Europrise no pretende precisamente eso, o sea, certificar el cumplimiento?… Y es más, ¿realmente se puede certificar el cumplimiento de una ley de forma “genérica”? ¿Alguien puede certificar de alguna forma que yo, por ejemplo, en cada dato que recabo, cumplo con el principio de información? ¿Alguien puede certificar que yo todas las semanas voy a sacar mi copia de seguridad del lugar en que se aloja mi servidor con datos de salud?… Personalmente creía y creo que no… salvo que lo que se certifique sea que “existen procedimientos diseñados e implementados para que se cumpla” pero eso no querrá decir nunca que se está cumpliendo ¿no?… Y eso ya se inventó hace tiempo (ver en la wiki la ISO 9000 😉 )
    Personalmente, no tengo preferencia alguna por contratar con una empresa por que tenga ISO 9K o no, porque al final ese sello no es más que la certificación de una declaración de intenciones y me he encontrado por ahí con empresas con un rosario de sellos de calidad (ISO, EFQM…) que no sabían lo que era la calidad, y con empresas sin sello alguno con un enfoque al cliente que para sí lo quisieran muchos EFQM´s 800 ;))))…
    Creo que es otra forma de fomentar el cumplimiento formal en detrimento del cumplimiento real, que en mi opinión es el realmente deseable…
    Gracias por tus reflexiones, como siempre…
    @LuisSalvadorMon

    • 2 fjaviersempere septiembre 5, 2012 en 5:48 pm

      Muchas gracias por tus comentarios, Luís. Voy a tratar de responderte:

      – Efectivamente, Europrise certifica el cumplimiento sin perjuicio de que en alguna cuestión se exija un “algo más”.

      No obstante, cuando digo lo de valor añadido me refiero a que la obtención del sello ofrezca al usuario final del producto o servicio que como “valor añadido se cumple con la normativa de protección de datos”. No sé si me explico bien, pero creo que me entiendes.

      – En cuanto al resto de cuestiones que planteas, el son los expertos los que verifican todo, tanto formal como materialmente, y luego toda esa documentación se pasa a esta Autoridad que certifica. Obviamente, el sistema se basa también en la confianza.

      Sin embargo, si estás pensando que esto es rellenar un formulario y se acabó, estás equivocado. La certificación de un producto o servicio mediante europrise se puede tardar un año entero.

      Ya sabes, son alemanes, muy meticulosos. En contra, el sistema no es rápido.

      • 3 salmonsa septiembre 6, 2012 en 6:45 am

        Conste que anoche lo intenté, pero parece que las ciberbrujas andaban jugando en wordpress…

        Te decía en mi respuesta a la tuya, que aclarabas mis dudas y confirmabas mis temores… En la evaluación inicial, solo podrán ver documentación (documento de seguridad, protocolos, procedimientos de seguridad, y demás…) por lo que no entiendo que certifiquen que cumple nada de nada, sino más bien, que se está en condición de cumplir… ¿no?

        Sólo transcurrido tiempo de esto, y mediante examen de registros y evidencias generadas, una auditoría independiente podría determinar de forma más o menos fiable si realmente se están cumpliendo todas esas buenas intenciones plasmadas en esa documentación, por lo que de forma purista, cumplimiento, lo que es cumplimiento, solo se debería certificar entonces, opino… y ahí sí que sería fundamental esa independencia en la auditoría, no antes… siempre en mi opinión… ¿Y qué dice Europrise de la renovación?

        @LuisSalvadorMon

  2. 4 Luciano enero 2, 2013 en 2:35 pm

    En Argentina lo que se certifica con un Isologo oficial (para colocar en la página web del interesado) es el cumplimiento del trámite de registración de las bases de datos.
    Tampoco me cierra, como a salmonsa, que uno certifique más allá de lo que efectivamente se ha controlado (en este caso la registración).
    El Isologo es bastante buscado por las empresas por lo que entiendo que debe efectivamente resultar beneficioso, sobre todo para quienes venden productos on line, para generar algo más de confianza en los usuarios.
    También hay Asociaciones, sobre todo en temas de publicidad o marketing, que han incursionado (por ejemplo http://www.lealty.org/)

    En definitiva, no se trata de una certificación como la que comentan pero me hace pensar que seguramente la que se poropone a niviel europeo interese a los usuarios (tanto las empresas como muchos potenciales clientes).

    Saludos desde Buenos Aires.


Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




Twitteando

¿De qué hablamos?


A %d blogueros les gusta esto: