Categoría: Empresas

bookmark_borderFormulario y comité supervisor

Posted on by Félix J. Haro

La reacción de Google no se ha hecho esperar: en menos de 15 días ha sido capaz de poner a disposición de los usuarios un formulario en línea para que puedan ejercer ese dichoso derecho que se ha dado en llamar “derecho al olvido”, cuando realmente se trata de un derecho de oposición. Tal y como lo ha llamado Google, mejor decir “derecho a la retirada de resultados”, porque me parece que olvidar, lo que es olvidar…

Tal y como predije, han automatizado el proceso de solicitud. La mentalidad “useña”, bastante más práctica que la europea, está acostumbrada a solucionar problemas con mayor rapidez. La ingente información que maneja la empresa hace necesaria esa automatización, al menos para recibir las solicitudes. Ya tienen experiencia con la retirada de contenidos protegidos, así que no les costará mucho realizar este trabajo.

No han dado un plazo de resolución, pero suponemos que deben aplicar los 10 días de la normativa española. Revisarán cada petición de forma individual, y han nombrado un comité de expertos, entre los que está incluido nuestro compatriota don José Luis Piñar Mañas. Este comité revisará los casos más controvertidos:

No hace mucho leía a Jules Polonetsky (Future of Privacy Forum), que bromeaba en su perfil de Linkedin con la creación de un nuevo puesto de trabajo en Google, “Decider in Chief”. Este puesto estaría reservado para una persona que se dedicaría a fijar la política a seguir por un equipo de “revisores” que tendría que vérselas con millones de peticiones… Pues ahí lo tenemos. De momento no ha habido una avalancha de tal calibre, pero recibir 12.000 peticiones el primer día en el que se abre el cuestionario no está nada mal. Hoy he leído que llevaban unas 40.000.

Ya veremos lo eficaz que es el sistema. De momento, como bien cuenta David Gonzálezno permite al peticionario probar el contenido de su solicitud, ni tan siquiera se informa de la recogida de datos, y hasta se prevé comunicar a la web donde está el dato publicado la petición del afectado… ¿será ésto el cuento de nunca acabar?

bookmark_borderCiclo de vida de la gestión de protección de datos

Posted on by Félix J. Haro

Alexander Alvaro, Vicepresidente del Parlamento Europeo, y persona bastante influyente en los círculos de protección de datos en Alemania, propone lo que él mismo llama el Ciclo de vida de la gestión de protección de datos (Lifecycle DPM). El documento donde desarrolla este concepto está disponible en su página web, y contiene el siguiente diagrama, que lo resume:

neu-lifecycle300dpimedium

Alvaro considera que la propuesta de Reglamento se ha basado al redactarse en el marco existente de protección de datos, sin aspirar a una modernización en general, sin buscar un concepto congruente y realizable en la práctica. No se ha intentado desarrollar un modelo que permita a los consumidores confiar en los avances tecnológicos ni darles la capacidad de determinar y comprender cómo se tratan sus datos.

Si bien define este concepto más bien como «un mosaico de buenas ideas», mantiene que es necesario establecer unas reglas estandarizadas que ayudarán a una lógica, fuerte y efectiva ejecución de éstas. Lo más difícil de conseguir, a mi entender, no es ya estandarizar procedimientos, sino lograr lo que Alvaro pretende: que este modelo incentive a las empresas a invertir en protección de datos a través de todo el ciclo de vida del tratamiento de estos datos.

La propuesta no contiene en sí misma muchas novedades respecto de lo que cualquier empresa que esté concienciada en la materia tendrá implementado, sino en la estandarización del modelo. Lo que sí que me resulta rompedor con el sistema europeo es que considere que las autoridades de control dispongan de un derecho a imponer a las empresas auditorías/controles periódicos en lugar de sanciones:

– si la empresa implicada dispone de procedimientos en funcionamiento, y causa un daño imprevisto, no ha de ser sancionada.

– si la empresa sólo tiene los procedimientos, y el daño se ha causado debido a su inaplicación, tampoco debería ser sancionada, sino ser sometida a unos controles periódicos

– y finalmente, en casos flagrantes de incumplimiento, donde ni existan procedimientos, es cuando se deberia sancionar.

Estoy de acuerdo en que los procedimientos u obligaciones en la materia se intenten estandarizar el máximo posible. Eso puede conseguirlo el Reglamento. Sin embargo, creo que no ha de ser el objetivo de las instituciones fomentar el cumplimiento de la norma a través de la relajación, cuando no total eliminación, en el ámbito de las sanciones. ¿No se trataba de un derecho fundamental? Trátenlo como tal. Si no se cumple ya ni con sanciones de por medio, ¿cómo va a cumplirse si además se eliminan? Les toca buscar el término medio, que es donde decía Aristóteles que estaba la virtud.