viernes, 20 de septiembre de 2013

Los equipos multidisciplinarios y la protección de datos


Resumen: Proponemos el enfoque multidisciplinario como única forma de abordar con éxito, en un mundo cada vez más complejo,  adecuaciones en materia de protección de datos.



Autores del artículo
Colaboración
CAROLINA LUCAS SÁNCHEZ
JOSÉ LUIS COLOM PLANAS
Actualizado
3 de Octubre de 2014



ÍNDICE
1. INTRODUCCIÓN
2. ADAPTARNOS AL CAMBIO
3. LA PROTECCIÓN DE DATOS EN EL SIGLO XXI
4. ALGUNAS EXPERIENCIAS
4.1. En la propia empresa
4.2. En una asociación profesional
5. OTRAS OPINIONES
6. ¿QUIÉN DEBE DIRIGIR EL EQUIPO?
7. BIBLIOGRAFÍA CONSULTADA
8. DERECHOS DE AUTOR


 
1. INTRODUCCIÓN
Con el permiso de Nicolás Copérnico empezaremos la presente exposición diciendo que el mundo gira cada vez más rápido. Estamos, incluso sin ser conscientes de ello, inmersos en la complejidad de un mundo en constante evolución: la era del dinamismo.

Nuestros actos a través de Internet pueden tener repercusión, a corto o largo plazo, en cualquier punto del globo; cada vez es más difícil mantener intacta nuestra “esfera de privacidad”, desde el momento en que decidimos adentrarnos en el mundo de las tecnologías de la información.

Quizás, dos de las tendencias tecnológicas más innovadoras son las que, intuitivamente, ponen de manifiesto el riesgo latente:
  • Por un lado, las redes sociales públicas y sistemas de mensajería instantánea (Facebook©, Linkedin©, Twitter©, WhatsApp©). En ellas, muchas veces por desconocimiento o simple inconsciencia, se proporciona información personal a la que, si bien en el momento de la publicación no se le da importancia, en un futuro puede significar un lastre que hipoteque el resto de la vida de una persona. Es lo que se conoce como "Reputación Digital". Hoy por hoy, el “derecho al olvido” en Internet es una voluntad jurídica y una quimera tecnológica, ya que la propagación puede ser viral y, en consecuencia, muy difícil de erradicar.
  • Por otro lado está la IoT (Internet of Things – Internet de las cosas). No solo debido a las “Smart Cities – Ciudades Inteligentes” sino que los aparatos y dispositivos que irán apareciendo incorporarán conexión a Internet y un identificador único como puede ser una dirección IP. Con el nuevo sistema de direccionamiento de Internet IPv6 que sustituirá al actual IPv4, que se ha quedado corto, es técnicamente una realidad. Aparece el riesgo de que si existe una relación unívoca entre dicho dispositivo y su titular, o quién lo usa, pueda llegar a trazarse un perfil personal de forma automática.
En base a todo lo dicho hasta ahora, ya se intuye que el futuro y su complejidad nos depara cada vez la necesidad de desarrollar mayor esfuerzo a todos los especialistas que nos dedicamos a la protección de datos personales.


2. ADAPTARNOS AL CAMBIO

No es que se aproximen tiempos de cambio, es que vivimos en un mundo en cambio constante; no puede mirarse  la situación actual con ojos del pasado.


En la revolución industrial de finales del siglo XVIII y principios del XIX, surgió la especialización de las empresas; la concepción de aquel profesional artesano que realizaba todos los procesos por sí solo quedó relegada en pro de la necesidad de especializarse en cada uno de los ámbitos del procedimiento industrial. Las tareas necesarias para planificar, gestionar y ejecutar las diferentes actividades en que se descomponían estos complejos procesos industriales, no dejaron ninguna otra opción:

Era imprescindible disponer de profesionales especializados, a la par que bien coordinados,  para lograr un objetivo común.


Actualmente nos encontramos inmersos en otra revolución que podríamos llamar de la información y el conocimiento, apoyada en los avances tecnológicos de las TIC.


En consecuencia, los profesionales que tratamos con información desde diferentes disciplinas, debemos especializarnos y trabajar coordinados en la búsqueda de un objetivo común. Solo así conseguiremos un más eficaz y eficiente desempeño profesional.


Debemos salir de nuestra zona de confort, haciendo más amplia la visión del mundo.


3. LA PROTECCIÓN DE DATOS EN EL SIGLO XXI

Éste mundo cada vez más complejo e inmerso en la revolución de la información y el conocimiento, tiene una clara tendencia a centrarse en los datos.


Unos para obtener, de forma legítima, el máximo rendimiento y conocimiento de ellos (Big Data y técnicas analíticas) y, otros, para preservarlos y proteger la esfera de privacidad de las personas.


En consecuencia, es esencial encontrar un equilibrio entre los beneficios de las tendencias innovadoras y los riesgos relacionados con la privacidad.


Es un concepto que introdujo Ann Cavoukian (Comisionada de información y privacidad de Ontario) que se conoce por PbD (Privacy by Design – Privacidad desde el Diseño), que busca una relación win-win (ganar-ganar) en los nuevos proyectos que incorporen datos personales.


Está claro que, con éstos nuevos conceptos que se recogen en el borrador del nuevo RGPDUE (Reglamento General de Protección de Datos de la UE), se entremezclan conceptos jurídicos con análisis de riesgos, PIAs (Privacy Impact Assessment – Evaluación de Impacto en la Privacidad), etc.


Eso hace que, frente a tan variados requerimientos, se precise la colaboración coordinada de abogados, ingenieros (telecomunicaciones, Informática…), auditores e implantadores especializados en sistemas de gestión de seguridad de la información, (…), constituidos en equipos multidisciplinarios.


Evidentemente cada miembro se procurará la formación adicional para minimizar sus eventuales carencias y, así, juntos en el equipo, ir creciendo como profesionales.


El futuro de ayer es hoy y los entornos abiertos de colaboración son la única solución para regular y supervisar “la complejidad”.


4. ALGUNAS EXPERIENCIAS

4.1. En la propia empresa

En la mayoría de empresas en las que hemos estado, el área de consultoría está basada en un equipo multidisciplinario compuesto por abogados e ingenieros. La coordinación no presenta mayor dificultad dado el entusiasmo que nos mueve a todos por un objetivo común como son los proyectos relacionados con la seguridad de la información y la protección de datos.


La enseñanza que se desprende de dicha colaboración es que continuamente vamos aprendiendo unos de otros de forma que el conjunto hace crecer a los individuos que lo conforman.


4.2. En una asociación profesional

Hemos tenido el privilegio de poder participar en un proyecto del DPI (Data Privacy Institute), del ISMS Forum Spain, en el que el equipo que lo ha llevado a buen término lo constituíamos tanto abogados como ingenieros.


Éste es uno de los muchos ejemplos que suponen la confirmación de que, dicha asociación de sujetos especialistas en disciplinas diversas pero complementarias entre ellas, no está de espaldas a la realidad del siglo XXI la cual entiende que los equipos multidisciplinarios aportan mayor riqueza a los proyectos, algo difícil de lograr con mentalidad del pasado y de espaldas a la época que nos ha tocado vivir a todos. Siempre sumando se obtiene más que restando.

5. OTRAS OPINIONES
El 21 de febrero de 2014, en la sede de la SETSI (Secretaría de Estado de Telecomunicaciones y Sociedad de la Información) en Madrid, tuvimos la satisfacción  de poder asistir al primer Congreso Internacional de Derecho Digital de ENATIC. En él nos dimos cita unos doscientos participantes especialistas del Derecho TIC.
Una de las muchas conclusiones que pudimos extraer de la jornada es la imperiosa necesidad de capacitación TIC por parte de los diferentes profesionales del Derecho al ser en el medio digital donde ahora se desarrollan, o al menos se ven afectados por él, los diferentes ámbitos de actividad.
Como dice María González (Asociada senior de Information Technology de ECIJA) [1], “Es por tanto una realidad que los perfiles profesionales cada día se difuminan más, los profesionales del derecho cada día más tienen que entender y conocer la tecnología, y los profesionales técnicos tienen que conocer y entender el marco regulador en el que se mueven. Es por tanto necesario que el lenguaje jurídico y técnico se entiendan, colaboren y cooperen en el día a día”.

En consecuencia, no basta con construir artificialmente un “grupo de profesionales autónomos”, sino que debe construirse “un equipo conjuntado”. En él cada profesional, además de dominar su propia disciplina, para poder cooperar deberá conocer lo mejor posible la disciplina de los demás.  

6. ¿QUIÉN DEBE DIRIGIR EL EQUIPO?

Esta es una cuestión que debe ser abordada con suma cautela y máximo rigor.


En términos genéricos, podríamos decir que dicha pregunta sólo admite una respuesta: debe dirigir el grupo el individuo más preparado, en conjunción, con su verdadero deseo de ejercer el liderazgo del mismo.


Ubicados en esta tesitura, cabe decir que es indiferente que sea abogado o ingeniero, ya que su elemento diferenciador será que disponga de la formación y experiencia necesarias respecto al amplio espectro de requerimientos (jurídicos, organizativos y técnicos)  que contempla la protección de datos de naturaleza personal.


Fundamental, aunque pueda parecer obvio, especificar que, al hablar de “líder”, lo hacemos en el sentido de persona encargada y con la suficiente capacidad de orientar, motivar y guiar al grupo con tal de conseguir una finalidad común: la consecución de un trabajo bien realizado. No es el equipo el que trabaja para el líder, sino que es éste el que está al servicio del grupo para coordinar los esfuerzos en una misma dirección, todo ello en base a la estrategia acordada.



7. BIBLIOGRAFÍA CONSULTADA

- [1] María González Moreno. “La importancia de la capacitación TIC en el perfil del jurista”. 24 de febrero 2014. Blog ECIJA 2.0.
La importancia de la capacitación TIC











8. DERECHOS DE AUTOR

 




Imágenes bajo licencia de 123rf internacional.

La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.

Sobre los autores:

Carolina Lucas Sánchez         Abogada colegiada en el Ilustre Colegio de Abogados de Barcelona (ICAB).



José Luis Colom Planas Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente del Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria.

A nivel de especialización jurídica, ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia, disponiendo de la certificación  CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y se ha especializado respecto a los delitos de blanqueo de capitales en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es experto externo en prevención de blanqueo de capitales, certificado por INBLAC.

A nivel de especialización técnica, ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).

Desempeña su labor profesional en GOVERTIS Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBCyFT, asesoramiento respecto a cumplimiento normativo, privacidad  y gestión de la seguridad de la información.  Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO, individuales o integrados, y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado.

También colabora con BSI como auditor jefe de certificación e impartiendo formación para la obtención de la certificación de lead auditor, en diferentes marcos normativos. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.

Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y   asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales),  habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.

  




No hay comentarios:

Publicar un comentario