lunes, 21 de julio de 2008

La privacidad ya tiene certificación europea

La privacidad está de enhorabuena. La Unión Europea acaba de crear una certificación para evaluar en qué medida los productos de tecnología y servicios de la sociedad de la información respetan las regulaciones europeas en la materia.

La idea de la iniciativa es poder verificar el cumplimiento legal de la protección de datos y otorgar al servicio o producto una acreditación que así lo indique.



Iniciativas como estas habían sido hasta la fecha utilizadas por las empresas de consultoría para garantizar la calidad de sus servicios. Evidentemente, los sellos o acreditaciones eran "creados" por la propia empresa de consultoría y por tanto, tanto su credibilidad como su objetividad siempre han estado en entredicho. En mi empresa, Firma, creamos hace un año una metodología para construir un sistema de gestión basado en la ISO 9000 que definiera los procesos relacionados con la gestión de datos de carácter personal, permitiendo a una organización definir el mapa de procesos que estaría vinculado con la entrada de información de carácter personal, su tratamiento y la gestión de la seguridad así como la salida de datos. Todo ello, bautizado como SIGEDAPE intentaba mostrar que garantizar el cumplimiento de la Ley 15/1999 solo puede hacerse mediante un enfoque basado en procesos, puesto que la gestión y la protección de los datos de carácter personal debe ser una de las rutinas más de la empresa en el uso de información.

Esta certificación tiene por objetivo incrementar la transparencia de los productos software y los servicios de la sociedad de la información en relación al respecto de la privacidad, para generar una mayor confianza por parte de ciudadanos y consumidores. Se suma a otros esfuerzos realizados en materia de comercio electrónico como puede ser la iniciativa "Confianza online".

Para quien quiera conocer los criterios que son revisados en el proceso de certificación, están definidos en el documento EuroPriSe Criteria Catalogue donde se encuentran agrupados en base a los siguientes conjuntos:
- Set 1: Overview on Fundamental Issues
- Set 2: Legitimacy of Data Processing
- Set 3: Technical-Organisational Measures
- Set 4: Data Subjects’ Rights

Hay colgada una presentación en ingles que explica pormenorizadamente la iniciativa y se puede encontrar más información en EuroPriSe - European Privacy Seal

4 comentarios:

Anónimo dijo...

Gracias por la referencia; la verdad es que aparentemente es interesante, tanto desde el punto de vista de la empresa que certifica el servicio o producto, como desde el punto de vista de la consultora que interviene como entidad certificadora.

Por cierto, Javier, échale un vistazo a los enlaces, ya que creo que "Antonio Villalón" debería aparecer como enlace, y no como encabezado ;^)

Javier Cao Avellaneda dijo...

Ups, gracias.
Ha sido una de las últimas incorporaciones pero me he pasado respecto al lugar donde colocarlo.

Paloma Llaneza (http://bitacora.palomallaneza.com/), una de las profesionales certificadas me ha dado algunos detalles más del proceso de homologación del personal y por ahora parece más orientado, segun ella, a producto que a servicio. En cualquier caso, cualquier camino que se inicie en este sentido, bienvenido sea.

Ismael dijo...

La idea es interesante, pero conviene aclarar que la Union Europea no ha creado nada. Este es un proyecto privado, formado por una serie de socios, que podeis ver en el apartado "partners" de su web, que han conseguido financiacion de la Union Europea a traves del programa eTen.
eTen financia proyectos de servicios trans-europeos, por lo que solo es necesario tener una idea, convencer a algunos socios de otros paises, ofrecer el servicio en toda la union y presentar el proyecto para conseguir la financiacion.
A partir de aqui, estos señores se hacen con un nombre "europeo", una web europea y nada mas. No tiene ninguna otra relacion con la Union Europea, ni por supuesto ningun caracter oficial.
Trabajo en la Comision Europea y la verdad es que estas cosas me mosquean bastante, pero es asi: cualquiera puede ponerle a su empresa, fundacion, agrupacion o lo que sea el nombre "europeo" y suena a oficial :)
Por esto siempre hay que verificar quien esta detras de los nombres.
Saludos y enhorabuena por el blog!
Ismael.
Official European Citizen. ;)

Javier Cao Avellaneda dijo...

Muchas gracias por el comentario. Con la velocidad con la que procesamos algunas noticias muchas veces pasamos por alto algunos matices que hacen que la percepción del hecho y la relevancia del mismo no coincidan.
En mi empresa hemos hecho una aproximación al cumplimiento basandonos en la norma ISO 9001 para definir la "gestión de los datos de carácter personal" y así garantizar el cumplimiento por parte de los procesos: recogida de información, tratamiento, custodia y salidas, de los requisitos legales establecidos por la LOPD, pero no ha tenido mucho éxito.

 
;