Resumen: Proponemos el enfoque
multidisciplinario como única forma de abordar con éxito, en un mundo cada vez más
complejo, adecuaciones en materia de
protección de datos.
Autores del artículo
|
Colaboración
|
|
CAROLINA LUCAS SÁNCHEZ
JOSÉ LUIS COLOM PLANAS
|
||
Actualizado
|
3 de Octubre de 2014
|
|
ÍNDICE
1. INTRODUCCIÓN2. ADAPTARNOS AL CAMBIO
3. LA PROTECCIÓN DE DATOS EN EL SIGLO XXI
4. ALGUNAS EXPERIENCIAS
4.1. En la propia empresa
4.2. En una asociación profesional
5. OTRAS OPINIONES
6. ¿QUIÉN DEBE DIRIGIR EL EQUIPO?
7. BIBLIOGRAFÍA CONSULTADA
8. DERECHOS DE AUTOR
1. INTRODUCCIÓN
Con el permiso de Nicolás Copérnico empezaremos la presente
exposición diciendo que el mundo gira cada vez más rápido. Estamos, incluso sin
ser conscientes de ello, inmersos en la complejidad de un mundo en constante
evolución: la era del dinamismo.
Nuestros actos a través de Internet pueden tener repercusión,
a corto o largo plazo, en cualquier punto del globo; cada vez es más difícil
mantener intacta nuestra “esfera de privacidad”, desde el momento en que
decidimos adentrarnos en el mundo de las tecnologías de la información.
Quizás, dos de las tendencias tecnológicas más innovadoras son
las que, intuitivamente, ponen de manifiesto el riesgo latente:
- Por un lado, las redes sociales públicas y sistemas de mensajería instantánea (Facebook©, Linkedin©, Twitter©, WhatsApp©). En ellas, muchas veces por desconocimiento o simple inconsciencia, se proporciona información personal a la que, si bien en el momento de la publicación no se le da importancia, en un futuro puede significar un lastre que hipoteque el resto de la vida de una persona. Es lo que se conoce como "Reputación Digital". Hoy por hoy, el “derecho al olvido” en Internet es una voluntad jurídica y una quimera tecnológica, ya que la propagación puede ser viral y, en consecuencia, muy difícil de erradicar.
- Por otro lado está la IoT (Internet of Things – Internet de las cosas). No solo debido a las “Smart Cities – Ciudades Inteligentes” sino que los aparatos y dispositivos que irán apareciendo incorporarán conexión a Internet y un identificador único como puede ser una dirección IP. Con el nuevo sistema de direccionamiento de Internet IPv6 que sustituirá al actual IPv4, que se ha quedado corto, es técnicamente una realidad. Aparece el riesgo de que si existe una relación unívoca entre dicho dispositivo y su titular, o quién lo usa, pueda llegar a trazarse un perfil personal de forma automática.
En base a
todo lo dicho hasta ahora, ya se intuye que el futuro y su complejidad nos
depara cada vez la necesidad de desarrollar mayor esfuerzo a todos los
especialistas que nos dedicamos a la protección de datos personales.
2. ADAPTARNOS AL CAMBIO
No es que
se aproximen tiempos de cambio, es que vivimos en un mundo en cambio constante;
no puede mirarse la situación actual con
ojos del pasado.
En la revolución industrial de
finales del siglo XVIII y principios del XIX, surgió la especialización de las empresas; la
concepción de aquel profesional artesano que realizaba todos los procesos por
sí solo quedó relegada en pro de la necesidad de especializarse en cada uno de
los ámbitos del procedimiento industrial. Las tareas necesarias para
planificar, gestionar y ejecutar las diferentes actividades en que se descomponían
estos complejos procesos industriales, no dejaron ninguna otra opción:
Era
imprescindible disponer de profesionales especializados, a la par que bien
coordinados, para lograr un objetivo
común.
Actualmente nos encontramos inmersos
en otra revolución que podríamos llamar de la información y el conocimiento, apoyada en los avances tecnológicos
de las TIC.
En
consecuencia, los profesionales que tratamos con información desde diferentes
disciplinas, debemos especializarnos y trabajar coordinados en la búsqueda de
un objetivo común. Solo así conseguiremos un más eficaz y eficiente desempeño
profesional.
Debemos
salir de nuestra zona de confort, haciendo más amplia la visión del mundo.
3. LA PROTECCIÓN DE
DATOS EN EL SIGLO XXI
Éste mundo
cada vez más complejo e inmerso en la revolución de la información y el
conocimiento, tiene una clara tendencia a centrarse en los datos.
Unos para
obtener, de forma legítima, el máximo rendimiento y conocimiento de ellos (Big
Data y técnicas analíticas) y, otros, para preservarlos y proteger la esfera de
privacidad de las personas.
En consecuencia, es esencial
encontrar un equilibrio entre los beneficios de las tendencias innovadoras y
los riesgos relacionados con la privacidad.
Es un
concepto que introdujo Ann Cavoukian (Comisionada de información y privacidad
de Ontario) que se conoce por PbD (Privacy by Design – Privacidad desde el
Diseño), que busca una relación win-win (ganar-ganar) en los nuevos proyectos
que incorporen datos personales.
Está claro
que, con éstos nuevos conceptos que se recogen en el borrador del nuevo RGPDUE
(Reglamento General de Protección de Datos de la UE), se entremezclan conceptos jurídicos con análisis de riesgos, PIAs
(Privacy Impact Assessment – Evaluación de Impacto en la Privacidad), etc.
Eso hace
que, frente a tan variados requerimientos, se precise la colaboración
coordinada de abogados, ingenieros (telecomunicaciones, Informática…),
auditores e implantadores especializados en sistemas de gestión de seguridad de
la información, (…), constituidos en equipos multidisciplinarios.
Evidentemente
cada miembro se procurará la formación adicional para minimizar sus eventuales carencias
y, así, juntos en el equipo, ir creciendo como profesionales.
El futuro
de ayer es hoy y los entornos abiertos
de colaboración son la única solución para regular y supervisar “la
complejidad”.
4. ALGUNAS EXPERIENCIAS
4.1. En la propia
empresa
En la mayoría de empresas en las que hemos estado, el área de consultoría está basada en un equipo multidisciplinario
compuesto por abogados e ingenieros. La coordinación no presenta mayor
dificultad dado el entusiasmo que nos mueve a todos por un objetivo común como
son los proyectos relacionados con la seguridad de la información y la protección
de datos.
La
enseñanza que se desprende de dicha colaboración es que continuamente vamos
aprendiendo unos de otros de forma que el conjunto hace crecer a los individuos
que lo conforman.
4.2. En una asociación profesional
4.2. En una asociación profesional
Hemos tenido
el privilegio de poder participar en un proyecto del DPI (Data Privacy Institute),
del ISMS Forum Spain, en el que el equipo que lo ha llevado a buen término lo constituíamos tanto abogados como ingenieros.
Éste es uno
de los muchos ejemplos que suponen la confirmación de que, dicha asociación de
sujetos especialistas en disciplinas diversas pero complementarias entre ellas,
no está de espaldas a la realidad del siglo XXI la cual entiende que los
equipos multidisciplinarios aportan mayor riqueza a los proyectos, algo difícil
de lograr con mentalidad del pasado y de espaldas a la época que nos ha tocado
vivir a todos. Siempre sumando se obtiene más que restando.
5. OTRAS OPINIONES
El 21 de
febrero de 2014, en la sede de la SETSI (Secretaría de Estado de
Telecomunicaciones y Sociedad de la Información) en Madrid, tuvimos la
satisfacción de poder asistir al primer Congreso
Internacional de Derecho Digital de ENATIC. En él nos dimos cita unos
doscientos participantes especialistas del Derecho TIC.
Una de las muchas
conclusiones que pudimos extraer de la jornada es la imperiosa necesidad de
capacitación TIC por parte de los diferentes profesionales del Derecho al ser en
el medio digital donde ahora se desarrollan, o al menos se ven afectados por él,
los diferentes ámbitos de actividad.
Como dice
María González (Asociada senior de Information Technology de ECIJA) [1],
“Es por tanto una realidad que los
perfiles profesionales cada día se difuminan más, los profesionales del derecho
cada día más tienen que entender y conocer la tecnología, y los profesionales
técnicos tienen que conocer y entender el marco regulador en el que se mueven.
Es por tanto necesario que el lenguaje jurídico y técnico se entiendan, colaboren
y cooperen en el día a día”.
En consecuencia, no basta con construir artificialmente un “grupo de profesionales autónomos”, sino que debe construirse “un equipo conjuntado”. En él cada profesional, además de dominar su propia disciplina, para poder cooperar deberá conocer lo mejor posible la disciplina de los demás.
En consecuencia, no basta con construir artificialmente un “grupo de profesionales autónomos”, sino que debe construirse “un equipo conjuntado”. En él cada profesional, además de dominar su propia disciplina, para poder cooperar deberá conocer lo mejor posible la disciplina de los demás.
6. ¿QUIÉN DEBE DIRIGIR
EL EQUIPO?
Esta es una
cuestión que debe ser abordada con suma cautela y máximo rigor.
En términos
genéricos, podríamos decir que dicha pregunta sólo admite una respuesta: debe
dirigir el grupo el individuo más preparado, en conjunción, con su verdadero
deseo de ejercer el liderazgo del mismo.
Ubicados en
esta tesitura, cabe decir que es indiferente que sea abogado o ingeniero, ya
que su elemento diferenciador será que disponga de la formación y experiencia
necesarias respecto al amplio espectro de requerimientos (jurídicos,
organizativos y técnicos) que contempla
la protección de datos de naturaleza personal.
Fundamental,
aunque pueda parecer obvio, especificar que, al hablar de “líder”, lo hacemos
en el sentido de persona encargada y con la suficiente capacidad de orientar,
motivar y guiar al grupo con tal de conseguir una finalidad común: la consecución
de un trabajo bien realizado. No es el equipo el que trabaja para el líder,
sino que es éste el que está al servicio del grupo para coordinar los esfuerzos
en una misma dirección, todo ello en base a la estrategia acordada.
7. BIBLIOGRAFÍA
CONSULTADA
8. DERECHOS DE AUTOR
Imágenes bajo licencia de 123rf internacional.
La
presente obra y su título están protegidos por el derecho de autor. Las
denominadas obras derivadas, es decir, aquellas que son el resultado de la
transformación de ésta para generar otras basadas en ella, también se ven
afectadas por dicho derecho.
Sobre los autores:
Carolina
Lucas Sánchez Abogada colegiada en el Ilustre Colegio de Abogados de Barcelona (ICAB).
José Luis Colom Planas Posee
un doble perfil, jurídico y técnico, que le facilita el desempeño profesional
en el ámbito de los diferentes marcos normativos, especialmente del Derecho de
las nuevas tecnologías y las normas ISO de adscripción voluntaria.
A
nivel de especialización jurídica, ha realizado el postgrado
de Especialista Universitario en Protección de Datos y Privacidad en la
Facultad de Derecho de la Universidad de Murcia, disponiendo de la
certificación CDPP (Certified Data
Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa
superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y
se ha especializado respecto a los delitos de blanqueo de capitales en la UOC,
en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es
experto externo en prevención de blanqueo de capitales, certificado por INBLAC.
A
nivel de especialización técnica, ha cursado Ingeniería
técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT
(Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es
Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por
AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301
by BSI (British Standards Institution). Auditor del esquema de
certificación STAR para prestadores de servicios de Cloud Computing (BSI +
Cloud Security Alliance). Ha obtenido la certificación internacional CISA
(Certified Information Systems Auditor) by ISACA (Information Systems Audit and
Control Association). Dispone de las certificaciones ISO 20000 PMI (Process
Management Improvement) e ITIL Service Management by EXIN (Examination
Institute for Information Science).
Desempeña su labor
profesional en GOVERTIS Advisory Services
cómo Compliance, Management & IT Advisor, incidiendo en Compliance
Penal, PBCyFT, asesoramiento respecto a cumplimiento normativo, privacidad
y gestión de la seguridad de la información. Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas
ISO, individuales o integrados, y en la optimización de sus procesos. Ha
realizado diferentes niveles de auditorías de cumplimiento legal ya sea para
organizaciones sujetas a Derecho público o privado.
También colabora con BSI como
auditor jefe de certificación e impartiendo formación para la obtención de la
certificación de lead auditor, en diferentes marcos normativos. A partir de su
dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.
Convencido del valor que
aportan las organizaciones profesionales, es asociado sénior de la APEP
(Asociación Profesional Española de Privacidad), miembro de ISACA
(Information Systems Audit and Control Association), miembro de ISMS Forum
Spain (Asociación Española para el Fomento de la Seguridad de la
Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación
de Técnicos de Informática), ENATIC (Asociación de expertos nacionales
de la abogacía TIC), CUMPLEN (Asociación de Profesionales de
Cumplimiento Normativo) y asociado de INBLAC (Instituto
de expertos en prevención del Blanqueo de Capitales), habiendo sido
ponente o colaborado en casi todas las referidas organizaciones. También lo es
de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT)
habiendo obtenido, junto a algunos colaboradores del mismo, un premio
compartido otorgado por la AEPD.
Twittear
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.