Sellos y Certificados de calidad en privacidad: ¿A favor o en contra?
La Propuesta de Reglamento de Protección de Datos de la Unión Europea (todavía en fase de tramitación) contempla que:
“Los Estados miembros y la Comisión promoverán, en particular a nivel europeo, la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcados de protección de datos que permitan a los interesados evaluar rápidamente el nivel de protección de datos que ofrecen los responsables y los encargados del tratamiento.”
En otras palabras, certificar que un producto, servicio o incluso los procedimientos de una organización se adecúan a la normativa de protección de datos. En este caso, al futuro nuevo Reglamento.
Un ejemplo de ello lo tenemos con Europrise (European Privacy Seal) que en la actualidad lleva a cabo la Autoridad de Protección de Datos de Schleswig-Holstein (Alemania).
¿Cómo funciona Europrise?
Con carácter previo a certificar, uno debe estar acreditado como experto (jurídico, tecnológico o ambos perfiles). Esto se consigue pasando un “pequeño proceso selectivo” que convoca esa Autoridad, donde te explican cómo funciona el sello y luego haces una práctica como si estuvieses evaluando un producto o servicio en la realidad.
Una vez conseguido el “título” (publicándose en la web de Europrise el nombre, apellidos y perfil del experto que ha obtenido el citado título) ya puede uno evaluar productos o servicios, de manera que uno se busca su cliente, se reúne con dicha autoridad y se fija el llamado TOE (Target of Evaluation).
Se firma un acuerdo sobre lo que se va a querer certificar y los expertos realizan la evaluación usando para ello el manual de europrise, que no es más que un documento –bastante denso- para auditar el producto o servicio de conformidad con la Directiva 95/46.
Después, realizada la auditoría con toda la documentación se envía a esa Autoridad y comienza un intercambio de información (aclaraciones…etc). Si se consigue el Sello, pues perfecto. No obstante, si se produce un cambio en el producto o servicio, ese cambio habrá que proceder a evaluarlo de nuevo.
Asimismo, un extracto de la evaluación es publicado en la página web del sello Europrise para dar transparencia.
El cliente paga a los expertos, y también una tasa por obtener el sello. Esta tasa depende de si el producto o servicio es pequeño, medio o alto. En cuanto a la cuantía a los expertos, pues libre mercado.
Por cierto, la CNIL (Autoridad Francesa de Protección de Datos) también está otorgando certificaciones de esta índole ya que esta función está contemplada en su Ley.
Certificamos en protección de datos, ¿Sí o no?
A partir de aquí, y siguiendo el texto copiado al empiece de este “post” nos podemos hacer las siguientes preguntas sobre una futura certificación de productos y servicios:
¿Este tipo de certificaciones puede utilizarse para integrar la protección de datos como un elemento de valor añadido, dejando de un lado el dichoso “cumplimiento?
¿Está el mercado lo suficientemente maduro para ello?
Si tenemos un producto o servicio que pueda ser utilizado en toda la Unión Europea ¿A qué país nos dirigimos para obtener el sello?
Aparte de cumplir con la normativa europea, ¿Qué hacemos con la normativa nacional? Por ejemplo, un sistema de gestión de historia clínica ¿Tenemos que cumplir 27 normas europeas al respecto?
¿Los usuarios apreciarían este sello prefiriendo un producto o servicio certificado de otro que no lo esté?
¿Puede una Agencia usar el “doble gorro” sancionador y certificador aunque sea en diferentes Departamentos? Si es legal, ¿Sería ético?
¿La sanción a una empresa que hubiese obtenido la certificación supondría retirar la misma?
Como dicen en Europa, “The room is yours”.
Imagen: Max y Miliano