documentos, herramientas

Cumplimiento de protección de datos con Evalua

Los servicios y unidades de información trabajan cada día del año con usuarios. Disponen de sus datos personales, de sus costumbres, de sus necesidades de información, lo que en ocasiones puede ser completamente inocente, y en ocasiones puede ser un dulce tentador para empresas de servicios que buscan perfiles de usuario a los que castigar con productos de todo tipo. En España, por suerte, y al menos por el momento si el lobby de turno no lo impide, disfrutamos de una legislación de protección de datos personales bastante buena. Para velar por su cumplimiento, y actuar en consecuencia si es necesario, se creó la Agencia Española de Protección de Datos, AEPD. Ahora, la Agencia ha lanzado una sencilla herramienta web que permite valorar el cumplimiento de la normativa legal sobre protección de datos.

La herramienta ha recibido el nombre de EVALUA, y ofrece al usuario dos opciones:

  1. El test de cumplimiento de la Ley Orgánica de Protección de Datos, en el cual deben responderse cuestiones sobre el nivel de cumplimiento de la protección de datos. La herramienta organiza su actividad mediante una secuencia de preguntas, bastante extensa, que estructura en seis áreas principales, correspondientes a registro de ficheros, información y consentimiento, principios, derechos ARCO, relación con terceros y seguridad.
  2. El test de cumplimiento de medidas de seguridad, una autoevaluación que pregunta extensamente sobre seis áreas, correspondientes a documento de seguridad, funciones y obligaciones del personal, registro de incidencias, control de acceso, gestión de soportes y documentos e identificación y autenticación. Toda una puesta al día práctica sobre cuestiones que afectan e inciden en la seguridad de los ficheros que se guardan en todo tipo de organizaciones.

En las unidades de información no me ha parecido apreciar una especial preocupación por las cuestiones de seguridad. Desde luego, puede ser una apreciación personal. Debe tenerse en cuenta que no es lo mismo no facilitar datos personales a terceros, el primer y básico nivel de seguridad a nivel personal, que habilitar y seguir todas las medidas de seguridad necesarias para asegurar el cumplimiento de la privacidad exigible. También debe tenerse en cuenta que se está hablando de datos personales depositados en una organización, en virtud de su actividad pública. Sí que me gustaría saber, por ejemplo, cuántas bibliotecas informan a sus usuarios de las políticas de uso de sus datos personales, y de su integración dentro de las políticas de las organizaciones que las incluyen en su estructura. Puede ser un tema de investigación interesante para pequeño estudio.

Y me plantea varias cuestiones, especialmente en el uso de datos de identidad digital en entornos educativos: ¿es la identidad gmail o hotmail un dato personal susceptible de protección en el marco de un proceso de comunicación reglado’ ¿Se entiende incluido en la políticas de la Universidad, por ejemplo? Si es un intercambio de correo, o de Facebook, o de Twitter, no hay fichero de mantenimiento de datos ¿habría que crear uno? ¿se entiende que estos datos son necesarios para desarrollar la actividad principal, y el estudiante/usuario consiente implícitamente en ello? creo que hago bien borrando todos los mensajes y correos en cuanto acaba el cuatrimestre, están revisadas las calificaciones, y pasan un par de meses, porque la cosa puede complicarse de una forma…

Tagged